Programul Operaţional Competitivitate 2014-2020

Axa prioritară 1: Cercetare, dezvoltare tehnologică și inovare (CDI) în sprijinul competitivităţii economice și
dezvoltării afacerilor
Acțiunea 1.2.1: Stimularea cererii întreprinderilor pentru inovare prin proiecte de CDI derulate de întreprinderi
individual sau în parteneriat cu institutele de CD și universități, în scopul inovării de procese și de produse în sectoarele
economice care prezintă potențial de creștere
”Investiţii pentru viitorul dumneavoastră”
Titlul proiectului: Centrul de excelență pentru securitatea cibernetica și reziliența infrastructurilor critice (SafePIC)
Cod My SMIS: 120436
Nr. Contract: 270/23.06.2020
Beneficiar: SC SAFETECH INNOVATIONS SRL

Activitatea: 2. Cercetare industrială, activități de inovare de produs, servicii, de proces

și organizațională
Subactivitatea: 2.7. Descriere functionalitati - Modul simulare componente SCADA
(PLC, HMI) de tip “honeypot” în vederea identificării potențialilor atacatori ai infrastructurilor
critice (Safe-SCADA) si formulare concept tehologic si aplicativ
Rezultat cuantificat: Studiu si concept tehnologic si aplicativ - Modul simulare
componente SCADA (PLC, HMI) de tip “honeypot” în vederea identificarii potentialilor
atacatori ai infrastructurilor critice industriale si de cercetare (Safe-SCADA)

Acest livrabil este realizat în cadrul contractului de finanțare nr. 270/23.06.2020,

finanțat prin Programul Operaţional Competitivitate 2014-2020, Axa prioritară 1: Cercetare,
dezvoltare tehnologică și inovare (CDI) în sprijinul competitivităţii economice și dezvoltării
afacerilor, Acțiunea 1.2.1: Stimularea cererii întreprinderilor pentru inovare prin proiecte de
CDI derulate de întreprinderi individual sau în parteneriat cu institutele de CD și universități,
în scopul inovării de procese și de produse în sectoarele economice care prezintă potențial de
creștere si este rezultatul activității proprii de cercetare.
 CUPRINS

Introducere .........................................................................................................................4

CAPITOLUL 1: Descrierea funcționalităților, la nivel de concept tehnologic și aplicativ al

simulatoarelor de dispozitive de tip PLC (Programmable Logic Controller) și a protocoale
specifice acestora (FTP, Modbus TCP, SNMP, Telnet) ...........................................................5

Utilizare imagine oficială Docker pentru Conpot .........................................................7

Scanarea porturilor honeypot-ului ............................................................................8

Particularizarea honeypot-ului pentru echipamentul S7-1200 .................................... 12

Utilizarea unei soluții alternative la imaginea oficială docker pentru Conpot................ 14

CAPITOLUL 2: Descrierea funcționalităților, la nivel de concept tehnologic și aplicativ al

simulatoarelor de interfețe om-mașină (Human Machine Interface) și a protocoalelor
specifice acestora (HTTP) ................................................................................................... 19

CAPITOLUL 3: Descrierea funcționalităților, la nivel de concept tehnologic și aplicativ al

serverului de Syslog din cadrul modulului/platformei ce colectează informații despre
motivele și metodele potențialilor atacatori ce vizează sistemele infrastructurilor și
proceselor critice. .............................................................................................................. 24

Preluarea jurnalelor din alte containere .................................................................. 27

Concluzii............................................................................................................................ 29

Referințe bibliografice....................................................................................................... 30
Pag. 2
 Centrul de excelență pentru securitatea
cibernetică și reziliența infrastructurilor critice
SafePIC

Pag. 3
 A2. Cercetare industrială, activităţi de inovare de produs, servicii, de
proces şi organizaţională

Realizare studiu si concept tehnologic si aplicativ - Modul simulare

componente SCADA (PLC, HMI) de tip “honeypot” în vederea identificarii
potentialilor atacatori ai infrastructurilor critice industriale si de cercetare
(Safe-SCADA)

Introducere

Pe baza studiilor și observațiilor științifice fundamentale efectuate anterior, cercetătorii

