知风 Zhifeng.io(https://zhifeng.io)是由灯塔实验室设计的一个创新的物联网与工控资产企业分析系统,知风的独特设计是来自灯塔实验室安全研究人员在长期安全研究实践过程中提出的,可以帮助安全研究人员在物联网安全、工业信息安全领域做到更精准、更细致的物联网和工控资产分析。
知风运用的分析方法是一种创新且独特的自动化快速分析手段,该技术旨在快速定位各种物联网、工控资产及资产使用企业和软硬件组件级别暴露面。
知风的特性
知风相较于目前各类开放式的网络空间搜索引擎具有更精细化的数据分析手段,知风系统的元数据主要来自于各种开放式网络空间搜索引擎,如Shodan、Censys、ZoomEye、FOFA等公开平台,知风 Zhifeng.io在元数据方面覆盖了超过100个IoT/ICS专用端口,在此基础上知风使用了独创的IP核查技术,在进行分析时摒弃了依靠各种复杂和且不准确的Dorks的搜索方式,而是使用专用方法对数据展开更深层分析与关联。简单来说,知风系统实现了在已公开的海量网络资产中,准确定位出关键的物联网、工业资产,并提取IoT和ICS资产深层次信息。知风系统相比网络空间搜索引擎具有如下两点优势特性:
更精准、更细致的数据分析
知风系统可以做到IoT和ICS资产的组件级别分析,在物联网方面目前涵盖了各类安卓设备、各类打印机、各类视频监控设备、甚至是门禁机,而在工控系统方面,目前知风系统涵盖国内外主流的SCADA、PLC、RTU、DTU等资产分析数据,并且在资产型号的基础之上还提供了更多细致分析数据。
已有企业是否存在联网资产分析
知风系统除了在海量的联网资产中精准定位各种IoT和ICS资产外,还更进一步目前实现了与资产的使用企业展开关联,利用知风的关联分析数据,安全研究人员可以直观了解到该资产所属企业和应用场景。
当前知风有那些功能?
当前版本的知风具有两个数据分析模块,分别是“监测”与“探索”模块。
在“监测”模块中,可以使用Shodan、ZoomEye平台类似的检索语法分析相关资产数据。例如可以输入:“country:CN”来检索分析中国所有IoT和ICS资产,也可以输入:“country:CN category:SCADA”来分析所有中国的联网SCADA,还可以输入:“country:CN category:SCADA province:黑龙江”来分析黑龙江所有联网的SCADA系统。
而在“探索”模块中,你可以输入任意国内工业企业来检索分析该企业曾今是否有关键资产,你也可以输入一个地区来了解这个地区曾经有那些企业的资产接入过互联网。例如你可以输入“供热”,便会发现近70家供热企业的系统或设备曾经接入过互联网,输入“热电”,会发现近75家热电企业的系统或设备曾经接入过互联网,你也可以输入“山东”,这将帮你发现山东30家工业企业的系统曾经接入过互联网。
使用知风如何展开物联网安全研究?
知风系统目前提供了更加细分的物联网数据,其中涉及了摄像头、安卓移动设备、打印机、门禁设备等类型的物联网设备,那么使用知风如何展开物联网安全研究呢?知风系统帮助安全研究人员主要在如下两个方面开展物联网安全实例研究。
可以使用知风展开更精准的物联网资产普查,例如:
1、使用“series:Android”你将会发现超过10000个安卓移动设备连接在互联网上。
2、使用“series:Printer”你将会发现超过5000个打印机连接在互联网上。
3、使用“category:指纹门禁设备”你甚至可以发现超过60000个指纹门禁设备。
另外使用知风还可以展开更深层次的物联网脆弱性分析和资产普查,例如:使用“series:海康视频监控弱口令设备”、“series:大华视频监控弱口令设备”你可以发现共计超过20万个默认口令各种型号的视频监控设备;除了视频监控设备以外,你还可以使用知风分析海量MQTT未授权服务器,以及MQTT服务器内的Topics。
使用知风如何展开工控安全研究?
知风系统目前提供几乎所有国内外使用广泛的主流SCADA、PLC软硬件资产数据,同时针对相应资产使用企业实现了关联。
安全研究人员可以使用知风来快速定位网络空间中的主流SCADA、PLC等各类资产,你可以在“监测”功能中输入各种产品名称直接检索或者分类检索,例如:
1、三维力控ForceControl:series:ForceControl
2、亚控KingView、KingSCADA:series:kingview
3、紫金桥Realinfo:series:Realinfo
4、研华WebAccess:series:WebAccess
5、Wonderware Intouch:series:Intouch
6、GE Proficy:series:Proficy
……
安全研究人员也可以使用知风来快速定位各种工控系统漏洞影响的实际资产范围,例如:
12月16日Cisco Talos Blog披露了WAGO PFC200产品中存在的多个型号产品,其中在Cisco Talos披露的漏洞信息中显示WAGO PFC200运行于6626端口的iocheckd service”I/O-Check” iocheckd服务,存在多个远程可利用漏洞,对于类似可远程利用漏洞最终的影响面,也可以在知风系统中展开详细分析,你可以在“监测”功能中输入“PFC200”的产品名称或漏洞影响的具体远程“port:6626”进行整体全网的影响面分析。
当然除了漏洞的影响面分析以外,你也可以使用知风来查找目前任何企业是否存在联网的资产,仅需要在“探索”功能输入企业、行业、地域的简称即可获取到历史联网企业和系统的名称。
