SHODAN能力分析 (一)
SHODAN能力分析(一)
目 錄
1.基本能力概覽
1.1 SHODAN節點分佈
1.2 SHODAN關注的裝置及埠
1.3 SHODAN業務模式
2.工控態勢感知能力分析
2.1 從探測到的裝置製造商角度分析
2.2 從串列埠到以太口轉換卡製造商角度分析
2.3 從某行業/協議(BACNET/HAVC)製造商角度分析
2.4 從SIEMENS SIMATIC/ICCP(102埠)國家分佈角度分析
2.5 從MODBUS/TCP(502埠)國家分佈角度分析
2.6 從DNP3(20000埠)國家分佈角度分析
2.7 從Ethernet/IP(44818埠)國家分佈角度分析
2.8 從BACNet(47808埠)國家分佈角度分析
2.9 一些可能產生危害的例子
1. 基本能力概覽
1.1 SHODAN節點分佈
SHODAN是John Matherly在大學期間開發的“網路空間搜尋引擎”,已知Shodan使用15探測節點, 其中9個節點位於美國本土(3個節點位於東部的芝加哥,6個節點位於西海岸的聖地亞哥),6個節點位於歐洲,詳情如下表所示:
表1 Shodan節點詳情
Shodan節點名稱 |
IP地址 |
地理位置 |
census1.shodan.io |
198.20.69.74 |
Chicago Illinois United States |
census2.shodan.io |
198.20.69.98 |
Chicago Illinois United States |
census3.shodan.io |
198.20.70.114 |
Chicago Illinois United States |
census4.shodan.io |
198.20.99.130 |
Netherlands |
census5.shodan.io |
93.120.27.62 |
Romania |
census6.shodan.io |
66.240.236.119 |
San Diego California United States |
census7.shodan.io |
71.6.135.131 |
San Diego California United |
census8.shodan.io |
66.240.192.138 |
San Diego California United |
census9.shodan.io |
71.6.167.142 |
San Diego California United |
census10.shodan.io |
82.221.105.6 |
Iceland |
census11.shodan.io |
71.6.165.7 |
San Diego California United |
census12.shodan.io |
71.6.165.200 |
San Diego California United |
rim.census.shodan.io |
85.25.43.94 |
Germany |
pacific.census.shodan.io |
85.25.103.50 |
Germany |
atlantic.census.shodan.io |
188.138.9.50 |
Germany |
1.2 SHODAN關注的裝置及埠
SHODAN專注在對網路空間的“裝置級”探測,包括但不限於:
• 工控PLC
• 工控HMI(上位機)
• 工控組態軟體
• IP攝像頭
• IP攝像頭
• 串列埠轉換裝置(如Moxa卡等)
其早期關注的埠如下:
• FTP—Port 21
• Telnet—Port 23
• HTTP—Port 80
• SSH—Port 22
• SNMP—Port 161
• HTTPS—Port 443
其後期關注的埠如下:
• Siemens SIMATIC / ICCP—Port 102
• MODBUS/TCP –Port 502
• DNP3—Port 20000
• Ethernet/IP—Port 44818
• BACNet—Port 47808
1.3 SHODAN業務模式
其主要的業務模式如下,依靠掃描引擎(紅色橢圓),對外提供5種服務(藍色矩形),並進行使用者資料收集(綠色矩形),具體如下圖所示:
2. 工控態勢感知能力分析
由於2008年開始,美國土安全部(DHS)SHINE(SHodan INtelligence Extraction)計劃的推動,使得SHODAN對於工控裝置的識別能力大大提高,截止到2014年,SHODAN功能識別886種工控裝置,涉及182個工控廠商,包含2,186,971個工控裝置。
2.1 從探測到的裝置製造商角度分析
依據SHODAN發現的工控裝置數量,從製造商佔比的角度看,前11家制造商的裝置共586,997個,佔總量(2,186,971)的26.84%,他們是:
• ENERGYICT
• SIEMENS
• MOXA
• LANTRONIX
• NIAGARA
• GOAHEAD-WEB
• VXWORKS
• INTOTO
• ALLIED-TELESYS
• DIGI INTRERNATIONAL
• EMBEDTHIS-WEB
具體制造商分佈如下:
製造商 |
數量 |
佔比 |
|
ENERGYICT |
106,235 |
18.10% |
|
SIEMENS |
84,328 |
14.37% |
|
MOXA |
78,309 |
13.34% |
|
LANTRONIX |
56,239 |
9.58% |
|
NIAGARA |
54,437 |
9.27% |
|
GOAHEAD-WEB |
42,473 |
7.24% |
|
