⭕️ حملات Modbus Stager در شبکه های صنعتی به این صورت هست که میتونیم Payload خودمون رو به روی حافظه PLC بارگزاری کنیم و بعدش از طریق یک Host که به Dropper آلوده شده با استفاده از Stager که روی PLC هست با پروتکل Modbus ارتباط برقرار کنیم و Stager که میتونه Shellcode و یا یک Payload ساده باشه رو اجرا کنیم.
مزیتی که این حمله داره اینه که پیگیری و Forensics رو به خاطر اینکه Shellcode به صورت مستقیم روی Memory قرار میگیره تقریبا غیر ممکن میکنه و بعد اجرای Payload یا shellcode میشه از طریق خود Stager دوباره حافظه PLC رو overwrite کرد.
https://www.shelliscoming.com/2016/12/modbus-stager-using-plcs-as.html
#ICS #SCADA #PLC #RedTeam
@Engineer_Computer
مزیتی که این حمله داره اینه که پیگیری و Forensics رو به خاطر اینکه Shellcode به صورت مستقیم روی Memory قرار میگیره تقریبا غیر ممکن میکنه و بعد اجرای Payload یا shellcode میشه از طریق خود Stager دوباره حافظه PLC رو overwrite کرد.
https://www.shelliscoming.com/2016/12/modbus-stager-using-plcs-as.html
#ICS #SCADA #PLC #RedTeam
@Engineer_Computer
Shelliscoming
Modbus Stager: Using PLCs as a payload/shellcode distribution system
This weekend I have been playing around with Modbus and I have developed a stager in assembly to retrieve a payload from the holding regis...
#IOCONTROL #ICS #Trojan
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3👎1🤩1