în securitate IT, arhitecții de securitate software, analiștii de securitate și experții în
infrastructuri critice au efectuat trecerea de la cercetare pură la cercetare aplicată(TRL 2).
Astfel, aceștia descris funcționalitățile Modulului simulare componente SCADA (PLC, HMI)
de tip “honeypot” în vederea identificării potențialilor atacatori ai infrastructurilor critice (Safe-
SCADA) și au formulat conceptul tehologic și aplicativ, prin efectuarea analizei și a proiectării
la nivel conceptual, cu includerea de informații de susținere ce conțin publicații sau alte
referințe care subliniază cererea examinată și care furnizează analize pentru a susține conceptul,
prin exemple bazate pe studii analitice.
În livrabilul 2.2 s-a prezentat utilizarea soluției de honeypot numită Conpot, fără a se
încerca particularizarea acesteia pentru scopul laboratorului. În acest studiu se va demonstra
utilizarea acestei soluții, instalată în containere Docker, modul în care este văzută în rețea de
către un posibil atacator și posibilitățile de cosmetizare ale acesteia.
Pag. 4

Totodată, se va arăta cum se va utiliza utilitarul syslog-ng pentru capturarea și colectarea

jurnalelor din Conpot.
 CAPITOLUL 1: Descrierea funcționalităților, la nivel
de concept tehnologic și aplicativ al simulatoarelor de
dispozitive de tip PLC (Programmable Logic Controller) și
a protocoale specifice acestora (FTP, Modbus TCP, SNMP,
Telnet)

După cum s-a prezentat în livrabilul din etapa anterioară, s-a ales utilizarea utilitarului
Conpot (http://conpot.org ) pentru simularea dispozitivelor PLC și a protocoalelor specifice
acestora.
Pornind de la software-ul open-source disponibil pe site-ul Github
https://github.com/mushorg/conpot , mulți ingineri IT sau entuziaști au creat așa-numite
containere Docker cu diferite implementări ale software-ului original, oferind multiple moduri
de utilizare ale acestui software.
Iată rezultatul unei căutări pe site-ul oficial https://hub.docker.com după utilitarul
Conpot:

Pag. 5
 Cele mai interesante implementări în Docker ale acestui software par a fi următoarele:
• https://hub.docker.com/r/honeynet/conpot -implementarea software-ului de pe site-ul
original, https://github.com/mushorg/conpot
• https://hub.docker.com/r/stingar/conpot -implementare Conpot pentru utilizare cu
CommunityHoneyNetwork
• https://hub.docker.com/r/dtagdevsec/conpot-T-Pot -include foarte multe honeypot-uri,
inclusiv Conpot
• https://hub.docker.com/r/nu11secur1ty/conpot -conpot-T-opts, include mai multe
profile de echipamente

În laboratorul proiectului se vor testa aceste containere și, cel mai probabil, se vor utiliza
mai multe dintre acestea, pentru a simula cât mai multe echipamente si protocoale.
Pentru că se va lucra cu mai multe containere Docker, am considerat necesar prezentarea
conceptelor de baza ale acestei tehnologii.

Docker este un instrument care folosește containere pentru a ușura mult crearea,
desfășurarea și rularea aplicațiilor.
El încapsulează aplicația împreună cu toate celelalte elemente, cum ar fi librăriile
externe și alte astfel de dependențe care sunt necesare pentru a rula aplicația într-un mediu
izolat.
Acest lucru permite aplicației să ruleze pe orice mașină Linux, indiferent de setările
personalizate ale mașinii, care pot fi diferite de mașina în care a fost codat și testat.
Pag. 6

Docker are codul sursă deschis, ceea ce înseamnă că oricine poate adăuga funcții și
funcționalități pentru a răspunde nevoilor sale, contribuind astfel la îmbunătățirea
instrumentului.
 Docker este proiectat astfel încât să își croiască drum în ecosistemul DevOps. Îi ajută
pe dezvoltatori să se concentreze doar pe dezvoltare, fără să fie preocupați de sistemul pe care
va rula codul.
Ei pot utiliza unul dintre mai multe programe deja proiectate pentru a rula pe Docker
ca șablon pentru aplicația lor. Docker permite echipei de operare IT să creeze un mediu care să
reproducă serverul de producție și să permită tuturor să lucreze la proiecte cu aceeași setare,
indiferent de mediul local.
Un container Docker este într-un fel destul de similar cu o mașină virtuală, dar spre
deosebire de aceasta, nu are un sistem de operare întreg în el.
Containerele utilizează kernel-ul Linux al sistemului pe care sunt găzduite și necesită
doar instalarea pachetelor pentru serviciul Docker. Acest lucru reduce semnificativ
dimensiunea fiecărui container și îmbunătățește performanța folosind resurse mai puține.
Containerele Docker pot fi create destul de rapid, deoarece ele nu pornesc un sistem de
operare, ci doar execută o aplicație.

