昨年、Nozomi Networks Labsチームはarmasuisse Science and TechnologyのCyber-Defence CampusでICSと自動車セキュリティに焦点を当てた2つのハッカソンに参加した。これらのイベントでは、産業制御システムから最新の自動車に至るまで、重要なインフラを保護することの重要性が強調されました。今年、私たちはarmasuisseとのパートナーシップを維持するため、Domoticsハッカソンに参加し、ビルオートメーションとファームウェア解析のためのプロトコルに焦点を当てました。
このブログでは、BACnetプロトコルの知識を深め、ファームウェアのエミュレーションとファジングを行い、ビルディング・オートメーション環境のシミュレーションで独自のセキュリティ・ソリューションをテストした、最新のハッカソン体験についてご紹介します。Domoticsハッカソンへの参加は、知識の共有、最先端の研究、実世界のデバイスを使った実践的な実験の機会となりました。
ファームウェア・エミュレーションとファジング・トレーニング
Domotics Hackathonの課題に取り組む前に、私たちのチームはEPFLのHexHiveの研究者がMathias Payer教授の指導の下で実施したファームウェアエミュレーションとファジングに関する3日間のワークショップに参加しました。ファームウェアの抽出やbinwalkやQEMUのようなツールの使用といった基礎から始まり、このトピックに関する私たちの既存の高度な知識をベースに、理論的な洞察と実践的な演習が巧みに組み合わされました。これらのトピックについて既に確かなバックグラウンドを持っていたとしても、このトレーニングは、u-boot を含む Linux のブート・プロセスについての理解を深めるとともに、ネットワークやプロセス解析ユーティリティを使用して攻撃対象領域をマッピングする能力を磨きました。また、ARM Cortex-A ISAを含む静的解析技術、ELFファイルフォーマットの解析、Ghidraの高度な機能(特に自動リバースエンジニアリングのためのPythonスクリプト機能)の活用についても検討しました。ワークショップは、QEMUベースのリホスト実験や、AFLを使ったブラックボックス・ファジングの短い紹介など、動的解析手法の実践的な考察で締めくくられた。セッションが終了する頃には、私たちは高度な知識を統合しただけでなく、ハッカソンでのファームウェアレベルの課題に取り組む態勢が整っていました。
HexHiveのトレーニングは、基礎的なスキルだけでなく、最先端の調査ツールにも触れることができ、非常に感謝しています。新たに習得した技術を、脆弱性研究のパイプラインに統合していく予定です。
スキャピートレーニング
Fuzzingトレーニングに参加した後、ラボチームは、Quarkslabの元セキュリティ研究ディレクターで、ScapyプロジェクトのリードメンテナであるGuillaume Valadon氏による終日のScapyトレーニングにも参加した。トレーニングは3つのセグメントに分かれていた:
- スキャピーの紹介:
- パケット操作とネットワークスキャン
- プロトコルの可視化とカスタムディセクタ
- PythonモジュールとしてのScapyの活用
- 実践的な練習:
- 暗号化や証明書分析を含むマルチプロトコルシナリオへの対応
- 専用のソリューションブランチで提供されるソリューションの探索
- チームプロジェクト:BACnetプロトコルの実装:
- BACnetプロトコル用のScapyライブラリの構築
- ビルオートメーションの通信フローをより深く理解する
このトレーニングは、ネットワークトラフィック、特にDomotics Hackathonの焦点であったBACnetを分析する新しい方法を提供することで、ファームウェアの知識を補完するものでした。また、パケット操作の専門知識に磨きをかけ、カスタム・プロトコル・ディセクタを迅速に開発し、新しいネットワーク動作(特にBACnetやその他の産業用プロトコルに関連する)を効率的に解析できるようになりました。
プロトコルレベルの可視化からエクスプロイト・テストまで、Domotics Hackathonはビルディング・オートメーションに対する理解を深めました。私たちは、専門的なセキュリティ・ソリューションの必要性を強調する、一般的な設定ミスや潜在的な攻撃面を発見しました。
ドモティクス・ハッカソンビルディングオートメーションのハッキング
トレーニングの後、Domotics Hackathonは、ビルディング・オートメーションで広く採用されているプロトコルであるBACnetの調査という明確な目的をもってキックオフされた。専門家、研究者、政府機関の代表者が力を合わせ、新たな脆弱性を調査し、知識を共有し、運用技術OT)環境における積極的なサイバーセキュリティの文化を促進した。
armasuisseは、さまざまなベンダーのデバイスを使って複数のデモを行った:
- アヴェロン
- Honeywell
- メッセージ通信システム
- SAIA サイア・バージェス・コントロールズ
- ザウター・コントロールズ
- Siemens
- 和合
Nozomi Networks ソリューションによるハンズオン・テスト
今回の参加の目玉は、ライブデモ環境で当社製品であるNetworks P550とVantageテストできたことです。P550センサーをメインスイッチのSPANポートに接続するだけで、すべてのネットワークトラフィックを包括的に可視化することができました。一方、Vantage クラウドプラットフォームは、さらなる分析のためにそのデータを集約しました。
