Webinar | Modernizing Asset Inventory: A Smarter Approach to Securing Industrial Environments
Register
アカデミー
ラボ
採用情報
パートナーログイン
サポート
レイヤー2プロトコルを分析するためのポストディセクタの賢い使い方

レイヤー2プロトコルを分析するためのポストディセクタの賢い使い方

Nozomi Networks ラボ
|
2021年8月17日

OT セキュリティ問題のトラブルシューティングにおける通常とは異なるプロトコルの解析に関する最近のブログでは、Cisco Nexus プロトコルをユースケースとして使用し、リバースエンジニアリングプロセスにおいて Wireshark プラグインがどのように役立つかを紹介した。

この投稿では、ターゲットとなる通信スキームを適切に分解するよう我々のツールに指示するために活用できる、特殊な一連の機能に関連する別の興味深いレイヤー2プロトコルに焦点を当てる。

この旅では、Ruggedcomスイッチとそのプロビジョニング・ツールの間で使用されている未知のプロトコルを分析し、適切なコンフィギュレーションを確認する必要があった。このプロトコルは RUGGEDCOMディスカバリープロトコル (RCDP).

このようなデバイスは産業分野で人気があるため、私たちはRuggedcom ROSデバイスで使用されているレイヤー2プロトコルを解析することにしました。特に、プロトコルの内部構造ではなく(面白い部分を台無しにしたくないので)、Wiresharkにどのように指示すればプロトコルを適切に検出し、解析プロセスを開始できるかに焦点を当てました。

なぜ解剖を延期するのか?

分析に使用したセットアップは以下の通りだ:

  • ラギッドコムスイッチ RS910
  • RCDPディスカバリーツール

ディスカバリー・ツールによって、いくつかの主要な機能を起動させることができ、その結果、ディープ・ダイブ分析のためにPcapsを収集することができた。プロトコルはこのように見えた:

プロトコル表示

おわかりのように、今回Wiresharkは起こっている通信を完全に把握しているわけではない。

最後のデコードされたフレームは、通常MAC(レイヤ2)レイヤとネットワークレイヤの間のリンクとしてよく知られているLLCフレームを示している。

私たちの目標は、データの内容を完全に理解することだった。

RCDPプロトコルを完全に分解するために行ったリバース・エンジニアリングのプロセスについては、ここでは割愛する。その代わりに、未知のプロトコルをどのように分析し、プラグインを開発するために必要な指標を集めたかを紹介しよう。

LLCのフレーム内部を調べることで、この特定のレイヤーの解剖において、ツールが完全に不正確ではなかったと推測させる最初の証拠が見つかった。

RCDPプロトコルID
RCDPプロトコルID

llc.pidはプロトコルをタグ付けするためのかなり信頼できる指標であるようだ。しかし、一つ疑問が残った。現在の解剖と重複することなくデータ・フィールドにアクセスするにはどうすればいいのだろうか?

ポストディセプターの使用

私たちを大いに助けてくれる興味深いコンセプトは、いわゆるポストディセクターに関するものだ。この種のプラグインを活用することで、「通常の」ディセクタがすべて仕事を終えた後に、解剖を開始することができる。これにより、解剖ツリーの一番下に結果を追加することができます。


ヒント: 複雑なメカニズムを理解するのに行き詰まった場合、Wiresharkには有名なstackoverflowの独自バージョンであるask.wiresharkがあることを思い出してください。ここに .

ポストディセクタを呼び出す最も簡単な方法は、標準的なDissector.Table.get()ではなく、スクリプトの一番下にあるregister_postdissector()関数を使うことだ。

-- プロトコルフィールドの初期化rcdp_proto = Proto("RCDP", "Siemens RCDP")-- RCDP PROTOCOL IDlocal RCDP_PID = 0x01e6-- main functionfunction rcdp_proto.dissector(buffer, pinfo, tree)length=buffer:len()if length == 0 then return endend-- RCDPポストディセクタの登録register_postdissector(rcdp_proto)

次に、カスタム LLC プロトコル ID(0x01e6)を検出するたびに、現在のスクリプトをバインドするように指示する必要があります。そのためには、上フレームのプロトコル ID と Data セクションを参照する 2 つの変数を初期化する必要があります。


ヒント: Wiresharkのフィルタは、ディセクタのコンテキストでもかなり役に立つ!

llc.pidを参照すれば、RCDPプロトコルのタグ付けに必要な条件を簡単に追加できる。

この段階では、LLC Dataセクションにバッファを登録するだけである。あとは通常通り、ディセクションを追加していけばいい。

-- プロトコルフィールドの初期化rcdp_proto = Proto("RCDP", "Siemens RCDP")-- RCDP PROTOCOL IDlocal RCDP_PID = 0x01e6-- LLCフレームを参照local llc_pid = Field.new("llc.pid")local data_data = Field.new("data.data")-- main functionfunction rcdp_proto.dissector(buffer, pinfo, tree)length=buffer:len()if length == 0 then return end-- 現在のプロトコルID値を取得し、それがRCDPかどうかをチェック onelocal llc_pid_ex = llc_pid()if llc_pid_ex == nil or llc_pid_ex.value ~= RCDP_PIDthen returnendpinfo.cols.protocol = rcdp_proto.name-- バッファを正しい位置にセットlocal buf = data_data().range()local buf_len = buf:len()local subtree = tree:add(rcdp_proto, buf(0, buf:len()), "RCDP Protocol Data")end-- RCDPポストディセクタの登録register_postdissector(rcdp_proto)RCDPポストディセクタを登録する。