Utilizare imagine oficială Docker pentru Conpot

În continuare, s-a prezentat utilizarea imaginii oficiale cu Conpot în container Docker

(https://conpot.readthedocs.io/en/latest/installation/quick_install.html)
Pașii necesare pentru instalarea Conpot în container Docker sunt următorii:

Pentru administrarea facilă a containerelor, se folosește Docker-compose

(https://docs.docker.com/compose/ ), care este un utilitar ce permite gestionarea și rularea
automată a mai multor containere. Docker-compose folosește un fișier de configurare, numit
Pag. 7

docker-compose.yml . Acest fișier oferă o serie de informații despre modul în care trebuie să
ruleze un container.
 Fișierul docker-compose.yml din directorul proiectului Conpot ne oferă informații
despre serviciile ce sunt simulate de către acest honeypot:

După cum se vede, sunt deschise mai multe porturi, care au rolul de a simula HTTP,
S7Comm, Modbus, SNMP, Bacnet, IMPI, FTP, TFTP și EN/IP.
După pornirea acestui container, prin comanda docker ps se pot verifica rularea
containerului și porturile pe care le deschide:

Pag. 8

Scanarea porturilor honeypot-ului

Pentru a vedea cum ar fi descoperite de către un hacher porturile deschise de Conpot,

putem face diferite scanări folosind utilitarul nmap (https://nmap.org/ ).
 Spre exemplu, pentru a scana porturile ce ar trebui să fie deschise, pe protocolul TCP,
se folosește următoarea comandă:
nmap <IP> -p 80,102,502,161,47808,623,21,69,44818

Pentru scanarea porturilor UDP se folosește următoarea comandă:

nmap -sU <IP> -p 80,102,502,161,47808,623,21,69,44818

Se observă că sunt descoperite atât porturi TCP, cât și UDP, ceea ce arată că honeypot-
ul emulează destul de bine serviciile respective.
Pag. 9
 Unele servicii se pot testa cu ajutorul framework-ului Metasploit
(https://www.metasploit.com/ ), disponibil de exemplu în distribuția Kali Linux.
Iată o interogare a serviciului SNMP:

După cum se observă, interogarea SNMP detectează un echipament Siemens SIMATIC

S7-200.

De asemenea, protocoalele specifice SCADA, cum ar fi Modbus/TCP, pot fi testate cu

Metasploit:

Pag. 10
 După cum se observă, toate interogările efectuate par a avea stații active.
Trebuie setat sa fie doar unele active.
Încercările de a citi valori folosind modbusclient nu au avut însă succes, după cum se
poate vedea mai jos:

O scanare cu utilitarul PLCscan (https://github.com/meeas/plcscan ) - instrument pentru

scanarea dispozitivelor PLC prin protocoalele s7comm si modbus arată de asemenea informații
despre echipamentul simulat:
Pag. 11
 Particularizarea honeypot-ului pentru echipamentul S7-1200

Folosind documentația oficială (https://conpot.readthedocs.io/en/latest/usage/

customization.html) se va încerca simularea unui echipament S7-1200, având în vedere faptul
că în laborator există un astfel de echipament ce poate fi interogat prin serviciile expuse, în
scopul de a configura aplicația Conpot în mod corespunzător.
Conpot vine cu un profil implicit (default.xml), dar și cu câteva directoare cu alte fișiere
de configurare.
Spre exemplu, pentru ca serviciul SNMP să ofere informații legate de alt dispozitiv, se
poate configura secțiunea <snmp />:

În laborator s-a testat modificarea template-ului cu care vine preconfigurat Conpot.

