EKS Güvenliği Çalışmaları için Lab Ortamı Oluşturma

Bir EKS ortamı oluşturulmak istendiğinde endüstriyel cihazların fiyatlarından dolayı yüksek bir bütçeye ihtiyaç duyulmaktadır. Bu nedenle EKS güvenliği üzerinde çeşitli testler yapmak isteyenler için basit bir çalışma ortamının simülatörler ile nasıl kurulabileceğinden bahsedeceğim.

Gereksinimler:
VMware / VirtualBox
ModbusPal
Mbtget

ModbusPal: Modbus slave simülatörüdür.
Mbtget: Komut satırı üzerinden Modbus işlemleri yapan perl script.

Oluşturulacak lab ortamında ModbusPal ile Coil ve Registerlar aktifleştirilecek ve saldırgan makine üzerinden Modbus paketleri üretilip yetkisiz okuma ve yazma saldırıları yapılacaktır.

ModbusPal Aktifleştirme

İlgili siteden .jar uzantılı yazılımı indirdikten sonra aşağıdaki komut ile simülatör açılır.

sudo java -jar ModbusPal.jar
modbuspal

Add butonuna basarak Modbus slave oluşturulur.

Modbus Slave ekleme

Göz butonuna tıklayarak Holding Register ve Coil değerleri oluşturulur.

Oluşturulan register değerleri value sekmesi üzerinden değiştirilebilir.

Son olarak “Enable all” ve “Run” butonlarına basılarak simülatör çalıştırılır.

ModbusPal ile slave oluşturulduktan sonra saldırgan makine üzerinden yetkisiz okuma-yazma işlemlerine geçilebilir.
mbtget kurulumu için aşağıdaki adımlar izlenir:

git clone https://github.com/sourceperl/mbtget.git
cd mbtget
perl Makefile.PL
make
sudo make install
mbtget kurulum
mbtget -n OKUNACAK_REGISTER_SAYISI -a BASLANGIC_REGISTER_ADRESI HEDEF_IP_ADRESİ

Yukarıdaki komut ile ModbusPal üzerindeki register değerleri okunur.

Yukarıdaki örnekte hedefin ilk 3 register değeri okunmuştur. Ağ trafiğine bakıldığında 2 adet Modbus paketi görülmektedir. Bunlar okuma isteği ve isteğe dönen yanıt.

Response paketi incelendiğinde register değerlerine ait veriler gözükmektedir.

Yazma isteği için ise aşağıdaki komut kullanılır.

mbtget -w6 DEGER -a REGISTER_ADRESI -d IP_ADRESI

Bu örnekte hedefe ait ilk register adresine “123 ” yazma isteği gönderilmiştir. Ağ trafiğine bakıldığında hedefe hexadecimal değeri “007b” olan veri gönderilmiştir.

ModbusPal üzerinden register değerlerine bakıldığında ilk adresin değerinin “123” olarak değiştiği görülür.

2 Yorum

  1. Umut demiş ki:

    Bilgi verici bir yazı olmuş, eline sağlık.

    15 Temmuz 2019
    Yanıtla
  2. Volkan Vural demiş ki:

    Ömer eline sağlık çok aydınlatıcı olmuş.
    Volkan Vural

    28 Temmuz 2019
    Yanıtla

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir