Projekt HoneyTrain

Whitepaper
Projekt HoneyTrain
Aufbau, Durchführung und Ergebnisse
Herausgeber:
Koramis GmbH
Quartier Eurobahnhof
Europaallee 5
66113 Saarbrücken
Mit freundlicher Unterstützung von:
Inhalt
Einleitung ................................................................................................................................................. 2
Was sind Industrial Control Systems ................................................................................................... 3
Unterschiede ICS zur klassischen IT..................................................................................................... 4
Projekt HoneyTrain.................................................................................................................................. 5
Aufbau & Layout .................................................................................................................................. 7
Infoportal ......................................................................................................................................... 8
Media Server ................................................................................................................................... 8
HMI & CONPOT................................................................................................................................ 9
S7-1200 & S7-1500 ........................................................................................................................ 10
Firewall & Analysetools ................................................................................................................. 11
Projektablauf ..................................................................................................................................... 12
Ergebnisse und Metriken ...................................................................................................................... 14
HMI als Angriffsziel ............................................................................................................................ 19
Medienserver als Angriffsziel ............................................................................................................ 21
Empfehlung und Schlussfolgerung ........................................................................................................ 22
Abbildungsverzeichnis ........................................................................................................................... 23
Einleitung
Industrieanlagen vernetzen sich immer stärker - und werden dadurch anfäliiger für Cyber-Attacken.
Hackerangriffe auf kritische Infrastrukturen sind zu einer ständigen Bedrohung der industriellen IT
geworden. Trojaner und Malware werden speziell dafür entwickelt, Produktions- und
Versorgungsanlagen gezielt zu sabotieren oder Informationen über industrielle Steuerungsanlagen
und Systeme zu sammeln. Dabei stehen Industriestaaten ganz besonders im Fokus.
Immer häufiger werden Angriffe auf diese sogenannten kritischen Infrastrukturen bekannt. Darunter
sind Einrichtungen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben. Deren
Beeinträchtigung sowie die dadurch bedingte, nachhaltige Störung der öffentlichen Sicherheit kann
zu dramatischen Folgen führen. Zu kritischen Infrastrukturen zählen unter anderem Infrastrukturen
der Energieversorgung, der Informationstechnik und Telekommunikation, Gesundheit sowie
Transport und Verkehr.
Im Herbst 2010 rüttelte das Stuxnet-Virus die Automatisierungsbranche erstmals in puncto Security
wach, als Automatisierungssysteme von Siemens in einer iranischen Anlage zur Urananreicherung
gezielt manipuliert wurden. Die Derivate „Duqu“ und „Flame“ folgten umgehend. Seitdem sind fast
täglich einschlägige Meldungen über Cyber-Attacken in den Medien zu verfolgen.
So wurde Anfang 2015 nach einem Bericht (Die Lage der IT-Sicherheit in Deutschland 2014) des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) bekannt, dass Hacker in das Netzwerk
eines Stahlwerks eingedrungen waren. Die Angreifer hatten die Steuerung des Hochofens
übernommen und die Anlage massiv beschädigt. Der Einbruch der Hacker führte zum Ausfall ganzer
Systeme der Anlage. Laut Bericht seien die Verantwortlichen nicht mehr in der Lage gewesen, den
Hochofen geregelt herunterzufahren.
Um herauszufinden wie Angriffe auf solche kritische Infrastrukturen ablaufen, welche Gefahren
drohen und wie verbreitet das Wissen über solche Systeme in der Hacking-Gemeinde bereits ist,
baute KORAMIS eine reale Infrastruktur aus dem Sektor Transport und Verkehr nach und stellte diese
als Honeypot bereit. Dabei sollten Kenntnisse über Qualität, Quantität und Aggressivität der
Angriffsanatomie gewonnen werden. Angriffsmöglichkeiten auf realen Schienenverkehr standen
nicht im Fokus des Projekts und dienten lediglich als exemplarisches Vorbild einer kritischen
Infrastruktur. Dies ist der Tatsache geschuldet, dass Modellbauteile für eine Eisenbahn leichter zu
beschaffen sind, als beispielsweise die für ein Kraftwerk oder sonstiger kritischer Infrastruktur.