În acest sens, s-a folosit shell-ul din containerul în care era pornit honeypot-ul:
docker exec -it -u root conpot_conpot_1 /bin/bash
S-a modificat fișierul care conține informații despre dispozitivul simulat:
/home/conpot/.local/lib/python3.8/site-
packages/conpot/templates/default/template.xml
Pag. 12
 După modificarea template-ului din template.xml, se pot vedea modificările la o noua
scanare cu plcscan:

De asemenea, la o scanare prin SNMP se observa schimbarea:

Pag. 13
 Utilizarea unei soluții alternative la imaginea oficială docker pentru Conpot

Pentru acest scenariu se va utiliza imaginea de la https://hub.docker.com/r/dtagdevsec/

conpot

Acesta se poate instala în mai multe feluri, dar pentru testare s-a ales instalarea dintr-un
Pag. 14

fișier ISO (https://hub.docker.com/r/dtagdevsec/conpot#prebuilt ). Această soluție este bazată

pe Debian Linux și folosește de asemenea containere Docker pentru a porni diferite hon eypot-
uri.
 Pe lângă colecția de honeypot-uri (19 la număr), soluția include și mai multe instrumente
utile, pentru gestionarea honeypot-urilor, dar mai ales pentru o vizibilitate asupra atacurilor.
Între acestea menționăm Cockpit – instrument de monitorizare, ElasticSearch – pentru
vizualizarea evenimentelor, Suricata – motor de monitorizare a securității rețelei.
La instalare sunt parcurși câțiva pași în care se configurează utilizatorii administrativi,
iar după repornire afișează modalitatea de a accesa interfețele administrative ale soluției:

În consola text a mașinii virtuale se pot vedea containerele care sunt pornite automat:

Pag. 15

La o scanare cu utilitarul nmap, se observă foarte multe porturi deschise (aproximativ

860):
Pag. 16
 Această colecție de honeypot-uri poate fi folosită ca punct de plecare pentru
particularizarea Conpot-ului în scopul proiectului.
Spre exemplu, există următoarele fișiere cu template-uri ale echipamentelor/serviciilor
ce sunt simulate:

Iată spre exemplu fișierul template.xml din directorul default:

În urma scanărilor efectuate cu nmap, în utilitarul Kibana înglobat în soluția aceasta se

poate vedea numărul de atacuri:
Pag. 17
Pag. 18
 CAPITOLUL 2: Descrierea funcționalităților, la nivel
de concept tehnologic și aplicativ al simulatoarelor de
interfețe om-mașină (Human Machine Interface) și a
protocoalelor specifice acestora (HTTP)
Produsul Conpot poate simula cu succes atât dispozitive de tip PLC, diferite protocoale
cum ar fi Modbus TCP, dar și dispozitive HMI accesibile prin protocolul HTTP.
Conpot poate fi configurat foarte ușor să simuleze un HMI accesibil prin HTTP.
El vine cu un HMI configurat implicit pe portul 80. Pagina implicită pe care o afișează
este următoarea:

Se poate crea manual un HMI particularizat, prin modificarea paginii implicite și a unui
nou director părinte, de exemplu prin comanda următoare:
# conpot -w www/ -r index.html
De asemenea, se pot copia paginile de pe serverul web al unui HMI real prin utilizarea
unui crawler:
Pag. 19

# hmi_crawler --target http://<domeniu> --www <director>

# hmi_crawler -t http://localhost:80 -w dump/
Directorul astfel creat poate fi folosit ca director părinte pentru serverul web al Conpot:
 # conpot -w dump/ -r index.html
Conpot conține un profil implicit (default.xml), care oferă printre altele protocolul
HTTP pentru simularea unui HMI. Acest fișier poate fi modificat, pentru a oferi un
comportament diferit pentru serverul web.
În secțiunea <http> a acestuia, se pot configura diferite caracteristici, fiecare site cu
headere și comportament specific. De asemenea, se pot configura mesajele de eroare și situațiile
în care să fie afișate.

Conpot poate fi configurat de asemenea și ca un proxy:

Accesările paginii implicite vor fi redirectate către alt server, fără ca browserul să poată
face vreo diferență. Același lucru poate fi aplicat și la codurile returnate. De exemplu, în cazul
codului 404 (Not Found), toate cererile care nu pot fi gestionate de Conpot sunt transmise în
Pag. 20

mod secret la un alt sistem, care poate fi chiar un dispozitiv real, pentru o interacțiune mai
realistă. În acest fel, Conpot poate funcționa similar cu un honeywall.
(https://www.honeynet.org/projects/old/honeywall-cdrom/ )
 În laborator s-au făcut câteva teste pentru modificarea paginii implicite afișate la
accesarea portului 80 deschis de honeypot.
În acest sens, s-a folosit shell-ul din containerul în care era pornit honeypot-ul:
docker exec -it -u root conpot_conpot_1 /bin/bash
S-a modificat fișierul care oferă pagina implicită:
/home/conpot/.local/lib/python3.8/site-
packages/conpot/templates/default/http/htdocs/index.html

Rezultatul se poate vedea mai jos:

Pag. 21
 Se observă ca această pagină aduce informații atât din fișierul index.html, cât și din
fișierul care definește detaliile dispozitivului simulat, template.xml .

