freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

CTF工業信息安全大賽實踐與分析
2019-08-16 08:00:45

本篇文章主要結合作者工控信息安全及工控網絡攻防平臺CTF賽題編制等工作經驗,首先對上周團隊參與的2019工業信息安全大賽CTF線上比賽部分題目進行解析與總結,接著對CTF相關知識及平臺進行介紹,最后對CTF收集的相關資源進行分享。我也是從今年開始接觸CTF,所以寫這篇文章的目的是希望能跟大家一起學習探討工控安全CTF比賽相關知識。

一、概述

近年來,伴隨著中國制造2025、兩化融合及工業互聯網等一系列國家戰略逐步推進,工控網絡安全作為一門新興熱門行業引起了不少人的關注,為了培養更多的工控安全人才,各種CTF安全比賽也是層出不窮,就連最近熱播的“親愛的親愛的”電視劇里面K&K和SP戰隊也將CTF安全巡回大賽演繹的淋淋盡致,所以撰寫一篇CTF相關的文章刻不容緩。

二、CTF 工業信息安全大賽線上題目回顧

2019 工業信息安全大賽第二場題目主要包括,破解加密數據、工控安全取證、惡意軟件后門分析、隱藏的黑客、簡單的工控固件逆向、奇怪的文件、簡單的流量分析、另一個隱藏的黑客、特殊的工控流量10到題目,以及工業網絡滲透測試和scada系統滲透測試2道場景題。

1.破解加解密數據題目分析

題目描述:

提供的加密算法文件如下:

1)解密方法,獲取flag方式如下,flag為flag_EnCryp1

題目總結與思考:

出題者剛開始只給了加密字符串,未提供加密算法,由于算法是自己寫的,導致很多選手不能解出來,過了幾個小時,出題方才提供了加密算法。

2.工控安全取證題目分析

題目描述:

提供文件:capture.log

1)首先利用linux file命令查看日志文件屬性,發現capture.log被出題者故意篡改過,對解題人進行迷惑。從下圖中可以看出該文件為tcpdump 抓包后的文件

2)將文件名修改為capture.pcap 利用wireshark工具查看內容,如下

短時間內發送了大量syn端口掃描包,初步懷疑192.168.0.9主機發起syn端口掃描,找到第四次掃描包編號11,提交flag,平臺提示答案不正確。

3)再次閱讀題目理解出題人的意思,第四次發起掃描數據包編號,繼續分析題目,發現數據報文有多個ip都對192.168.0.99目標機器進行掃描,分別為192.168.0.9、192.168.0.1、192.168.0.254、192.168.0.199,它們共同特點是每次發起端口掃描時候,先進行ping操作,嘗試提交第四次發起掃描第一個報文編號155989,提交flag,顯示成功。

題目總結與思考:

1)一個黑客電腦為什么擁有多個源ip對目標機器進行端口掃描,第一種猜測可能是利用masscan等端口掃描工具時候,對源ip進行了隱藏與欺騙,防止觸發IDS等系統告警。第二種可能是利用多個虛擬機分別進行掃描??梢岳胢asscan 192.168.0.99 -p--65535 --source-ip 192.168.0.199 --rate 2000進行自行驗證。

2)黑客對工控網絡攻擊,首先會利用諸如nmap、masscan等工具利用syn、fin或者ack等方式進行快速端口掃描,識別出重要工業控制資產類型,比如西門子plc(默認102端口)、施耐得plc(默認502端口)等控制設備,接著在進行工控資產識別,識別出plc具體廠商、型號、固件版本等信息。最后結合cnvd等漏洞庫對plc發起攻擊,比如利用如下漏洞進行plc 拒絕服務攻擊。

3.惡意軟件后門題目分析

題目描述:

1)首先利用linux file命令查看文件類型,發現該惡意軟件是windows平臺下可執行文件,如下圖所示

2)利用二進制查看工具對文件內容進行分析,關鍵內容如下所示

3)根據題目意思,尋找惡意樣本發起遠程連接的地址,可以推斷,10.151.69.3.128主機通過http post方式往c&c遠程地址5.39.218.152建立連接與通信,提交5.39.218.152 flag,提示成功。

題目總結與思考:

1)真實工業環境中,由于對工程師站、操作員站以及員工筆記本非法安裝軟件可能會引入捆綁的惡意軟件,當工程師筆記本接入工業控制環境,工控網絡、設備可能會被惡意軟件發起信息收集、網絡攻擊等惡意行為,造成不可估量的后果。

2)此題目描述和惡意樣本內容與2018年工業信息安全大賽-西部賽區第4題為同一題,屬于原題重現,所以平時多做多分析工控CTF歷年大賽真題才是王道,題目資源可以從底部CTF相關賽題參考連接獲得。

4.特殊的工控流量題目分析

題目描述:

1)首先利用wireshark打開數據包,初步流量數據報文,發現工控流量只有s7common,利用過濾條件過濾出工控流量如下圖所示

2)根據以往編制工控協議CTF賽題相關經驗,一般異常數據會出現在黑客篡改plc 寄存器的數據,引起plc非正常工作,所以首先想到對05寫下位機設備功能碼流量數據進行排查,如下圖所示:

3)提取這串奇怪的數字發現為16進制,利用工具進行字符串轉化,并提交is_not_real,平臺顯示成功,如下圖所示:

題目總結與思考:

1)工控協議異常流量,大多數早期工控協議如S7、modbus、ehternetip等均無授權、無認證保護,無防重放攻擊等安全機制、任何攻擊者都可以直接向使用這些工控協議的設備發起連接,進行寄存器值修改或者寫入非協議規約的值,導致壓力、流量等控制參數超出正常值,或plc設備異常,引起工控環境遭受破壞,造成不可估量的后果。

2)異常工控協議流量出題規律一般為往下位機設備寫入一個不符合規約的值,或上載、下載一個帶有flag.txt的文件,找出文件內容;也可能黑客對返回上位機開關量0xff 修改為0x00,欺騙上位機未對某設備進行關閉操作的知識點進行出題。

5、工業網絡滲透測試及SCADA系統滲透測試場景題目分析

題目描述如下:

題目總結與思考:

由于需要答對前10道題目,場景題目才有機會進入,遺憾不能看到真實場景,所以根據自己以往出場景題經驗,能對出題人的思路進行猜測。

1.舉辦方在遠程服務器或自己公司搭建了一個webscada系統某工控行業工藝場景,并將webscada進行了發布。利用webscada存在的已知漏洞,比如目錄遍歷、弱密碼算法之類的漏洞,進行服務器權限控制,進入服務器,尋找flag。

三、CTF 相關知識介紹

1.CTF比賽模式

CTF主要比賽模式分為線上模式和線下模式,包括解題模式、攻防模式、混合模式。

解題模式:

大多數為線上比賽,選手自由組隊,出題者把平時信息安全遇到的問題抽象成一道題目,比如一個帶有攻擊的流量數據包讓選手分析 一段密文讓選手解密,一個圖片里面隱藏線索讓選手找等等,或者搭建一個靶場,讓選手利用靶場漏洞,進行關鍵信息尋找。通過尋找題目中一串奇怪的字符串,也就是所謂的flag,提交它,就能獲得這道題目的分數。通常用于在線選拔賽,題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。

攻防模式:

大多數為線下比賽,通常3-5人組建參賽隊伍,參賽隊伍對自己服務器進行保護,對別人的服務器進行攻擊。每個隊伍的服務器擁有相同的配置和缺陷,比如賬戶弱口令、關鍵應用配置錯誤、web目錄遍歷與提取等缺陷,然后隊員需要找出這些漏洞并進行加固防止對方攻破自己服務器獲取分數,同時利用這些漏洞來攻擊別人的服務器,拿到其他隊伍的權限后,獲取到相應flag后并提交。

混合模式:

結合了解題模式與攻防模式的CTF賽制,比如參賽隊伍通過解題可以獲取一些初始分數,然后通過攻防對抗進行得分增減的零和游戲,最終以得分高低分出勝負。

2.CTF 內容

CTF知識體系:

主要包括,程序分析、操作系統、數據庫、計算機網絡、安全工具、網絡嗅探與協議分析、網絡信息收集、密碼學、取證分析、安全檢測與滲透、防火墻技術原理、逆向分析、漏洞挖掘與利用、惡意代碼分析、wireshark流量分析等。

CTF題目類型:

主要包括,WEB、逆向、PWN、移動安全、密碼學和雜項等分類

Web主要包括,sql注入、xss、文件上傳、包含漏洞、命令執行等

Pwn 主要包括,堆棧溢出、繞過保護機制、攻擊遠程服務器等

Reverse主要包括,逆向破解程序、代碼混淆等

Mobile主要包括對安卓、ios 等app應用理解

密碼學主要包括,現代密碼、古典密碼、近代密碼及自編寫密碼算法理解

雜項主要包括,隱寫、取證、編解碼、壓縮包等

3.CTF比賽平臺

利用CTF平臺及相關靶場主要提供多種對抗實操模式,主要包括單兵演練、闖關演練、紅藍對抗、分組對抗、奪旗競賽等功能,并可配置多種比賽場景。

利用CTF平臺,提供網絡安全、工業網絡攻防、虛擬化場景、漏洞挖掘、逆向分析、考試練習等實操。

四、CTF 資源推薦

1.《CTF 工具集》包括web工具、滲透環境、隱形工具、逆向工具、漏洞掃描工具、sql注入工具、暴力破解工具、加解密工具等等。

參考地址:https://www.ctftools.com/down/

2.《CTF 競賽入門指南》包括linux基礎、web安全基礎、逆向工程基礎、密碼學基礎、安卓基礎、漏洞分析、CTF主要工具使用、題解篇、實戰篇等。

參考地址:https://firmianay.gitbooks.io/ctf-all-in-one/content/

3. 《工控CTF大賽相關賽題》包括2018工業信息安全大賽、2019工業信息安全大賽、2018護網杯等題目。

參考地址:https://github.com/ddyy0308/CTF

4.《awesome-ctf》

參考地址:https://github.com/apsdehal/awesome-ctf

五、總結

本次線上比賽第一二場題目未見有工控資產指紋識別、組態軟件工業流程分析、plc梯形圖運算等相關試題,也許是這些類型的題目對非工控人員難度太大的原因,可能線下賽會有此類型題目出現。

由于工控安全是一門多技術交叉學科,需要同時掌握好信息安全和工業控制自動化等相關技術,目前這方面的專業人才較為缺乏,所以希望通過工控CTF競賽、工控網絡攻防實訓平臺、工控安全行業靶場來促進工業互聯網安全人才的技能提升。

*本文作者:yy0308,轉載請注明來自FreeBuf.COM

本文作者:, 轉載請注明來自FreeBuf.COM

# CTF # 題目分析 # 工業信息安全大賽
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网