Primär sollten im Rahmen des Projektes folgende Punkte beantwortet werden:





Welche Skill-Levels besitzen die potentiellen Angreifer.
Ursache und Wirkung der durchgeführten Cyber-Angriffe (werden z.B. Angriffe vollzogen,
auch wenn bewusst Sach- und/oder Personenschäden verursacht werden).
Welche Angriffsmittel und –methoden wurden verwendet.
Sind Rückschlüsse auf Motivationen der Angreifer möglich.
Woher kommen die Angriffe (Übereinstimmung der Geolocation mit der lokalen Arbeitszeit).
Was sind Industrial Control Systems
Zur automatisierten Steuerung komplexer physischer Prozesse werden sogenannte Industrial Control
Systems (Abk.: ICS) eingesetzt. Diese Systeme sind weit verbreitet und werden eingesetzt zur
Steuerung der industriellen Prozesse in der Energieverteilung & -erzeugung, in
Fertigungsproduktionen, der Gebäudeleittechnik oder Verkehrsleitsystemen.
Aber auch Prozesse im Alltag werden von ICS gesteuert und überwacht.
Folgendes Beispiel soll den Einsatzzweck und den Aufbau solcher ICS veranschaulichen:
Bei einer Heizungssteuerung wird über einen Regler die Temperatur vorgegeben. Der Controller
übernimmt den Vorgabewert und leitet den Prozess ein, das Wasser im Heizungskessel aufzuheizen.
Ein Thermometer übermittelt dem Controller den jeweils aktuellen Temperaturwert. Der Controller
wiederrum gibt diese Angabe an den Regler zurück. Wird der eingestellte Temperaturwert des
Heizungsreglers erreicht, unterbricht der Controller den Wassererwärmungsprozess.
Grafik 1:Schematischer Aufbau - Heizungssteuerung und Industrial Control System
Ein Industrial Control System funktioniert auf die gleiche Weise. In der Regel besitzt es
Automatisierungs- und Visualisierungsfunktionen, welche die Prozessketten automatisch ablaufen
lassen können, sowie dieser zur Nachvollziehbarkeit und operativem Eingriff grafisch darstellt. Über
diese Visualisierung kann der Bediener Aktionen triggern, die danach über einen Controller an die
Aktoren weitergeleitet werden. Anschließend geben Sensoren Rückmeldung an den Controller, wie
weit der Prozess fortgeschritten ist. Diese Informationen wiederum werden durch den Controller in
der Visualisierung dargestellt.
Unterschiede ICS zur klassischen IT
Auch wenn die heutigen Industrial Control Systems auf der gleichen Hardwarebasis wie die klassische
Informationstechnologie (IT) aufgesetzt werden, sind die Anforderungen der beidensehr
unterschiedlich.
Kategorie
Virenschutz
Lebenszyklus
Outsourcing
Patchmanagement
Informationstechnologie
Weit verbreitet
3-5 Jahre
Weit verbreitet
Oft, täglich
Änderungen
Zeitabhängigkeit
Verfügbarkeit
Awareness
Sicherheitstest
Häufig
Verzögerungen akzeptiert
8x5/260 – 24x7/365
Gut
Abgesichert, bemannt
Industrial Control System
Kompliziert, oft unmöglich
5-20 Jahre
Selten
Selten, benötigt Freigabe vom
Anlagenhersteller
Selten
Verzögerungen kritisch
24x7/365
Schlecht
Selten und problematisch
Während in der klassischen IT die Vertraulichkeit von Daten an erster Stelle genannt werden sollte,
stehen auf Seiten der ICS meistens die Verfügbarkeit und der reibungslose Betrieb der Anlagen im
Vordergrund. Die Integrität der Daten gewinnt aber auch im ICS Umfeld, gerade mit Blick auf
Industrie 4.0 oder das Internet-of-Things, eine immer wichtigere Bedeutung.
