返回文章列表
玄貓(BlackCat)

工業網路滲透測試:IDS偵測原理與規避策略解析

本文探討在滲透測試中,網路監控工具如TAP與Packet Squirrel的應用價值,並深入解析工業網路入侵偵測系統(IDS)的運作原理與發展。文章首先說明如何利用物理存取優勢進行數據擷取,接著聚焦於IDS的核心技術,如深度封包檢測(DPI)與異常行為分析。最後,本文提出四種關鍵的IDS規避策略,包含節點授權飽和、使用非標準埠、加密協議及「借地而生」,為滲透測試人員提供在受監控環境中保持隱匿的實戰方法論。

網路安全 工業控制系統
入侵偵測系统 滲透測試 深度封包檢測 借地而生 網路監控 Packet Squirrel

在當代工業控制系統(ICS)環境中,被動式網路監控已從選配轉為標準安全建置。從基礎的埠鏡像(SPAN)與網路測試存取點(TAP)到更智能的Packet Squirrel,這些工具為滲透測試人員提供了前所未有的流量可視性。然而,隨著資安成熟度提升,企業普遍導入入侵偵測系統(IDS)以分析網路行為並偵測異常。本文旨在超越單純的流量擷取技術,深入探討工業IDS的發展脈絡、基於深度封包檢測的偵測原理,以及其在資產發現與威脅識別中的角色。更重要的是,我們將系統性地剖析攻擊者視角的規避策略,從製造噪音干擾到利用協定盲點,完整呈現滲透測試中偵測與反偵測的技術博弈,為專業人員提供應對現代化監控體系的戰術思維。

TAP在滲透測試中的價值:

  • 物理存取優勢:當您擁有對客戶網路的物理存取權限時,TAP的價值尤為突出。只需簡單地將TAP插入網路線路,即可開始記錄數據。
  • 協議分析:TAP允許您解讀網路中使用的協議。
  • 敏感數據擷取:更重要的是,TAP能夠捕獲網路中傳輸和共享的獨特和敏感數據,這對於滲透測試人員來說是寶貴的情報。

其他LAN TAP產品:

  • Hak5:許多製造商提供LAN TAP,其中Hak5以其植入工具而聞名。
  • 產品範例:除了Throwing Star LAN TAP,還有Throwing Star LAN TAP Pro、Packet Squirrel和Plunder Bug LAN TAP等。
  • Plunder Bug LAN TAP:與Throwing Star類似,Plunder Bug LAN TAP也能即時記錄流量並儲存到USB-C。
  • Packet Squirrel:這是一個值得一提的設備,它不僅能記錄流量,還能執行更多功能。

網路監控利器:Packet Squirrel與IDS安全監控

玄貓認為,除了傳統的TAP設備,一些更智能化的工具如Packet Squirrel,在滲透測試中扮演著日益重要的角色。它們不僅能擷取流量,還能提供更進階的功能,例如自動生成PCAP檔案,這對於在網路中尋找敏感憑證資訊極為有用。

Packet Squirrel的進階應用:

  • 自動生成PCAP:Packet Squirrel可以配置為自動生成PCAP檔案,這對於離線分析網路流量、尋找遺留的憑證等資訊非常方便。
  • C2管理與資料外傳:雖然Packet Squirrel並非嚴格意義上的TAP,但它可以連接到Hak5 Cloud C2進行管理和資料外傳,從而讓您遠端存取網路流量數據。
  • 預設與自訂酬載:Packet Squirrel提供了多種預設的攻擊酬載選項,同時也支援開發自訂酬載,以滿足特定的滲透測試需求。

此圖示:Packet Squirrel功能概覽

@startuml
!define DISABLE_LINK
!define PLANTUML_FORMAT svg
!theme _none_

skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100

rectangle "Packet Squirrel" as ps {
component "自動 PCAP 生成" as pcap_gen
component "預設攻擊酬載" as pre_payload
component "自訂酬載開發" as custom_payload
component "Hak5 Cloud C2 連接" as c2_conn
}

cloud "Hak5 Cloud C2" as c2_cloud
database "網路流量數據" as net_data
actor "滲透測試人員 (Pentester)" as pentester

pcap_gen --> net_data : 儲存 PCAP 檔案
pre_payload --> ps : 執行預設攻擊
custom_payload --> ps : 部署自訂攻擊
c2_conn <--> c2_cloud : 遠端管理與資料外傳

pentester -- ps : 配置與操作
pentester -- c2_cloud : 遠端存取數據

note right of ps
Packet Squirrel 提供多功能網路監控與攻擊能力,
可遠端管理並自動蒐集網路情報。
end note

@enduml

看圖說話:

此圖示展示了Packet Squirrel的功能概覽Packet Squirrel是一個多功能的網路工具,其核心功能包括自動PCAP生成,能夠將擷取到的網路流量儲存為PCAP檔案,供後續分析。它還內建了預設攻擊酬載,並支援自訂酬載開發,以執行多種滲透測試任務。此外,Packet Squirrel可以透過Hak5 Cloud C2連接,實現遠端管理和資料外傳,使得滲透測試人員能夠遠端操控設備並存取其蒐集到的網路數據。這使得Packet Squirrel成為在滲透測試中,特別是在需要隱蔽和自動化情報蒐集時,一個極具價值的工具。

IDS安全監控的深度解析

玄貓認為,我們已經學習了如何安裝Wireshark、設定SPAN/埠鏡像以及使用TAP。這些知識都為理解入侵偵測系統(IDS)在工業網路中的關鍵作用奠定了基礎。

IDS的重要性:

  • 廣泛應用:儘管有人可能質疑被動監控的有效性,但事實上,許多供應商的IDS技術已被廣泛採用,幾乎出現在每一次滲透測試中。
  • 資安成熟度指標:一個公司對其工業網路投入新的監控技術,通常也反映了其資安成熟度。

本節目標:

  • IDS供應商概覽:介紹主要的IDS安全監控供應商。
  • 典型檢測能力:概述IDS通常檢測的內容。
  • 整合與警報:探討IDS如何整合到更廣泛的安全工具套件中,以實現事件管理和警報。
  • 滲透測試中的規避策略:探討在滲透測試中如何規避這些產品,並保持不被偵測。因為一旦IDS偵測到您的IP地址,並觸發網路存取控制(NAC)將您的MAC地址從所有交換器中移除,那將是非常挫敗的。

IDS的發展歷程與工業領域的應用:

  • 起源:IDS的概念和實踐自1980年代就已存在,其發展源於提升網路安全的需求。
  • Snort的誕生:1998年,開源網路入侵偵測系統「Snort」的出現,讓愛好者和新創公司能夠利用其基於規則的引擎,開發更深層次的檢測能力。
  • 工業領域的專用IDS:大約十年後,像Digital Bond和Industrial Defender這樣的公司開始使用專為工業設備設計的規則,來檢測惡意活動和攻擊。
  • 專注工業網路檢測的公司
  • Security Matters:2009年在荷蘭成立,專注於工業網路檢測。
  • Sophia Proof of Concept Report:2010年3月,愛達荷國家實驗室的三位研究人員提交了一份報告,旨在視覺化地對工業網路進行指紋識別。
  • Dragos與Nozomi Networks:2013年,美國的Dragos(產品為Cyberlens)和瑞士的Nozomi Networks(產品為SCADAguardian)兩家公司推出了被動監控系統。
  • 市場爆發:隨著2014年十多家公司推出類似系統,工業網路安全監控市場開始蓬勃發展。

此圖示:IDS發展與工業應用時間軸

@startuml
!define DISABLE_LINK
!define PLANTUML_FORMAT svg
!theme _none_

skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100

skinparam activity {
StartColor #ADD8E6
EndColor #ADD8E6
BarColor #ADD8E6
ArrowColor #222222
BorderColor #222222
BackgroundColor #EEEEEE
}

skinparam sequence {
ArrowColor #222222
ActorBorderColor #222222
ActorBackgroundColor #ADD8E6
ParticipantBorderColor #222222
ParticipantBackgroundColor #EEEEEE
}

skinparam class {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam component {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam node {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam database {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam cloud {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam usecase {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam state {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam object {
BorderColor #222222
BackgroundColor #EEEEEE
ArrowColor #222222
}

skinparam activityDiagram {
StartColor #ADD8E6
EndColor #ADD8E6
BarColor #ADD8E6
ArrowColor #222222
BorderColor #222222
BackgroundColor #EEEEEE
}

skinparam titleFontSize 20
skinparam defaultFontSize 14

rectangle "IDS發展與工業應用里程碑" {
state "1980s: IDS概念萌芽" as IDS_Concept
state "1998: Snort開源IDS誕生" as Snort_Birth
state "2000s: 專為工業設備設計規則" as Industrial_Rules
state "2009: Security Matters成立" as SM_Founded
state "2010: Sophia PoC報告發布" as Sophia_Report
state "2013: Dragos & Nozomi Networks成立" as Dragos_Nozomi
state "2014: 工業IDS市場爆發" as Market_Boom
}