VXWORKS |
34,759 |
5.92% |
|
INTOTO |
34,686 |
5.91% |
|
ALLIED-TELESYS |
34,573 |
5.89% |
|
DIGI INTERNATIONAL |
30,557 |
5.21% |
|
EMBEDTHIS-WEB |
30,381 |
5.17% |
2.2 從串列埠到以太口轉換卡製造商角度分析
依據SHODAN發現的工控裝置數量,從使用BACNET協議並應用於HAVC領域的製造商角度來看,前16家裝置共13,475個,佔總量(2,186,971)的0.62%,他們是:
• HEATMISER
• HONEYWELL
• YORK
• BACNET
• INTERNATIONAL
• TRANE
• JOHNSON CONTROLS
• CARRIER
• • TEMPERATURE GUARD
• LG ELECTRONICS
• LIEBERT
• CENTRALINE
• STULZ
• CONTROL4
• BOSCH AUTOMATION
• LENNOX
• CUMMINGS
具體制造商分佈如下:
製造商 |
數量 |
佔比 |
HEATMISER |
6,487 |
48.13% |
HONEYWELL |
3,588 |
26.63% |
YORK |
921 |
6.83% |
BACNET INTERNATIONAL |
560 |
4.16% |
TRANE |
506 |
3.76% |
JOHNSON CONTROLS |
460 |
3.41% |
CARRIER |
234 |
1.74% |
TEMPERATURE GUARD |
180 |
1.34% |
LG ELECTRONICS |
145 |
1.08% |
LIEBERT |
126 |
0.94% |
CENTRALINE |
81 |
0.60% |
STULZ |
77 |
0.57% |
CONTROL4 |
38 |
0.28% |
BOSCH AUTOMATION |
37 |
0.27% |
LENNOX |
24 |
0.18% |
CUMMINGS |
11 |
0.08% |
2.3 從某行業/協議(BACNET/HAVC)製造商角度分析
依據SHODAN發現的工控裝置數量,從串列埠到以太口(Serial—>Ethernet)的製造商角度來看,前6家裝置共204,416個,佔總量(2,186,971)的9.35%,他們是:
• MOXA
• LANTRONIX
• ALLIED TELESYS
• DIGI INTERNATIONAL
• ATOP SYSTEMS
• MULTITECH SYSTEMS
具體制造商分佈如下:
製造商 |
數量 |
佔比 |
MOXA |
78,309 |
38.31% |
LANTRONIX |
56,239 |
27.51% |
ALLIED TELESYS |
34,573 |
16.91% |
DIGI INTERNATIONAL |
30,557 |
14.95% |
ATOP SYSTEMS |
3,846 |
1.88% |
MULTITECH SYSTEMS |
892 |
0.44 |
2.4 從SIEMENS SIMATIC/ICCP(102埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從SIEMENS的SIMATIC/ICCP協議分佈角度來看,前五個國家裝置共1802個,總體共3477個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
1 |
德國 |
691 |
38.35% |
19.87% |
2 |
義大利 |
513 |
28.47% |
14.75% |
3 |
美國 |
277 |
15.37% |
7.97% |
4 |
西班牙 |
247 |
13.71% |
7.10% |
5 |
土耳其 |
74 |
4.11% |
2.13% |
共:1802 |
2.5 從MODBUS/TCP(502埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從MODBUS/TCP協議分佈角度來看,前五個國家裝置共8,106個,總體共16,066個(PS:ZoomEye15年7月對MODBUS/TCP的掃描結果是39,588,說明一年多以來全球聯網MODBUS/TCP裝置增加了一倍多),他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
1 |
美國 |
4,089 |
50.44% |
25.45% |
2 |
西班牙 |
1,051 |
12.97% |
6.54% |
3 |
瑞典 |
1,016 |
12.53% |
6.32% |
4 |
義大利 |
982 |
12.11% |
6.11% |
5 |
法國 |
968 |
11.94% |
6.03% |
共:8106 |
2.6 從DNP3(20000埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從DNP3協議分佈角度來看,前五個國家裝置共515個,總體共625個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
1 |
美國 |
401 |
77.86% |
64.16% |
2 |
瑞典 |
55 |
10.68% |
8.80% |
3 |
斯洛伐克 |
28 |
5.44% |
4.48% |
4 |
義大利 |
18 |
3.50% |
2.88% |
5 |
土耳其 |