Projekt HoneyTrain
Um einen Überblick über die Methoden von Hackern bei Angriffen auf Industrial Control Systems zu
erhalten, hat KORAMIS die Infrastruktur eines Verkehrsbetriebes als Honeypot aufgebaut, das
Projekt HoneyTrain.
Abbildung 1 - HoneyTrain - Nachbildung einer Eisenbahninfrastruktur inkl. Bahnübergängen
Anders als bei herkömmlichen Honeypots wurden beim Projekt HoneyTrain nicht einfach nur
Computersysteme und Übertragungsprotokolle simuliert, sondern eine mögliche Infrastruktur mit
realen Hard- und Software-Komponenten aus der Automatisierungs- und Leittechnik, z.B.
existierender Schienenverkehrssysteme, nachgebildet. Zusätzlich wurden über einen Medienserver
Videos von Überwachungskameras echter Bahnhöfe und Zugführer-Kabinen simuliert und eine
angepasste Webseite mit allgemeinen Infos, Fahrplänen, Ticketing-Service und Störungen bezüglich
des Betriebsablaufs integriert.
Des Weiteren wurden Steuermöglichkeiten sowie Rück- und Statusmeldungen mittels integrierter
Bussysteme (z.B. Profibus, Canbus, Modbus, Profinet und E/A-Peripherie-Schnittstellen) wie bei
einem echten Verkehrssystem implementiert. Das Absetzen von Steuerbefehlen und die
Visualisierung aller wichtigen Betriebszustände wurden in einer realistischen Leitstand-Nachbildung
vorgenommen, über die sich Modellbahnzüge im Maßstab 1:87 (H0) steuern ließen.
KORAMIS hat bei der Konfiguration der Systeme, die von Herstellern empfohlenen Vorgehensweisen
und Techniken angewandt, damit diese Infrastruktur einem realen Verkehrsbetrieb so nah wie
möglich kam.
Abbildung 2 - SIEMENS S7 zur Steuerung der Züge
Dieser reale, industrielle Systemaufbau ermöglichte es, von den Angreifern zu lernen, indem
verschiedene Angriffe beobachtet, aufgezeichnet und analysiert wurden.
Abbildung 3 - Aufbau des Miniatur-Leitstandes und Programmiergeräts
Aufbau & Layout
Damit die Infrastruktur für Angreifer real erscheint, wurden alle zugehörigen Systeme nach dem
Standardlayout der Hersteller aufgebaut.
Abbildung 4 - Layout HoneyTrain
Infoportal
Das Infoportal stellt die Webseite eines Verkehrsbetriebes nach. Als Basissystem wurde ein CentOS 7
mit OpenSSH v6.6.1 und Apache-Webserver 2.4.6 genutzt.
Abbildung 5 - Fahrplanauskunft HoneyTrain
Medienserver
Der Medienserver realisiert die Streams der Überwachungskameras und bietet diese über eine
Webschnittstelle an. Als Basissystem wurde eine Ubuntu Linux Mint 16perta mit Apache-Webser
v2.4.10 und OpenSSH v6.1.2 genutzt.
Abbildung 6 - Stream der Überwachungskamera 1
HMI & CONPOT
Das Human-Machine-Interface (HMI) bildet die Visualisierung. Über diese Visualisierung können die
Züge u.a. einzeln gesteuert werden.
Abbildung 7 - Fahrstufenregelung Zug 1
Der CONPOT ist ein industrieller Honeypot, der verschiedene industrielle Steuerungssysteme (z.B.
Siemens S7-300), Protokolle (z.B. Modbus, Profinet) und weitere HMIs (Human-Machine-Interfaces)
nachbildet. Unter anderem realisiert der CONPOT eine Visualisierung der Fahrbahnstrecke über eine
Webschnittstelle. Der CONPOT ist zusammen mit dem HMI auf einer Hardware aufgesetzt.
