FrostyGoop是第九个专门针对工业控制系统(ICS)的恶意软件,也是首先个利用Modbus通信对运营技术(OT)产生影响的ICS特定恶意软件。相关配置文件包含一个属于暴露在互联网的ENCO控制设备的IP地址,Dragos据此中等置信度地评估FrostyGoop在此次攻击前已用于针对一个或多个TCP端口502可通过互联网访问的ENCO控制器。
针对FrostyGoop攻击乌克兰供暖系统的案例,建议用户实施五项关键控制措施来提高网络安全性。它是为Windows系统编译的,且在发现时,杀毒软件供应商并未检测到它具有恶意性。该恶意软件可以直接使用Modbus 与ICS进行交互,Modbus是全球所有工业部门和组织中使用的标准ICS协议。一旦建立连接,FrostyGoop会向设备发送Modbus命令,并在接收到设备的响应后关闭连接并退出执行。
1、大牛生活记
最开始还是一贯性的想上frida,但是抓包明显更简单,那就fiddler吧。通过命令行参数或JSON配置文件,用户可以指定目标设备的IP地址、执行的Modbus命令模式(如读取保持寄存器、写入单个保持寄存器、写入多个保持寄存器)、目标ICS设备上的Modbus寄存器地址、JSON配置文件名称以及日志输出文件名。
2、dns异常怎么解决
这些文件是用Golang编写的,能够通过502端口使用Modbus TCP直接与ICS交互,并为Windows系统编译。配置文件FrostyGoop的配置文件以JSON格式包含执行Modbus命令所需的信息。FrostyGoop通过Modbus TCP与ICS设备通信的能力威胁到多个领域的重要基础设施。
3、dn是什么意思
FrostyGoop恶意软件可能已用于攻击其他暴露于互联网的Modbus控制器,突显了ICS环境在网络安全方面的脆弱性。一个相关的FrostyGoop配置文件包含了一个ENCO控制设备的IP地址,Dragos基于此中等信心地评估认为FrostyGoop被用于攻击那些对外开放TCP端口502的ENCO控制器。从fiddler中dump出数据,上010恢复成jpg格式我才发现事情的不对劲。
4、等你三千年
防止DNS欺骗:通过验证DNS响应的真实性,DNSSec可以有效防止DNS欺骗攻击。基本逻辑和分析得一样,通过两个txt文件拿到真实服务器的地址,其中108是用来记录post参数的,之前图中的device、phone number等数据。每个post的参数都经过了AESUtils.encryptBase64()加密了一次,对称密码,直接看看他代码怎么写的。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 80448874@qq.com 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://www.pglvshi.com/dnsjpx/5913.html
