西门子DOS攻击事件

点击此处获得更好的阅读体验

WriteUp来源

shuaitong提供补充

样本中包含针对西门子工控设备的DOS攻击模式，请分析出发送怎样的UDP数据会使设备宕机。flag格式flag{}

使用IDA反汇编题目文件，发现可疑字符串crash，共两处引用

从该文件无法得到题目要求的UDP数据流

搜索西门子Dos攻击事件，找到了这篇文章https://zhuanlan.zhihu.com/p/27428923

经过分析得知题目中给的是Launcher模块，题目要求是宕机，根据文章中

攻击者武器库中的另一工具是拒绝服务（DoS）工具，可以用来对付西门子SIPROTEC设备，该工具利用了CVE-2015-5374漏洞，目标是使设备无法响应。一旦漏洞被成功利用，目标机器将会停止任何命令响应，直到手动重启。

留意到此处代码，确定题目文件为Industroyer工控恶意软件Launcher模块。而其中的udp包发生在利用DOS攻击漏洞CVE-2015-5374阶段，去GitHub搜索了CVE-2015-5374的Payload，从而得到最终答案。

1	flag{11490000000000000000000000000000289E}