Abbildung 8 - Web-Visualisierung Fahrstecke HoneyTrain
S7-1200 & S7-1500
Die speicherprogrammierbare Steuerungen (SPS, engl.: PLC) Siemens Simatic S7-1200 und S7-1500
bilden die Komponenten zur Signal- und Zugsteuerung. Beide Controller bieten eine Webschnittstelle
zum Administrieren an.
Abbildung 9 - Web-Administration S7-1500 Zugsteuerung
Firewall & Analysetools
Die Firewall dient als Gateway zum Internet. Zusätzlich wurden in einer gesicherten DMZ mehrere
Analysetools, unter anderem Network-Sniffer und ein Intrusion Detection System zum Logging und
Reporting aufgebaut. Die verwendeten Analysetools waren speziell auf die Anforderungen
industrieller Systeme ausgelegt.
Mit Hilfe der Logging Funktion der Firewall wurden alle Netzwerkzugriffe über Syslog an die
Auswertekonsole geschickt. Anhand aktueller Provider-Datenbanken und Geolocator konnten die
zum Zugriff genutzten IP-Adressen Ländern zugeordnet werden.
Das Network-Sniffer Tool analysierte den übertragenen Datenstrom. Der Inhalt des Datenstroms
wurde dabei mit charakteristischen Mustern für bekannten Angriffen verglichen. Mit dem Tool
konnte außerdem evaluiert werden, ob es sich bei dem Übertragungsprotokoll um ein valides oder
ein verändertes Protokoll handelt.
Alle Systemevents und Incidents konnten mit Hilfe des Host Intrusion Detection Tools gesammelt,
analysiert und bewertet werden. Dabei wurden alle Ereignisse der Host-Systeme zeitsynchronisiert in
einer zentralen SIEM Konsole aufbereitet und zur Analyse zur Verfügung gestellt. Alle Systeme
wurden mit Analyse-Agenten versehen, die Betriebssystem-eigene Eventlogs, Fileüberwachung,
Registry und Benutzerlogins aufzeichneten.
Projektablauf
Nachdem das Engineering und der Aufbau der industriellen Infrastruktur zur Steuerung der
Modellzüge beendet waren, wurde für jedes industrielle System eine eigene öffentliche IP-Adresse
konfiguriert. Dieses Vorgehen sollte den Einsatz von ISDN- oder DSL-Zugängen in realen Industrial
Control Systems nachstellen. Die Visualisierungsintegration der Video-Streams von Bahnhöfen und
Lockführerständen vervollständigte das ganzheitliche Abbild eines realistischen Leitstandes.
Alle Systeme wurden entsprechend den Herstellerangaben in Betrieb genommen. Bei nicht explizit
vorhandenen Herstellerempfehlungen wurden die Standardpasswörter belassen und auch alle
Services, die nicht von Herstellerseite aus deaktiviert werden sollten, waren weiterhin erreichbar.
Eine Webseite mit Informationen zu Haltestellen, Ticketverkäufen, Reisezielen und Angeboten rund
um die nachgebildete Infrastruktur wurde anschließend veröffentlicht.
Um die größtmögliche Verbreitung der Infrastruktur zu erreichen, wurde ein schnelles Listing der
einzelnen Komponenten bei der „Internet-of-Things“-Suchmaschine SHODAN (www.shodan.io)
durchgeführt.
Über diese Suchmaschinen wurden alle leittechnischen Komponenten des HoneyTrains mit ihren
erreichbaren Services angezeigt. Dabei wurden nicht nur die offenen Ports, sondern auch die
Versionsnummern der entsprechenden Services angezeigt.
Abbildung 10 - Listing der HoneyTrain-Komponenten bei Shodan
Während der gesamten Laufzeit des Projektes wurde mit Hilfe der Analysetools der Netzwerkverkehr
sowie die Systemevents aufgezeichnet und archiviert.
Abbildung 11 - Einzelansicht der S7-300 bei Shodan
Ergebnisse und Metriken
Die Infrastruktur des Projekts HoneyTrain wurde über einen Zeitraum von sechs Wochen betrieben.
Anschließend wurden die Zugriffe und Zugriffsversuche analysiert.
