Omschrijving
In dit scenario wordt een Modbus systeem gemanipuleerd door de registers van het systeem te overschrijven met willekeurige data.
Eerst wordt er gebruikt gemaakt van NMAP om het volledige netwerk af te scannen naar actieve Modbussystemen, deze systemen hebben de standaard poort voor Modbus (502) open.
Wanneer er een actief systeem gedetecteerd is, kan het Modbusprotocol en de ontbrekende security misbruikt worden om de eerste 10 registers van het systeem uit te lezen en zo een baseline te maken van het normale productieproces.
Wanneer de baseline genomen is, kan er andere data naar het systeem weggeschreven worden door te schrijven naar het systeem met write commando’s van het Modbus protocol. De data die weggeschreven wordt is willekeurig gekozen.
Aanvalsgedrag
Hiervoor is de ICS variant van het framework gebruikt (Tactics – ICS | MITRE ATT&CK® ).
Hieronder de verdeling van de verschillende stappen van de aanval gemapt op het framework.
Discovery
T0846 – Remote System Discovery
Het netwerk wordt afgescand naar actieve Modbussystemen, hierdoor krijgt een potentiële aanvaller een overzicht van alle toestellen die mogelijks kwetsbaar zijn voor de aanval.
Collection
Het uitlezen van de registers van een Modbussysteem om zo een baseline te krijgen van de normale waardes van deze registers. Hierdoor wordt er een beeld gevormd welke data mogelijks schadelijk is voor de productieomgeving.
Impair process control
Het wegschrijven van willekeurige data naar de registers zal het productieproces manipuleren zodat de productielijn niet goed functioneert.
Impact
T0831 – Manipulation of Control
Door deze aanval uit te voeren, zal de productielijn gemanipuleerd zijn en zal het afgewerkte product niet kwalitatief zijn.
Aanvalsdetectoren
Detectie door persoon
Wanneer een security expert de het verkeer tussen verschillende systemen op het netwerk monitort, zal die zien dat er communicatie komt van een reeds onbkekend IP-adres en dat die voor elk IP-adres op het netwerk een check doet of poort 502 (Modbus) open is. Dit is een indicatie dat er een poortscan gebeurd op het netwerk om na te gaan of er Modbussystemen aanwezig zijn op het netwerk.
Het gebruik van het Modbusprotocol op actieve systemen vanaf een onbekend IP-adres is een indicator dat het hier over een aanvaller gaat die probeert om data van het toestel uit te lezen of weg te schrijven. Het wegschrijven (functiecode 6 of 16) van registers zou de grootste indicatie van een aanval moeten zijn voor een security expert.
Detectie door AI
Nmap scan
- Gemiddelde aantal packets op het netwerk is hoger dan normaal
- Aanwezigheid van SYN flags en afwezigheid van ACK flags van het TCP protocol
Registers uitlezen
- Kortstondige verhoging van packets op het netwerk
- Meer gebruik van PSH flags
Registers overschrijven
- Hoeveelheid data per packet is verhoogd
- Het gemiddelde aantal packetten en per device zijn verhoogd.