官网热线:400-100-0298
本篇文章主要结合作者工控信息安全及工控网络攻防平台CTF赛题编制等工作经验,首先对上周团队参与的2019工业信息安全大赛CTF线上比赛部分题目进行解析与总结,接着对CTF相关知识及平台进行介绍,最后对CTF收集的相关资源进行分享。我也是从今年开始接触CTF,所以写这篇文章的目的是希望能跟大家一起学习探讨工控安全CTF比赛相关知识
01、概述
近年来,伴随着中国制造2025、两化融合及工业互联网等一系列国家战略逐步推进,工控网络安全作为一门新兴热门行业引起了不少人的关注,为了培养更多的工控安全人才,各种CTF安全比赛也是层出不穷,就连最近热播的“亲爱的亲爱的”电视剧里面K&K和SP战队也将CTF安全巡回大赛演绎的淋淋尽致,所以撰写一篇CTF相关的文章刻不容缓。
02、CTF 工业信息安全大赛线上题目回顾
2019 工业信息安全大赛第二场题目主要包括,破解加密数据、工控安全取证、恶意软件后门分析、隐藏的黑客、简单的工控固件逆向、奇怪的文件、简单的流量分析、另一个隐藏的黑客、特殊的工控流量10到题目,以及工业网络渗透测试和scada系统渗透测试2道场景题。
1.破解加解密数据题目分析
题目描述:
提供的加密算法文件如下:
1)解密方法,获取flag方式如下,flag为flag_EnCryp1
2)将文件名修改为capture.pcap 利用wireshark工具查看内容,如下
3.恶意软件后门题目分析
题目描述:
1)首先利用linux file命令查看文件类型,发现该恶意软件是windows平台下可执行文件,如下图所示
2)利用二进制查看工具对文件内容进行分析,关键内容如下所示
3)根据题目意思,寻找恶意样本发起远程连接的地址,可以推断,10.151.69.3.128主机通过http post方式往c&c远程地址5.39.218.152建立连接与通信,提交5.39.218.152 flag,提示成功。
题目总结与思考:
1)真实工业环境中,由于对工程师站、操作员站以及员工笔记本非法安装软件可能会引入捆绑的恶意软件,当工程师笔记本接入工业控制环境,工控网络、设备可能会被恶意软件发起信息收集、网络攻击等恶意行为,造成不可估量的后果。
2)此题目描述和恶意样本内容与2018年工业信息安全大赛-西部赛区第4题为同一题,属于原题重现,所以平时多做多分析工控CTF历年大赛真题才是王道,题目资源可以从底部CTF相关赛题参考连接获得。
4.特殊的工控流量题目分析
题目描述:
3)提取这串奇怪的数字发现为16进制,利用工具进行字符串转化,并提交is_not_real,平台显示成功,如下图所示:
题目总结与思考:
1)工控协议异常流量,大多数早期工控协议如S7、modbus、ehternetip等均无授权、无认证保护,无防重放攻击等安全机制、任何攻击者都可以直接向使用这些工控协议的设备发起连接,进行寄存器值修改或者写入非协议规约的值,导致压力、流量等控制参数超出正常值,或plc设备异常,引起工控环境遭受破坏,造成不可估量的后果。
2)异常工控协议流量出题规律一般为往下位机设备写入一个不符合规约的值,或上载、下载一个带有flag.txt的文件,找出文件内容;也可能黑客对返回上位机开关量0xff 修改为0×00,欺骗上位机未对某设备进行关闭操作的知识点进行出题。
5、工业网络渗透测试及SCADA系统渗透测试场景题目分析
题目描述如下:
上一篇:工控资产嗅探与分析实践
下一篇:一个工控漏洞引发的思考(续)