IDS_Concept --> Snort_Birth : 網路安全需求驅動
Snort_Birth --> Industrial_Rules : 開源引擎促成專業化
Industrial_Rules --> SM_Founded : 專注工業網路檢測
SM_Founded --> Sophia_Report : 視覺化指紋識別研究
Sophia_Report --> Dragos_Nozomi : 被動監控系統興起
Dragos_Nozomi --> Market_Boom : 眾多公司投入市場

note right of Market_Boom
被動監控成為工業網路安全核心,
大量資本湧入,技術快速發展。
end note

@enduml

看圖說話:

此圖示描繪了入侵偵測系統(IDS)在工業領域的發展與應用時間軸。從1980年代IDS概念萌芽開始,網路安全需求的提升推動了技術的進步。1998年Snort開源IDS的誕生,為後續的專業化發展奠定了基礎。進入2000年代,開始出現專為工業設備設計的檢測規則。隨後,2009年Security Matters成立,標誌著專注工業網路檢測的企業出現。2010年Sophia PoC報告的發布,進一步推動了工業網路視覺化指紋識別的研究。2013年,Dragos和Nozomi Networks等公司相繼成立,推出了被動監控系統。最終,在2014年,工業IDS市場迎來爆發式增長,大量資本和技術湧入,使被動監控成為工業網路安全的核心策略。

工業IDS產業概覽與規避策略

玄貓認為,隨著工業網路威脅的日益複雜,入侵偵測系統(IDS)在保護關鍵基礎設施方面扮演著舉足輕重的角色。工業IDS產業在近年來呈現爆發式增長,許多公司,特別是來自以色列(如Indegy, SCADAFence, Claroty),在IDF(以色列國防軍)8200部隊退役人員的推動下,成為該領域的佼佼者。法國的Sentryo等公司也於2014年加入競爭,各家廠商都在競相開發最全面、最完整的資產發現與監控解決方案。

IDS監控的核心原理:

  • 深度封包檢測:IDS監控設備會執行深度封包檢測(Deep Packet Inspection, DPI),分析流量中的惡意行為。
  • 異常行為檢測:這些系統會持續追蹤網路中新出現的關鍵要素,例如:
  • 網路中發現新的MAC位址。
  • 網路中發現新的IP位址。
  • 網路中發現新的協議。
  • 網路中發現新的通訊路徑。

滲透測試中的應對策略:

在從企業網路轉向客戶的工業網路時,滲透測試人員必須意識到自己的機器將會被追蹤和指紋識別。了解這一點,才能制定有效的策略來隱藏蹤跡。當這些系統偵測到新的設備和通訊時,會根據其命名慣例產生事件或警報。

  • IDS與其他安全機制的整合
  • IDS是否與網路存取控制(NAC)或防火牆整合?
  • IDS如何處理警報?是否會阻礙進一步滲透網路?
  • 防火牆是否會阻止連接到較低層級的系統?
  • NAC是否會向其監管的交換器發送安全組標籤(SGTs),導致封包被丟棄? 這些都是在網路中移動時必須考慮的關鍵因素。

規避IDS監控的策略:

即使IDS系統經過精心調校,並安裝了最新的封包規則、YARA規則、簽章和整合,也並非無懈可擊。這些IDS監控系統存在一些弱點,我們可以加以利用。以下是一些規避被動監控的策略:

  1. 節點授權飽和(Node License Saturation)
  • 原理:透過在網路中引入大量新節點和活動,導致監控解決方案超出其授權節點數量限制。
  • 效果:IDS解決方案將無法識別或通知您的設備,從而使您能夠在網路中進行樞軸攻擊,而不被系統發現。這並非使IDS失效,而是產生大量噪音,讓終端使用者難以察覺真正的惡意行為。
  1. 其他協議或非標準埠(Other Protocol or Uncommon Port)
  • 原理:如果流量使用IDS未配對解剖器(dissector)的協議,或者透過非標準埠傳輸,IDS可能會將其歸類為「其他」流量,而不進行進一步分析。
  • 範例:透過非標準埠傳輸HTTP流量。
  1. 加密協議使用(Encrypted Protocol Usage)
  • 原理:利用加密協議(如HTTPS,通常在埠443上)來建立網路逆向Shell。
  • 效果:埠443上的通訊通常被識別為HTTPS通訊並被允許,IDS可能不會對其進行進一步分析,從而使惡意流量得以隱匿傳輸。
  1. 借地而生(Living off the Land)
  • 原理:這是最隱蔽的策略,利用網路中已有的設備和協議來執行滲透測試活動。
  • 效果:由於利用的是網路中合法的工具和行為,IDS很難將其識別為異常或惡意活動。