Wiresharkにプロトコルの解析を指示する

このアプローチを使うと、前回見た標準的な解析の直後に、Wiresharkにプロトコルを解析するよう適切に指示することができる。これがポストディセクタの動作であり、RCDPプロトコルのような実際のユースケースでどのようにそのロジックを適用できるかを示している。

この時点で、Ruggedcom Explorerユーティリティで遊びながら、内部のプロトコル構造を調べ始めることができます。例として、主要なアセット詳細を抽出してみましょう。

そのためには、診断ツールのオートディスカバリー機能を起動し、生成されたトラフィックの解析を開始する必要がある。


ヒント:ツールのUIは、未知のプロトコルについて理解を深めたいときの強い味方になる。

Nozomi Networks ラボにセットアップされたスイッチをツールが発見するとすぐに、それに関する興味深い詳細を収集することもできる。

検索された通信をある程度理解した後、構造化された方法で視覚化された製品情報を抽出できるように、ディセクタを簡単に改良することができる。最終的な結果は、通信全体の完全な解析である。

ラゲッドコム・エクスプローラー
オートディスカバリー完了
オートディスカバリー完了

Nozomi Networks ラボグローバル研究コミュニティのサポート

プロトコルのディセクタに関するこの2回目のブログでは、プラグインでpostdissectorの概念を活用し、WiresharkにディセクタをRuggedcomスイッチとその監視ツール間で使用されているプロトコル(以下 RUGGEDCOMディスカバリープロトコル (RCDP).

LLCフレーム内で公開されたカスタムプロトコルIDを使用し、適切なオフセット位置で解剖を開始することができた。

データ内容を完全に理解するという目標を達成するために、我々はポストディセクタのトリガーや上位フレームを呼び出すために、以下のような主要な関数を使用した:

  • register_postdissector(v1)
  • Field.new(v2)
  • 抽出フィールドの値
  • 抽出フィールド.range()

私たちは、グローバルなセキュリティ・コミュニティが、私たちの提案やテクニックを使って、それぞれの分析や研究プロジェクトを進めてくれることを願っています。次回のNozomi Networks Labs ブログにご期待ください。ランサムウェア、ICS、IoT の脆弱性などに関する洞察については、OT/IoT セキュリティレポート2021年7月号、および以下の関連オンデマンドウェビナーをご覧ください。

参考文献

  1. https://cache.industry.siemens.com/dl/files/793/82169793/att_66887/v1/ROS_RS920L_User-Guide_EN.pdf
  2. https://new.siemens.com/global/en/products/automation/industrial-communication/rugged-communications/ruggedcom-portfolio/software/explorer.html
  3. https://www.siemens-pro.ru/docs/ruggedcom/EXPLORER_User-Guide_EN.pdf
  4. https://www.wireshark.org/docs/wsdg_html_chunked/lua_module_Proto.html
  5. https://wiki.wireshark.org/Lua/Examples/PostDissector
  6. https://github.com/NozomiNetworks/dissectors

見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
Nozomi Networks ラボ
著者について

Nozomi Networks ラボ

Nozomi Networks Labs は、世界の産業および重要なインフラストラクチャ組織のサイバーリスクの低減に専念しています。 サイバーセキュリティの研究と業界および機関との連携を通じて、私たちは日常生活を支える運用システムの防御に貢献しています。

関連記事

Fuzzing Protocol Implementations: 10 Vulnerabilities in the P-Net PROFINET Library

Major Power Outage Hits Spain and Portugal: Spotlight on Critical Energy Infrastructure Vulnerabilities 

Nozomi Networks Labs Discovers 15 New Vulnerabilities Affecting Bosch Rexroth ctrlX CORE

ESP-NOW: The Double-edged Sword of IoT Ease of Use

サブスクライブ

LinkedIn

デモ

プラットフォーム

プラットフォームの概要VantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat Intelligence (脅威インテリジェンス)Smart PollingインテグレーションPSIRT

プロフェッショナルサービス

プロフェッショナルサービスDesignated EngineerFast Track ServicesHealth Check ServiceOptimization Service

ソリューション:ビジネスニーズ

脅威の検知と対応継続的なネットワーク監視資産在庫管理リスクと脆弱性の管理IoT セキュリティデータセンターのサイバーセキュリティ

ソリューション:コンプライアンス

NERC CIPNIS2 指令TSA セキュリティ指令

ソリューション:産業

空港電気事業ヘルスケア連邦政府製造業海事鉱業石油&ガス医薬品鉄道小売スマートシティ上下水道

詳細

アカデミー採用情報会社概要Customer Storiesお問い合わせパートナーリソースラボリーガルTrust Center
LinkedIn logo
© 2025 Nozomi Networks Inc. All Rights Reserved. Privacy Policy and Certifications. System Status.