13 |
2.52% |
2.08% |
共:515 |
2.7 從Ethernet/IP(44818埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從DNP3協議分佈角度來看,前五個國家裝置共3537個,總體共4522個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
1 |
美國 |
2,384 |
67.40% |
52.72% |
2 |
374 |
10.57% |
8.27% |
|
3 |
韓國 |
314 |
8.88% |
6.94% |
4 |
義大利 |
281 |
7.94% |
6.21% |
5 |
西班牙 |
184 |
5.20% |
4.07% |
共:3537 |
2.8 從BACNet(47808埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從BACNet協議分佈角度來看,前五個國家裝置共9,678個,總體共11,553個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
1 |
美國 |
7,259 |
75.01% |
62.83% |
2 |
加拿大 |
893 |
19.56% |
16.39% |
3 |
西班牙 |
267 |
2.76% |
2.31% |
4 |
芬蘭 |
134 |
1.38% |
1.16% |
5 |
澳大利亞 |
125 |
1.29% |
1.08% |
共:9678 |
2.9 一些可能產生危害的例子
下面列舉一些筆者找到的一些可能存在漏洞的工控裝置的“搜尋關鍵字”:
SHODAN關鍵字 |
數量 |
類別 |
註釋 |
A850+Telemetry+Gateway |
25 |
Telemetry |
遙感測量閘道器SNMP 161 |
ABB+Webmodule |
11 |
ABB HMI |
ABB上位機197.225.29.25 84176.227.138.87 82admin/admin |
Allen-Bradley |
4,232 |
PAC |
先進製造裝置96.1.71.14744818列舉PAC資訊 |
/BroadWeb/ |
6 |
Advantech HMI |
研華上位機197.255.75.211220.130.247.196admin/??? |
Cimetrics+Eplus+Web+Server |
14 |
BACNet HMI |
BACNet上位機128.2.127.123admin/admin |
CIMPLICITY |
51 |
GE HMI |
GE上位機 |
EIG+Embedded+Web+Server |
105 |
EIG HMI |
EIG上位機190.102.62.89 82 |
eiPortal |
40 |
EnergyICT Historian |
EnergyICT歷史資料庫62.213.212.137 |
EnergyICT |
563 |
EnergyICT RTU |
EnergyICT RTU123.209.219.165 |
HMS+AnyBus-S+WebServer |
43 |
HMS HMI |
HMS上位機173.181.212.202 |
i.LON |
3,153 |
Streetlight HMI |
Streetlight上位機5.185.107.42 8080 |
ioLogik |
176 |
MOXA Ethernet IO Server |
MOXA以太轉換卡96.1.25.110 |
Modbus+Bridge |
110 |
Modbus Bridge |
Modbus網橋telnet 999990.80.103.10 |
ModbusGW |
47 |
anyBus gateway |
anyBus閘道器149.100.170.19 8112admin/admin |
Modicon+M340+CPU |
57 |
Schneider PLC |
Schneider PLCSNMP 161 |
Niagara+Web+Server |
21,366 |
Niagara HMI |
Niagara上位機User/pass??? |
Powerlink |
1,647 |
Visonic HMI or PLC |
Visonic上位機 或 PLCSNMP 161HTTP |
Reliance+4+Control+Server |
6 |
SCADA HMI |
SCADA上位機User/pass??? |
RTS+Scada |
7 |
SCADA HMI |
SCADA上位機User/pass??? |
RTU560 |
5 |
ABB RTU |
ABB RTU80.166.191.18 80 |
Simatic+HMI+port:"161" |
61 |
SIEMENS PLC |
SIEMENS PLC205.168.255.125 80 |
Simatic+port:"102" |
2,877 |
SIEMENS PLC |
SIEMENS PLC166.130.136.193 80 |
SoftPLC |
672 |
Penzion Avalanche PLC |
Penzion Avalanche PLC90.182.98.52 80 |
TAC/Xenta |
2011年報告1880,目前0奇怪?! |
註釋:標紅表示敏感且可能造成危害的裝置
未完待續
文/ Dustin
宣告:本文來自網信防務,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。