玄貓提醒,這些策略是透過過去的經驗和研究發現的,它們對不同的IDS設備有不同的效果。並非所有IDS都對這些漏洞一視同仁,滲透測試人員需要根據具體情況靈活運用。

此圖示:IDS規避策略概覽

@startuml
!define DISABLE_LINK
!define PLANTUML_FORMAT svg
!theme _none_

skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100

rectangle "IDS規避策略" as strategies {
component "節點授權飽和" as node_saturation
component "其他協議/非標準埠" as uncommon_port
component "加密協議使用" as encrypted_protocol
component "借地而生" as living_off_land
}

cloud "入侵偵測系統 (IDS)" as ids
cloud "網路存取控制 (NAC)" as nac
cloud "防火牆 (Firewall)" as firewall

node_saturation --> ids : 產生大量噪音/超出授權
uncommon_port --> ids : 歸類為"其他"流量
encrypted_protocol --> ids : 流量未被深入分析
living_off_land --> ids : 偽裝合法行為

ids --> nac : 觸發警報/事件
ids --> firewall : 觸發警報/事件

nac --> firewall : 協同防禦
firewall --> nac : 協同防禦

note right of strategies
這些策略旨在利用IDS的盲點或限制,
以在滲透測試中保持隱匿。
end note

@enduml

看圖說話:

此圖示展示了規避入侵偵測系統(IDS)的四種主要策略節點授權飽和策略透過產生大量網路活動,使IDS超出其監控能力或授權限制。其他協議/非標準埠策略利用IDS對未知協議或非標準埠流量分析不足的弱點。加密協議使用策略則利用加密流量(如HTTPS)在IDS中通常不被深入分析的特性,隱藏惡意通訊。最後,借地而生策略是最為隱蔽的,它利用網路中現有的合法工具和協議來執行操作,使IDS難以區分正常與惡意行為。這些策略都旨在利用IDS的盲點或限制,以在滲透測試中保持隱匿,避免觸發IDS與網路存取控制(NAC)防火牆的聯動防禦機制。

借地而生在ICS環境中的應用:
  • 利用合法介面:在獲得HMI(人機介面)、數據歷史庫或操作員工作站的存取權限後,滲透測試人員可以利用標準的方法和程序來傳達設定點更新或配置更改。
  • 偽裝正常活動:例如,使用HMI來開關閥門,這在網路中看起來是正常的活動,因此不會引起IDS的注意。這種方法使得攻擊者能夠在不被偵測的情況下,對工業控制系統進行操作。

####### 展望未來:封包深度解析

玄貓認為,下一章將是本章的延伸,我們將專注於封包深度解析。這將是IDS公司在開發其產品時所使用的「秘密武器」——協議解剖器(Protocol Dissectors)。我們將學習如何建立封包擷取,並研究和解剖網路中傳輸的協議。

結論

縱觀現代網路攻防的技術演進,我們清晰地看見一條從單純物理竊聽到智能化與策略化滲透的發展路徑。傳統TAP提供了基礎的數據入口,而Packet Squirrel這類智能化工具則將效率提升至自動化與遠端操控的層次。然而,真正的挑戰在於應對日益精密的IDS防禦體系。本文所剖析的「節點飽和」、「協議混淆」乃至「借地而生」等規避策略,其核心價值不在於技術本身,而在於它們精準地利用了防禦系統的授權限制、分析盲點與信任模型。這標誌著滲透測試已從工具導向的「術」,演進為理解防禦方心理與系統弱點的「道」。

展望未來,隨著防禦機制愈發智能,攻防的決勝點將進一步下沉至封包的深層結構。對「協議解剖器」的掌握與反制,將成為區分頂尖專家與一般從業者的關鍵分水嶺。玄貓認為,對於追求卓越的資安專家而言,必須完成從工具使用者到系統性思想家的蛻變,唯有洞悉整個攻防生態的運作邏輯,方能在這場永不休止的智慧博弈中,始終佔據主動。