工控IOT攻擊與取證技術(shù)概述_第1頁(yè)
工控IOT攻擊與取證技術(shù)概述_第2頁(yè)
工控IOT攻擊與取證技術(shù)概述_第3頁(yè)
工控IOT攻擊與取證技術(shù)概述_第4頁(yè)
工控IOT攻擊與取證技術(shù)概述_第5頁(yè)
已閱讀5頁(yè),還剩34頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、工控與IOT 攻擊與取證技術(shù)概述技術(shù)創(chuàng)新,變革未來2014 ISC20CLICK TO ADD SUBHEADINGTypeface: ArialInner textTypeface: Arial 142018 又是震網(wǎng)?當(dāng)然不是今年是什么?Inner textTypeface: Arial 146目錄如何發(fā)起針對(duì)IOT和工控系統(tǒng)的攻擊?(攻擊)如何找出是誰進(jìn)行了攻擊? (取證)讓我們從吸塵器開始Typeface: Arial 14什么類型的攻擊?II C互聯(lián) 網(wǎng)安全大會(huì)3 60 互肛網(wǎng)安全中心ZERO TRUSTSECURITY智能吸塵器網(wǎng)絡(luò)追蹤痕跡在哪里?電子取證流程圖Smart Vacu

2、um cleanerSmartphoneWi-Fi RouterSmart Vacuum cleaner Network trace那又怎么樣!我不用帶攝像頭的吸塵器機(jī)器人手臂 會(huì)怎樣?機(jī)器臂Script of the malicious arm movementLogs看起來很暴力Robotic Arm Logs3.5 : 0002d05h20m22.919s : 2018-08-29 13:35:13.919 : -5 : C0A0:7 : null : 1 : : Program forkprotected starting. (Last saved: 2018-08-27 19:40:

3、43) : null3.5 : 0002d06h27m21.104s : 2018-08-29 13:35:23.104 : -3 : C0A0:7 : null : 1 : forkprotected : Program forkprotected started : null3.5 : 0002d07h00m53.136s : 2018-08-29 14:08:55.136 : -3 : C0A0:7 : null : 1 : forkprotected : Program forkprotected stopped : null3.5 : 0002d09h37m58.671s : 201

4、8-08-29 17:52:48.671 : -5 : C0A0:7 : null : 1 : : Program forkprotected starting. (Last saved: 2018-08-27 19:40:43) : null3.5 : 0002d09h38m06.591s : 2018-08-29 17:52:56.591 : -5 : C0A0:7 : null : 1 : : Program forkprotected starting. (Last saved: 2018-08-27 19:40:43) : null3.5 : 0002d10h44m56.832s :

5、 2018-08-29 17:52:58.832 : -3 : C0A0:7 : null : 1 : forkprotected : Program forkprotected started : null3.5 : 0002d10h47m27.216s : 2018-08-29 17:55:29.216 : -3 : C0A0:7 : null : 1 : forkprotected : Program forkprotected paused : null程序入口echo movej(-1.5743878523456019, 0.0984121561050415, -1.05453998

6、2472555, -2.1616690794574183, 1.530264973640442, 0.9618288278579712, a=3.141592653589793, v=3.141592653589793) | nc xxxx yyyyecho movej(-3.123030487691061, -2.620304886494772, -0.5577314535724085, -1.4209883848773401, - 3.139153782521383, 0.9618288278579712, a=3.141592653589793, v=3.141592653589793)

7、 | nc xxxx yyyyecho movej(0.04313834384083748, -2.656261746083395, -0.5591471830951136, -1.4209168593036097, -3.139153782521383, 0.9618288278579712, a=350.141592653589793, v=4000.141592653589793) | nc ncxxxx yyyy惡意手臂移動(dòng)腳本痕跡在哪里?又是電子證據(jù)地圖PLCWorkstationRobotic ArmSwitch / Router機(jī)器臂日志3.5 : 0002d06h16m57.9