Insgesamt wurden 2.745.267 Zugriffsversuche verzeichnet.
Zur weiteren Auswertung wurden alle IP-Adressen mit Hilfe eines Geolocators in die entsprechenden
Ländernamen umgewandelt. Auf die Nennung expliziter IP-Adressen wird in diesem Bericht
verzichtet.
Aus fast allen Ländern wurde im Projektzeitraum mindestens ein Zugriffsversuch auf eine der
erreichbaren Komponenten registriert.
Abbildung 12 - Weltkarte mit Top 10 der Länder, aus denen Zugriffe erfolgt sind
Folgende Grafik zeigt die Top 10 Länder nach Angriffsversuchen auf. Die hier dargestellten Länder
repräsentieren nur die letzte auflösbare IP-Adresse des Zugriffs. Diese Länder und der eigentliche
Standort des Zugreifenden können ggf. unterschiedlich sein.
Abbildung 13 - Länder nach prozentualem Anteil der Zugriffe
Folgende Grafik zeigt nach Komponenten sortiert den anteiligen Zugriff auf Komponenten des
HoneyTrains auf:
Abbildung 14 - Länder nach prozentualem Anteil der Zugriffe
Die Mehrheit der Zugriffsversuche erfolgte auf die Komponenten Firewall und Mediaserver. Ein
möglicher Grund dafür sind die erreichbaren Standard-Dienste dieser Systeme und die Verfügbarkeit
von Out-of-the-Box Angriffswegen in Hacking-Tools.
Die industriellen Komponenten, z.B. S7-1200 oder HMI, stellen dagegen industriespezifische Dienste
bereit, deren Schwachstellen und damit auch Angriffswege zwar bekannt, aber nicht immer in
Hacking-Tools implementiert sind.
Die Zugriffsversuche erfolgten über verschiedene Netzwerkports:
Abbildung 15 - Top 15 der angewählten Netzwerkports
Die folgende Grafik zeigt die wichtigsten Netzwerkports der nachgebildeten, industriellen
Infrastruktur mit der entsprechenden Ranglistenposition nach Zugriffsversuchen:
Abbildung 16 - Netzwerkports der nachgebildeten industriellen Infrastruktur
Durch die genauere Analyse der Zugriffsversuche konnte festgestellt werden, dass ein Großteil aller
Zugriffe automatisiert als sog. Wörterbuchattacke durchgeführt wurde.
Abbildung 17- Zugriffstyp prozentual zu Gesamtzugriffsversuchen
Bei einer Wörterbuchattacke wird versucht einen unbekannten Benutzer oder ein unbekanntes
Passwort anhand einer Wörterliste zu ermitteln. Als Grundlage für diese Liste werden oftmals ganze
Wörterbücher oder auch bekannte und eventuell bereits erfolgreich angewandte Kombinationen
initialisiert.
Abbildung 18 - Windows Event - Maximale Anmeldeversuche bei einer Session wurden erreicht
Folgende Grafik zeigt einen Ausschnitt der genutzten Benutzer bei den Einwahlversuchen auf dem
HMI dar:
Abbildung 19 - Auszug aus der Liste der ausgetesteten Benutzer
HMI als Angriffsziel
Innerhalb des Projekt-Zeitraums wurden vier valide Logins zum HMI festgestellt. Durch den Vergleich
der Zugriffsversuche hat sich herausgestellt, dass der valide Zugriff über zwei Wörterbuchattacken
zustande kam. Da bei den weiteren zwei Zugriffen keine Wörterbuchattacke anhand der Zugreifer-IPAdresse festgestellt wurde, wird davon ausgegangen, dass ein oder beide Angreifer zu einem
späteren Zeitpunkt erneut auf das HMI zugegriffen haben.
Als Geolocation der letzten auflösbaren IP-Adresse der ersten Wörterbuchattacke wurde Japan und
beim zweiten Angriff China identifiziert.
Bei den direkten Zugriffen wurde als Quelle eine polnische IP-Adresse aufgezeichnet.
