攻擊者已經進入工控環境之後,從自己的伺服器傳送指令給受害主機,如下指令打包受害主機的資料傳到攻擊者的伺服器。
攻擊者透過常見的 port 執行指令,為了繞過工控環境內部的防火牆,讓自己傳送的封包如同正當的傳輸封包。
| 協定 | port | 服務 |
|---|---|---|
| TCP | 80 | HTTP |
| TCP | 443 | HTTPS |
| TCP/UDP | 53 | DNS |
| TCP | 1024-4999 | XP/Win2k3 的 OPC |
| TCP | 49152-65535 | Vista 及更高版本上的 OPC |
| TCP | 23 | TELNET |
| UDP | 161 | SNMP |
| TCP | 502 | MODBUS |
| TCP | 102 | S7comm/ISO-TSAP |
| TCP | 20000 | DNP3 |
| TCP | 44818 | Ethernet/IP |
攻擊者透過代理伺服器作為網路傳輸的媒介, proxy 可能有多層的連接,在傳輸過程可以減少繞出對外網路的次數。
攻擊者透過常見的應用層協定: HTTP(S)、OPC、RDP、telnet、DNP3、modbus,有些惡意軟體透過 HTTP 傳送封包跟攻擊者的伺服器進行溝通。
iThome鐵人賽
看影片追技術