8、04s : 2018-08-29 13:26:49.904 : -3 : C0A0:7 : null : 1 : movej : Program movej started : null3.5 : 0002d06h17m00.984s : 2018-08-29 13:26:52.984 : -3 : C0A0:7 : null : 1 : movej : Program movej stopped : null3.5 : 0002d06h17m02.016s : 2018-08-29 13:26:53.016 : -3 : C0A0:7 : null : 1 : movej : Program

9、 movej started : null3.5 : 0002d06h17m04.600s : 2018-08-29 13:26:56.600 : -3 : C0A0:7 : null : 1 : movej : Program movej stopped : null3.5 : 0002d06h17m06.120s : 2018-08-29 13:26:57.120 : -3 : C0A0:7 : null : 1 : movej : Program movej started : null3.5 : 0002d06h17m07.440s : 2018-08-29 13:26:59.440

10、: -3 : C0A0:7 : null : 1 : movej : Program movej stopped : nullLogs好吧, 我不用機(jī)器人這個(gè)會(huì)怎么樣?DoSStop-in-the-middle讓我們看一個(gè)“幾乎”真實(shí)的電梯系統(tǒng)Touch panel for floor selectionPLC to control the lift電梯系統(tǒng)HMI 控制升降系統(tǒng)發(fā)動(dòng)機(jī)23控制電路控制三相 交流電動(dòng)機(jī)電梯轎廂24連接PLC和觸摸 板的網(wǎng)絡(luò)交換機(jī)控制電梯系統(tǒng)的PLC電梯系統(tǒng)的電子數(shù)據(jù)取證流程圖PLCHMIPC with TIASwitch電梯網(wǎng)絡(luò)流量追蹤PLC程序塊的元數(shù)據(jù)在TIA

11、程序中,對(duì)象由程序塊表示每個(gè)程序塊都有自己的元數(shù)據(jù)和屬 性這使得取證人員能夠識(shí)別出程序塊 的二進(jìn)制大小、最后的編譯日期和 最后修改日期PLC程序塊的元數(shù)據(jù)Every program block has their own set of timestamps西門子PLC診斷緩沖區(qū)診斷緩沖區(qū)記錄了PLC的 行為以及與TIA 入口的交 互活動(dòng)它包括時(shí)間戳、事件id和 事件的詳細(xì)描述由于PLC的內(nèi)存大小有限, 診斷緩沖區(qū)只記錄最近發(fā) 生的事件電梯系統(tǒng)取證流程圖HMIPC with TIASwitch電梯網(wǎng)絡(luò)流量PLC程序塊的元數(shù)據(jù)PLC西門子PLC 診斷緩沖區(qū)CISC33系統(tǒng)中只有有限的取證痕跡, 我

12、們能做更多嗎?-加入取證模塊For detection and investigation.我們應(yīng)該在哪里插入取證模塊?PLC scan cycle取證模塊I/O, 內(nèi)存改變檢測(cè)數(shù)據(jù)轉(zhuǎn)換輸出處理狀態(tài)Forensic blocknTCP or other communicatio channelHistorianProcess logic monitor取證模塊 POCFC: check_io_changed比較任意位變化所有輸入和所有輸出選擇的內(nèi)存地址FC: Block_1將系統(tǒng)時(shí)間戳和所有的 輸入輸出轉(zhuǎn)換為人類可 讀的字符串FC: Block_2將格式化的字符串發(fā) 送到專用的tcp服務(wù)器過程邏輯攻擊檢測(cè)程序員將修改過的過程邏輯上傳至PLC當(dāng)某些輸入被觸發(fā)時(shí),打開汽車綠色燈違反安全規(guī)則,當(dāng)行人的綠燈亮?xí)r汽車的綠燈永遠(yuǎn)不應(yīng)該亮著。過程邏輯攻擊檢測(cè)惡意程序觸發(fā)安全規(guī)則檢測(cè)結(jié)果Output (00101.)Car red (0), Car yel

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論