ntopng如何监控IEC 60870-5-104流量
上个月,已知的ot(运营技术)恶意软件的数量从五个增加到七个。第一个被发现的恶意软件是industroyer2,它是在乌克兰被发现的。正如现在流行的那样,安全公司为他们发现的恶意软件命名。这就是为什么第二个恶意软件有两个名字:incontroller或pipedream。这个恶意软件在部署之前就被发现了。
industroyer2[1]是industroyer1的演变,首次出现在2014年。这两种变种都针对电力能源部门,特别是在乌克兰。由于该恶意软件使用的是工业协议iec-60870-5-104的命令,流量看起来像正常运行时的合法通信。
incontroller[2]是一套新的恶意软件组件,目标是美国的液化天然气部门。与industroyer2类似,pipedream使用流行的工业协议,如opc-ua和modbustcp。此外,它还使用了工程工具的内置功能,与plc(过程逻辑控制器)等ot设备进行交互。
这两个恶意软件清楚地表明,背后的犯罪分子已经进化,确实了解ot协议,并能够使用codesys等合法软件工程工具的内置功能。
在过去的几年里没有改变的是,scada系统控制方式仍然是 “即发即忘 “。一个命令从控制系统的服务器发送到现场的客户端。客户端将事件转化为一个物理动作,比如打开或关闭一个断路器。翻译回网络流量,这意味着一个包含命令的数据包足以扰乱整个工业过程或电力分配。
industroyer2使用iec-104,是iec 60870-5-104的简称。iec-104广泛用于欧洲能源部门和公共事业部门,如水或废水处理。
许多工业协议的一个特点是,即使协议是标准化的,其实施在不同的制造商甚至系统集成商之间也会有所不同。这意味着hitachy能源公司实施的iec-104与西门子的实施方式不同。运营商对它很熟悉,但对于网络安全监控来说,这可能是一个挑战。
监测的进一步困难是,一个传输iec-104有效载荷的数据包可以有多个iec-104的数据信息,称为apdu。因此,传统的基于tcp有效载荷的签名检测是行不通的。需要对有效负载进行解析,以了解每个apdu包含的命令类型:
自2022年4月初发现industroyer2以来,到目前为止,已经发表了几份分析该恶意软件的报告。它们包含了恶意软件如何工作的信息,捕获的网络数据,其中大多数包含了如何处理这种类型的恶意软件的建议。仔细看看这些建议,或者现在称为可操作项目,它们是高水平的项目。例如:
“使用异常检测工具来检测ot环境中发生的任何非正常活动”
“采用网络分段,通过防火墙将敏感应用(如pcn)与其他网络部分分开”
“利用ics协议感知技术监控东西向ics网络”
在我看来,可操作性不强,或者需要有一整套的商业产品。对于大多数中小企业来说,这些产品并不适合操作。因此,我正在寻找如何以最小的努力检测恶意软件的方法。
让我们来看看这个环境。scada网络具有高度的确定性。意味着谁在与谁交谈以及如何交谈,即命令和控制模式是可重复的。对于iec-104,这意味着在一天或工作日和周末的正常运行时间段内,可以发现相同类型和顺序的iec-104命令。
示例1:时间段为2个工作日和一个晚上,36小时:
typeid
type
描述
出现的次数
13 m_me_nc_1 测量值,短浮点数 1’184’834
30 m_sp_tb_1 带有时间标签的单点信息 cp56time2a 2
103 c_cs_na_1 时钟同步命令 1
发送的唯一命令是客户端的时间同步。
将操作数据与可用的恶意软件数据进行比较,可以看到恶意软件的不同行为:
恶意软件正在向客户端设备发送一个又一个命令(asdu=3),在ioa中迭代。有点类似于检查主机上的不同端口并尝试登录。
typeid type 描述
100 c_ic_na_1 interrogation command
45 c_sc_na_1 single command
46 c_dc_na_1 double command
从防御者的角度来看,我们显然不能阻止端口2404,也不能阻止恶意软件使用的命令,因为一个或所有命令都是控制系统本身用于正常操作的。
但看看typeid转换,恶意软件与合法流量是不同的:
transitions normal operations traffic malware
m_ to m_ > 1000 0
m_ to c_ or c_ to m_ > 0 && 10
在ntpng中,建立了三种检测机制:
iec意料之外的typeid。由于操作员知道使用的typeid,因此该检查监视未知或不允许的typeid,并向其发出警报。
iec无效转换。在这个检查中,将在预定义的时间段内记录typeid转换,即iec60870学习期间,可在设置/首选项/行为分析下找到。如果检测到未知的typeid转换,则会生成警报。
iec无效命令转换也会检查转换,但特别是命令的转换。如果命令到命令的转换量超过阈值,则会生成警报。
这三个检查都可以在流检查中找到。
对于“iec无效转换”,ntopng需要一个学习周期来跟踪转换。默认设置为6小时,但最有可能需要更长的学习时间,例如2天。
所有ntopng版本都支持iec,因此您可以使用ntop工具监控您的网络。
今日推荐
ntop产品介绍
虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:
pf_ring:一种新型的网络套接字,可显著提高数据包捕获速度,dpdk替代方案。
nprobe:网络探针,可用于处理netflow/sflow流数据或者原始流量。
n2disk:用于高速连续流量存储处理和回放。
Avago推出新的汽车用智能门驱动光电耦合器
使用IC 555的伺服电机控制
海量数据的高效管理
区块链有助于确保英国脱欧后的无缝贸易
鼠标的历史
ntopng如何监控IEC 60870-5-104流量
如何对SAP数据做归档,控制SAP数据的增长
typedef结构体定义
【世说热点】新加坡眼科研究所(SERI)研究显示SunLike LED照明有益于预防近视
vr技术可以做一些什么事情
“懂行人”为贵州纳雍带来智慧医疗新体验
水文监测设备安装施工方案应该如何实施
利用物联网网络可攻击电网频率
英特尔宣布停产PC平台傲腾SSD
哪款蓝牙耳机适合女生?四款好用高性价比蓝牙耳机盘点
wifi型ATP荧光检测仪的特点是什么
Cadence发布全新Celsius Studio AI热分析平台
dfrobotDMS-MG90 金属9g舵机简介
光纤通道
历经5年,YAS扩产终获批!致力打造OLED蒸镀设备产业园区
industroyer2[1]是industroyer1的演变,首次出现在2014年。这两种变种都针对电力能源部门,特别是在乌克兰。由于该恶意软件使用的是工业协议iec-60870-5-104的命令,流量看起来像正常运行时的合法通信。
incontroller[2]是一套新的恶意软件组件,目标是美国的液化天然气部门。与industroyer2类似,pipedream使用流行的工业协议,如opc-ua和modbustcp。此外,它还使用了工程工具的内置功能,与plc(过程逻辑控制器)等ot设备进行交互。
这两个恶意软件清楚地表明,背后的犯罪分子已经进化,确实了解ot协议,并能够使用codesys等合法软件工程工具的内置功能。
在过去的几年里没有改变的是,scada系统控制方式仍然是 “即发即忘 “。一个命令从控制系统的服务器发送到现场的客户端。客户端将事件转化为一个物理动作,比如打开或关闭一个断路器。翻译回网络流量,这意味着一个包含命令的数据包足以扰乱整个工业过程或电力分配。
industroyer2使用iec-104,是iec 60870-5-104的简称。iec-104广泛用于欧洲能源部门和公共事业部门,如水或废水处理。
许多工业协议的一个特点是,即使协议是标准化的,其实施在不同的制造商甚至系统集成商之间也会有所不同。这意味着hitachy能源公司实施的iec-104与西门子的实施方式不同。运营商对它很熟悉,但对于网络安全监控来说,这可能是一个挑战。
监测的进一步困难是,一个传输iec-104有效载荷的数据包可以有多个iec-104的数据信息,称为apdu。因此,传统的基于tcp有效载荷的签名检测是行不通的。需要对有效负载进行解析,以了解每个apdu包含的命令类型:
自2022年4月初发现industroyer2以来,到目前为止,已经发表了几份分析该恶意软件的报告。它们包含了恶意软件如何工作的信息,捕获的网络数据,其中大多数包含了如何处理这种类型的恶意软件的建议。仔细看看这些建议,或者现在称为可操作项目,它们是高水平的项目。例如:
“使用异常检测工具来检测ot环境中发生的任何非正常活动”
“采用网络分段,通过防火墙将敏感应用(如pcn)与其他网络部分分开”
“利用ics协议感知技术监控东西向ics网络”
在我看来,可操作性不强,或者需要有一整套的商业产品。对于大多数中小企业来说,这些产品并不适合操作。因此,我正在寻找如何以最小的努力检测恶意软件的方法。
让我们来看看这个环境。scada网络具有高度的确定性。意味着谁在与谁交谈以及如何交谈,即命令和控制模式是可重复的。对于iec-104,这意味着在一天或工作日和周末的正常运行时间段内,可以发现相同类型和顺序的iec-104命令。
示例1:时间段为2个工作日和一个晚上,36小时:
typeid
type
描述
出现的次数
13 m_me_nc_1 测量值,短浮点数 1’184’834
30 m_sp_tb_1 带有时间标签的单点信息 cp56time2a 2
103 c_cs_na_1 时钟同步命令 1
发送的唯一命令是客户端的时间同步。
将操作数据与可用的恶意软件数据进行比较,可以看到恶意软件的不同行为:
恶意软件正在向客户端设备发送一个又一个命令(asdu=3),在ioa中迭代。有点类似于检查主机上的不同端口并尝试登录。
typeid type 描述
100 c_ic_na_1 interrogation command
45 c_sc_na_1 single command
46 c_dc_na_1 double command
从防御者的角度来看,我们显然不能阻止端口2404,也不能阻止恶意软件使用的命令,因为一个或所有命令都是控制系统本身用于正常操作的。
但看看typeid转换,恶意软件与合法流量是不同的:
transitions normal operations traffic malware
m_ to m_ > 1000 0
m_ to c_ or c_ to m_ > 0 && 10
在ntpng中,建立了三种检测机制:
iec意料之外的typeid。由于操作员知道使用的typeid,因此该检查监视未知或不允许的typeid,并向其发出警报。
iec无效转换。在这个检查中,将在预定义的时间段内记录typeid转换,即iec60870学习期间,可在设置/首选项/行为分析下找到。如果检测到未知的typeid转换,则会生成警报。
iec无效命令转换也会检查转换,但特别是命令的转换。如果命令到命令的转换量超过阈值,则会生成警报。
这三个检查都可以在流检查中找到。
对于“iec无效转换”,ntopng需要一个学习周期来跟踪转换。默认设置为6小时,但最有可能需要更长的学习时间,例如2天。
所有ntopng版本都支持iec,因此您可以使用ntop工具监控您的网络。
今日推荐
ntop产品介绍
虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:
pf_ring:一种新型的网络套接字,可显著提高数据包捕获速度,dpdk替代方案。
nprobe:网络探针,可用于处理netflow/sflow流数据或者原始流量。
n2disk:用于高速连续流量存储处理和回放。
Avago推出新的汽车用智能门驱动光电耦合器
使用IC 555的伺服电机控制
海量数据的高效管理
区块链有助于确保英国脱欧后的无缝贸易
鼠标的历史
ntopng如何监控IEC 60870-5-104流量
如何对SAP数据做归档,控制SAP数据的增长
typedef结构体定义
【世说热点】新加坡眼科研究所(SERI)研究显示SunLike LED照明有益于预防近视
vr技术可以做一些什么事情
“懂行人”为贵州纳雍带来智慧医疗新体验
水文监测设备安装施工方案应该如何实施
利用物联网网络可攻击电网频率
英特尔宣布停产PC平台傲腾SSD
哪款蓝牙耳机适合女生?四款好用高性价比蓝牙耳机盘点
wifi型ATP荧光检测仪的特点是什么
Cadence发布全新Celsius Studio AI热分析平台
dfrobotDMS-MG90 金属9g舵机简介
光纤通道
历经5年,YAS扩产终获批!致力打造OLED蒸镀设备产业园区