Die detaillierte Analyse der IP-Adressen hat ergeben, dass diese bereits als bekannte „Dictionary
Attacker IPs“ auf der der Analyse-Website des Project Honeypot (http://www.projecthoneypot.org)
aufgelistet sind.
Abbildung 20 - Auszug Analyse-Login-Versuche inkl. validem Login
Bei einem der nachfolgend abgebildeten Zugriffe ließ sich anhand der Aufzeichnung der Aktivitäten
feststellen, dass die CMD gestartet, zwei PINGs abgesetzt und der Explorer geöffnet wurde.
Abbildung 21 - Zugriff auf HMI
Beim erfolgreichen Angriff wurde festgestellt, dass die Sicherheitseinstellungen der industriellen
Komponenten über ein zentrales Tool ausgelesen und exportiert wurden. In der Folge griffen die
Eindringlinge auf die Visualisierung zu und aktivierten die Stirnbeleuchtung eines Zuges.
Abbildung 22 - Zugriff auf HMI und Absetzen eines Steuerbefehls
Zum gleichen Zeitpunkt des Angriffs konnte beobachtet werden, dass die gleiche Zugreifer-IPAdresse versucht hatte, mit Hilfe einer weiteren Wörterbuchattacke Zugriff auf die S7-1200
(Signalsteuerung) zu erhalten. Dieser Angriff blieb jedoch erfolglos.
Diese Angriffskette zeigt, dass der Angreifer ein ausgeprägtes Wissen über das genutzte
industrielle Leitsystem besitzt. Diese Aktionen wurden nicht willkürlich, sondern gezielt ausgeführt.
Mediaserver als Angriffsziel
Als weiteres Angriffsziel konnte der Mediaserver identifiziert werden.
Auch hier wurden mit einer Wörterbuchattacke die validen Login-Daten ermittelt. Mit diesen wurden
dann zu einem späteren Zeitpunkt auf das System zugegriffen.
Ziel dieses Angriffes war es, ein sogenanntes Website-Defacement durchzuführen, bei dem die
originalen Inhalte des Webangebots umgestaltet wurden.
Abbildung 23 - Links – Originales Webangebot; Rechts – Website-Defacement
Anhand der Logdateien konnte folgender Weg rekonstruiert werden:
Nachdem
Benutzername
und
Passwort
bereits
herausgefunden waren, wurde eine SSH-Verbindung zum
Mediaserver aufgebaut.
Danach wurde die Original-Webseite aus dem Verzeichnis
/var/www/html gelöscht.
Anschließend kopierte der Angreifer aus dem HomeVerzeichnis des Ubuntu-Users die eigene Webseite in das
Verzeichnis /var/www/html. Da eine zweite SSH-Verbindung
aufgezeichnet und die Datei aus dem Home-Verzeichnis
kopiert wurde, konnte wahrscheinlich zur Übertragung der
Webseite in das Home-Verzeichnis ein Datentransfer über
Secure Copy (SCP) genutzt werden.
Abschließend
hat
der
Angreifer
noch
die
Netzwerkeinstellungen eingesehen und einen PING abgesetzt.
Über die Geolocation der Angreifer-IP-Adresse wurde als
Standort Singapur identifiziert.
Abb. 24 - Historie der genutzten Befehle
Empfehlung und Schlussfolgerung
Als Fazit aus dieser Langzeitanalyse lässt sich feststelle:, Bereits kleine Maßnahmen können helfen,
unerlaubten Zugriff auf Industrial Control Systems zu verhindern oder zu unterbinden, dass diese
generell über das Internet aufzufinden sind.
Einige grundlegende Dinge zum Layout und Konfiguration solcher Systeme sollten beachtet werden:










Evaluieren Sie den Mehrwert einer direkten Anbindung an öffentliche Netzwerke, bevor Sie
ihr ICS damit verbinden.
Wo es technisch und wirtschaftlich sinnvoll ist, sollten Sie auf Zugriffe von außen verzichten
Achten Sie darauf, dass alle Standard- oder vorkonfigurierten Passwörter vor Inbetriebnahme
geändert werden.
