SCADA Hacking | Operational Technology (OT) Attacks

Hackrypt

23 Nov 202007:09

Summary

TLDRIn diesem Video wird ein Angriff auf industrielle Steuerungssysteme (ICS) mit dem Modbus TCP-Protokoll demonstriert. Der Angriff nutzt Schwachstellen in der Kommunikation zwischen SCADA-Systemen und Geräten wie RTUs und PLCs aus, um Daten zu manipulieren. Der Angreifer scannt das Netzwerk mit Nmap, nutzt Metasploit, um Modbus-Module zu exploitieren, und verändert Registerwerte in den Zielsystemen. Dies zeigt, wie sicherheitskritische Infrastruktur durch einfache Manipulationen gefährdet werden kann. Der Angriff unterstreicht die Notwendigkeit, sichere Kommunikationsprotokolle und Schutzmaßnahmen in OT-Systemen zu implementieren.

Takeaways

😀 OT-Systeme kombinieren Hardware und Software zur Überwachung und Steuerung physischer Geräte in verschiedenen Industrien.
😀 ICS (Industrielle Steuerungssysteme) verwalten Prozesse wie Öl- und Gastransport, Kraftwerke und Verkehrssteuerung.
😀 Zu den häufigsten OT-Kommunikationsprotokollen gehören Modbus RTU (serielle Kommunikation) und Modbus TCP (TCP/IP).
😀 Im Modbus-Protokoll agiert SCADA als Master-Gerät, während Geräte wie RTUs und PLCs als Slave-Geräte fungieren.
😀 Ein Angreifer kann Modbus-TCP-Kommunikation überwachen und Replay-Angriffe durchführen, um Daten zwischen SCADA und Slave-Geräten abzufangen.
😀 Die Modbus-Slave-Devices speichern kritische Prozessdaten, die von Angreifern durch Spoofing oder Manipulation geändert werden können.
😀 Der Angreifer nutzt Metasploit und Nmap, um Geräte mit geöffnetem Port 502 (Modbus TCP) zu scannen und anzugreifen.
😀 Die Metasploit-Modul 'Modbus Client' ermöglicht es einem Angreifer, als Master-Gerät zu agieren und Lese-/Schreiboperationen auf dem Ziel-Slave-Gerät durchzuführen.
😀 Der Angreifer kann Werte in den Speichern der Slave-Geräte lesen und ändern, was zu Fehlfunktionen oder Schäden an industriellen Prozessen führen kann.
😀 Eine ungesicherte Modbus TCP-Verbindung stellt ein großes Sicherheitsrisiko dar, da Angreifer Systeme durch einfache Manipulation kritischer Werte stören können.

Q & A

Was ist Operational Technology (OT)?
-Operational Technology (OT) bezieht sich auf Hardware- und Software-Systeme, die physische Geräte in Industrien überwachen und steuern. Ein Beispiel für OT sind industrielle Steuerungssysteme (ICS), die in Bereichen wie Energieerzeugung, Transport und Fertigung eingesetzt werden.
Was ist ein Industrie-Kontrollsystem (ICS) und wie funktioniert es?
-Ein Industrie-Kontrollsystem (ICS) ist eine Sammlung von Geräten, Programmen und Netzwerken, die zur Verwaltung und Steuerung von Infrastrukturprozessen in Industrien verwendet werden, wie z.B. die Förderung von Öl und Gas oder die Verwaltung von Stromnetzen. Ein ICS kann SCADA, RTU, PLC und HMI umfassen.
Wie funktioniert die Kommunikation zwischen SCADA und den Steuergeräten?
-Die Kommunikation zwischen SCADA und Steuergeräten wie RTUs und PLCs erfolgt über Kommunikationsprotokolle wie Modbus. SCADA fungiert als Master und die Steuergeräte als Slaves. SCADA kann Lese- und Schreiboperationen auf den Slaves ausführen.
Was ist der Unterschied zwischen Modbus RTU und Modbus TCP?
-Modbus RTU verwendet serielle Kommunikation, während Modbus TCP das TCP/IP-Protokoll für die Kommunikation nutzt. Beide Protokolle ermöglichen es einem Master-Gerät, mit Slave-Geräten zu kommunizieren, aber Modbus TCP ist für Netzwerkanwendungen geeignet.
Was passiert, wenn ein Angreifer in ein Modbus-Netzwerk eindringt?
-Ein Angreifer, der in ein Modbus-Netzwerk eindringt, kann verschiedene Angriffe durchführen, wie z.B. das Abhören des Netzwerkverkehrs mit Tools wie Wireshark oder das Spoofen als Master-Gerät, um Lese- und Schreiboperationen auf den Speichern der Slave-Geräte auszuführen.
Was ist eine Replay-Attacke in Bezug auf Modbus?
-Eine Replay-Attacke in einem Modbus-Netzwerk tritt auf, wenn ein Angreifer den Netzwerkverkehr zwischen SCADA und einem Slave-Gerät aufzeichnet und später erneut sendet, um unerlaubte Aktionen wie das Überschreiben von Werten auszuführen.
Wie wird ein Modbus Slave-Gerät für einen Angriff eingerichtet?
-Ein Modbus Slave-Gerät wird auf einer Zielmaschine (z.B. Ubuntu) mit einer Simulationssoftware wie Modbus Power eingerichtet. Dabei werden Slave-IDs und Register mit spezifischen Werten konfiguriert, die später durch den Angreifer verändert werden können.
Welche Tools werden für den Angriff auf Modbus TCP verwendet?
-Für den Angriff auf Modbus TCP werden Tools wie Nmap (zur Netzwerksuche und zum Scannen nach offenen Ports), Wireshark (zum Abhören des Verkehrs) und Metasploit (zur Durchführung des Angriffs) verwendet.
Was bewirken Änderungen an den Werten in einem Modbus-Netzwerk?
-Änderungen an den Werten in einem Modbus-Netzwerk können ernsthafte Auswirkungen auf die Betriebsabläufe haben, da die betroffenen Register oft kritische Prozesse steuern. Diese Änderungen könnten zu Fehlfunktionen in industriellen Systemen führen, wie z.B. in Pumpen oder thermischen Steuerungen.
Wie kann ein Angreifer Modbus-Registerwerte ändern?
-Ein Angreifer kann Modbus-Registerwerte ändern, indem er sich als Master-Gerät ausgibt und mithilfe von Metasploit ein Schreibkommando an das Zielgerät sendet, um die gewünschten Werte in den Registern zu überschreiben.