このセットアップで、私たちはハッカソンの参加者に、次のような私たちのソリューションの主な機能を見せることができた:
- 資産の検出:当社のテクノロジーは、各デバイスを正しく識別し、AI主導の情報で資産目録を充実させ、リンクをマッピングします。
- リアルタイムの異常検知:ハッカソンの参加者は、BACnetの変数データを操作して(例えば、温度測定値を偽装する)、当社のソリューションがそれを検出するかどうかを試してみました。私たちは閾値ベースのアラートを設定し、センサーが異常な動作をリアルタイムで検知することに成功しました。
このハンズオンデモは、以前参加したICSハッカソンのアプローチを反映したものだった。ビルディング・オートメーション・システムは、建物への物理的なアクセスのための最初の、そして最も重要なセキュリティ・チェックポイントのひとつです。ハッカソンで発表されたデモによって、私たちは製品戦略をテストし、洗練させ、実世界のシナリオに向けて強化することができました。
実践的ハードウェア解析
ネットワークとファームウェアの分析に加え、私たちのチームはさまざまなビルオートメーションデバイスのハードウェア・セキュリティも調査しました。
最初のデバイスは BACnetコントローラーでした。実験用に予備のコントローラーが用意されていたため、私たちはarmasuisseとチームを組み、ディープダイブ・ハードウェア解析を実施しました。私たちの最初の目標は、オンボードのQuadSPIフラッシュメモリーからファームウェアを抽出することでした。HydraBUSインターフェースとカスタム・コードを使用して、私たちはメモリーを強制的にシングル・チャンネルで通信させ、最終的にメモリーの全内容をダンプした。残念なことに、このダンプは暗号化されていることが判明した。2つ目の戦略として、SWDインターフェースが予期せずオープンになっていることを発見しました。openOCDと GDBを活用し、暗号化されていないフラッシュ・コンテンツのダンプに成功した。
最終日には、SWDポートが閉じている別のコントローラで作業している別のチームに合流した。彼らのアプローチの中心は、故障注入 電圧グリッチ攻撃によるSWD保護のバイパスであった。何度も試みた後、彼らはグリッチを注入してセキュリティ・チェックを一時的に無効にし、デバッグ・ポートにアクセスすることに成功し、最終的にファームウェアを取り出すことに成功した。
.webp)
これらの実践的なハードウェア攻撃は、オープンなSWDポートのような一見些細な機能でさえ、より深いシステム侵害の媒介になり得ることを説明しています。この体験は、物理的なアクセスや低レベルのデバッグ・インターフェースが組込みシステムに関する重要な情報を暴露する可能性がある、自動車ハッカソンの探索を彷彿とさせるものでした。
ベンダーや研究者とのコラボレーション
ハッカソンの間、Sauter Controls 社のようなベンダーは、ライブ・テストのためにポータブル・デモを持ち込んだ。彼らの中央コントローラからのトラフィックを分析している間に、我々は、我々の製品(すなわち、P550とVantage)がファームウェア・バージョンを検出する方法に矛盾があることを発見しました。以前のハッカソンと同様、デバイス・メーカーとのコラボレーションとオープンな対話は、相互学習と改善を推進した。
研究者、政府機関、民間ベンダーなど、より広範なセキュリティ・コミュニティと関わることで、将来の研究プロジェクトに弾みがつき、協力し合って学ぶ環境が培われた。
結果と最終的な考察
このような共同作業を通じて、私たちは、私たちのソリューションが実世界の条件下でどのように機能するかについて実践的な洞察を得ることができ、その結果、私たちの検知能力と異常対応能力を向上させることができました。実際のデバイス、プロトコル、模擬攻撃を含む忠実度の高い環境を再現する能力は、当社のツールの性能を検証し、強化するために不可欠です。ベンダーと緊密に協力することで、当社のアセット検出アルゴリズムを各社固有のデバイス・フィールドに合わせて調整し、ファームウェアやベンダー固有のデータでthreat intelligence 充実させ、新たな脅威の検出までの時間を短縮することができます。
最終的に、このハッカソンは、ビルディングオートメーションにおけるサイバーセキュリティを推進するために、研究、ベンダーとの協力、実地実験の架け橋となることの重要性を示した。ハードウェアの攻撃戦略からソフトウェアベースの異常検知に至るまで、発見と改善の一つひとつが、運用技術のリスクをより深く理解することに貢献しています。より安全なエコシステムを構築するためにベンダーをサポートし続ける中で、このような共同演習は、より強力で耐障害性の高いOT セキュリティ・ソリューションを開発するための基礎となります。
Domoticsハッカソンは、ハッカソンが単純なチャレンジ以上のものを提供することを改めて実証しました。ハッカソンは、重要なインフラ・セキュリティにおけるイノベーション、スキル構築、コミュニティへの参加を促進します。ファームウェア解析、ファジング、BACnetプロトコルの探求に没頭することで、私たちはビルディングオートメーションシステムにおける進化する脅威とソリューションに対する認識を深めました。
アルマースイス・サイバー・ディフェンス・キャンパスとの継続的な協力関係は、ICSフォレンジックから先進的な自動車、そして現在はドモティックス・セキュリティに至るまで、貴重な研究機会を生み出し続けています。