Achten Sie darauf, dass sichere Passwörter verwendet werden. (Min. 8 Zeichen, Groß- und
Kleinbuchstaben, Zahlen und Sonderzeichen)
Wo es technisch möglich ist, sollte eine Multi-Faktor-Authentifizierung verwendet werden.
Deaktivieren Sie nicht benötigte Services sowie Benutzer und achten Sie auf die Verwendung
von sicheren Protokollen, bspw. SSH anstatt Telnet.
Überwachen Sie die Zugriffsversuche auf Ihre Systeme.
Verwenden Sie bei einer netzwerk-übergreifenden Kommunikation Verschlüsselungstechniken.
Segmentieren Sie Ihre Netzwerke und bilden Sie abgesicherte Systemzonen (vergl. IEC 62443)
Beobachten Sie die Schwachstellenpublikationen von Herstellern, nationalen oder
internationalen Stellen, bspw. ICS-CERT.
Abbildungsverzeichnis
Abbildung 1 - HoneyTrain - Nachbildung einer Eisenbahninfrastruktur inkl. Bahnübergängen ............. 5
Abbildung 2 - SIEMENS S7 zur Steuerung der Züge................................................................................. 6
Abbildung 3 - Aufbau des Miniatur-Leitstandes und Programmiergeräts .............................................. 6
Abbildung 4 - Layout HoneyTrain ............................................................................................................ 7
Abbildung 5 - Fahrplanauskunft HoneyTrain .......................................................................................... 8
Abbildung 6 - Stream der Überwachungskamera 1 ................................................................................ 8
Abbildung 7 - Fahrstufenregelung Zug 1 ................................................................................................. 9
Abbildung 8 - Web-Visualisierung Fahrstecke HoneyTrain ................................................................... 10
Abbildung 9 - Web-Administration S7-1500 Zugsteuerung .................................................................. 10
Abbildung 10 - Listing der HoneyTrain-Komponenten bei Shodan ....................................................... 12
Abbildung 11 - Einzelansicht der S7-300 bei Shodan ............................................................................ 13
Abbildung 12 - Weltkarte mit Top 10 der Länder, aus denen Zugriffe erfolgt sind .............................. 14
Abbildung 13 - Länder nach prozentualem Anteil der Zugriffe ............................................................. 15
Abbildung 14 - Länder nach prozentualem Anteil der Zugriffe ............................................................. 15
Abbildung 15 - Top 15 der angewählten Netzwerkports ...................................................................... 16
Abbildung 16 - Netzwerkports der nachgebildeten industriellen Infrastruktur ................................... 16
Abbildung 17- Zugriffstyp prozentual zu Gesamtzugriffsversuchen ..................................................... 17
Abbildung 18 - Windows Event - Maximale Anmeldeversuche bei einer Session wurden erreicht ..... 17
Abbildung 19 - Auszug aus der Liste der ausgetesteten Benutzer ........................................................ 18
Abbildung 20 - Auszug Analyse-Login-Versuche inkl. validem Login .................................................... 19
Abbildung 21 - Zugriff auf HMI .............................................................................................................. 20
Abbildung 22 - Zugriff auf HMI und Absetzen eines Steuerbefehls ...................................................... 20
Abbildung 23 - Links – Originales Webangebot; Rechts – Website-Defacement ................................. 21
Abbildung 24 - Historie der genutzten Befehle .................................................................................... 21
Koramis GmbH
Europaallee 5, D-66113 Saarbrücken
© Copyright 2015 der Koramis GmbH. Alle Rechte vorbehalten.
Jede weitere Verwendung (Weiterverarbeitung oder Veränderung, Vervielfältigung, Weitergabe an
Dritte etc.) bedarf der Zustimmung des Urhebers.
HRB 33069 Amtsgericht Saarbrücken
Geschäftsführer:
Dipl. Ing. Hans-Peter Fichtner, Michael Krammel
In Gedenken an Dirk Lang (1969-2015) widmen wir ihm dieses White Paper.

Download Report