Idén először sikerült regisztrálnom a Dragos évenként megrendezésre kerülő, DISC (Dragos Industrial Security Conference) névre hallgató konferenciájára, amit elsősorban az ügyfeleiknek szerveznek. Az idei regisztráció nyitott volt minden ipari folyamatirányító rendszereket üzemeltető szervezetnél dolgozó kolléga számára, így én is beneveztem.
A konferencia egy napos volt (november 5-én), előtte viszont 2-án, magyar idő szerint 18:00-tól volt egy Capture the Flag, amiben többek között bináris fájl elemzését, ICS protokollt (Modbus/TCP) tartalmazó hálózati forgalom elemzését (PCAP fájlban), adathalász e-mailek és csatolmányaik vizsgálatát, hálózati diagramm-elemzést, kriptanalízist, PLC program és logika elemzést, valamint Windows forensics feladatokat is meg kellett oldani.
A feladatokat egyénileg és csapatban is végig lehetett csinálni, én (lévén CTF-téren elég kezdő vagyok) egyedül vágtam bele, de így is voltak megoldható és érdekes feladatok.
A konferencia maga tegnap délután, magyar idő szerint 14:00-kor kezdődött. Az első érdekesebb előadás a konferencián élőben megjelenő résztvevőknek készített, interaktív belépővel kapcsolatos kihívás teljesítéséről szólt. Ellentétben a megszokott (és általában nem túl fantáziadús) konferencia belépőkkel, itt egy programozható és ezért hackelhető belépőt kaptak a Maryland-be ellátogató résztvevők, aminek négy része van, egy-egy kritikus infrastruktúra-szektor (villamosenergia-, víz- és gázszektor illetve egy gyár) működését kellett helyreállítani (itt látható, hogyan is néz ki, 2 AA elemmel teljesen működőképes - gondolom Raspberry PI-alapú kis eszköz).
A következő előadás a hálózati forgalom megfigyeléséhez használt programok esetén a különböző (jellemzően ICS-specifikus) protokollokhoz használható feldolgozó (ún. dissector) modulok fejlesztéséről szólt. A három előadó a Honeywell egyes termékei által használt FTE (Fault Tolerant Ethernet) protokoll, a Yokogawa Vnet/IP protokoll és a feldolgozásáról.
A harmadik előadás a kifinomult (angol eredetijében sophisticated) malware-ekről szólt, de nem a megszokott módon. Az előadó szerint az elhíresült (néha már-már sztárolt) malware-eket is csak átlagos szoftverfejlesztők írják, nem pedig a szuperhős filmek szuper-gonosz antihőseire emlékeztető hacker-félistenek és bizony ezek a malware-fejlesztők is ugyanolyan gyakran vétenek programozási hibákat, mint bármelyik másik fejlesztő. Erre példákként a Triton/TriSIS, az Industroyer/CrashOverride ICS malware-ekben illetve a Mozi nevű cryptominer-ben felfedezett hibákat mutatta be.
Az ebédszünet előtti (ami ebben az esetben magyar idő szerint délután fél 6-kor volt) utolsó előadás a PLC-kben használt fizikai kulcsok és a PLC logika megváltoztatásával kapcsolatos detekciós lehetőségekről szólt.
A szünet után Leslie Carhart és Vern McCandlish ICS incidenskezelési esettanulmányaival folytatódott a program, amiből ismét elsősorban az volt (számomra) a tanulság, hogy az incidenskezelési ismeretek és gyakorlat mellett legalább ugyanilyen fontos, hogy az incidens elhárításában résztvevők őrizzék meg a higgadtságukat és a biztonsági esemény okozta stresszhelyzetben is tudjanak logikusan gondolkozni.
A következő előadás a vasúti folyamatvezérlő rendszerekkel kapcsolatos biztonsági kérdésekről, ideértve az előadók (Anna Skelton, Reid Wightman) által felfedezett, vasúti rendszereket érintő sérülékenységekről és a vasút ICS rendszerekre gyakorolt hatásairól szólt.
A délutáni (esti) szünet előtti utolsó előadásban Kyle O'Meara a különböző APT csoportok által fejlesztett malware-ek és egyéb támadói kódokban felfedezhető hasonlóságok elemzését mutatta be, mint olyan módszert, amivel azonosítani és követni lehet az egyes APT csoportok tevékenységeit.
Az utolsó blokk első előadásában a zsarolóvírusok által használt, célba vett hálózatokon belüli terjedési (lateral movement) technikákról volt szó. Érdekes volt látni, hogy mára 26 olyan ransomware-családot ismerünk már, amiknek volt és van hatásuk OT rendszerekre/hálózatokra.
A következő előadás a fizikai folyamatvezérlés paramétereinek távoli integritás-ellenőrzésének egy lehetőségét mutatta be.
Az utolsó előadást két OT penteszter tartotta, erősen építve az esettanulmányaikat a MITRE ATT&CK for ICS keretrendszerre.
Aztán amikor már úgy nézett ki, hogy vége a 2021-es DISC-nek Robert M. Lee közölte, hogy van még egy esettanulmányuk, amit viszont az eset bizalmasságára tekintettel az addig használt Zoom helyett Microsoft Teams-en fognak megtartni. Az esettanulmány egy, az energiaszektorban működő cég OT rendszerei elleni támadás részleteit mutatták be, amihez a támadók QNAP storage-okat használtak fel, amiket egy 0-day sérülékenységen keresztül tudtak kompromittálni, továbbá 3 Draytek routert is azonosítani tudtak, amiket felhasználtak a támadók a műveleteik során.
Összességében a DISC 2021 egy nagyon jó, minőségi rendezvény volt, a CTF és az előadások is hozták azt a színvonalat, amit előzetesen vártam. Ennél jobb már csak a helyszínen lehetett volna, de erre csak egészen minimális esélyt látok, függetlenül attól, hogy mennyire lesz nehéz vagy könnyű az USA-ba utazni a COViD miatt. Ha máshogy nem is, virtuálisan én jövőre is biztos, hogy részt fogok venni.