De asemenea, se va încerca în laborator crearea pe echipamentul S7-1200 a unor pagini

de diagnostic si control, conform documentației oficiale (https://cache.industry.siemens.com/
dl/files/496/68011496/att_959527/v2/68011496_Examples_for_S7WebServer_DOC_v21_en.
pdf ). De exemplu, s-ar putea o pagină de diagnostic ca cea de mai jos:

De asemenea, se va putea crea o pagină de control a dispozitivului – repornirea acestuia,

precum cea de mai jos:

Pag. 22

Astfel de pagini pot fi create și pe honeypot, astfel încât să simuleze cât mai mult un
HMI web real al unui echipament.
 Se poate merge pe un scenariu în care paginile create pe honeypot sa fie statice – la
fiecare accesare se vor afișa aceleași valori/comenzi. Se pot face și pagini dinamice, care să
folosească un cod javascript, care să ofere valori pseudo -aleatorii la fiecare accesare. De
asemenea, se pot face redirectări de la anumite pagini către pagini de pe HMI-ul echipamentului
real, pentru o interacțiune cât mai realistă.

Pag. 23
 CAPITOLUL 3: Descrierea funcționalităților, la nivel
de concept tehnologic și aplicativ al serverului de Syslog din
cadrul modulului/platformei ce colectează informații
despre motivele și metodele potențialilor atacatori ce
vizează sistemele infrastructurilor și proceselor critice.
Pentru colectarea tuturor jurnalelor legate de componentele honeypot-ului din cadrul
laboratorului, se propune utilizarea soluției syslog-ng (Syslog Next Generation). Aceasta
reprezintă evoluția firească a vechiului serviciu syslog.
Syslog-ng este o soluție de management a jurnalelor, ce îmbunătățește performanța unui
SIEM prin reducerea volumului de date și creșterea calității acestora, înainte de a fi trimise către
SIEM.
Syslog-ng funcționează într-un mod foarte flexibil, permițând de exemplu să primească
date de la mai multe surse și să trimită de asemenea date către mai multe destinații.
Având în vedere faptul că soluțiile de tip honeypot alese vor rula în containere Docker,
s-a ales ca și Syslog-ng să ruleze într-un container, pe aceeași mașină. Colectarea jurnalelor este
cu atât mai importantă într-un mediu bazat pe containere.
În acest sens, există o imagine oficială pe Docker Hub, construită de Balabit:

Pag. 24
 Această imagine se bazează pe ultima versiune de Debian și pe ultima versiune stabilă
a syslog-ng.
Syslog-ng expune trei porturi prin care poate comunica cu alte sisteme:
• Syslog UDP: 514 – folosit și de vechiul server Syslog
• Syslog TCP: 601 – introdus de Syslog-ng
• Syslog TLS: 6514 – introdus de Syslog-ng
Aceste porturi sunt configurate în fișierul syslog-ng.conf .
Pentru pregătirea unui fișier de configurare folosit de syslog-ng în container și pentru a
stoca jurnalele acestuia în afara containerului, se va crea un o structură de directoare
data/syslog-ng/{conf,logs}. În subdirectorul conf se va copia fișierul de configurare syslog-
Pag. 25

ng.conf; în subdirectorul logs va aparea fișierul messages cu jurnalele înregistrate.

Pentru primele teste se va folosi fișierul implicit de configurare de la
https://github.com/balabit/syslog-ng-docker/blob/master/syslog-ng/syslog-ng.conf
 Pentru pornirea rapidă a unui container cu syslog-ng și pentru maparea porturilor de
acces către acesta, se poate da următoarea comandă:
docker run -it -v $PWD/data/conf/syslog-ng.conf:/etc/syslog-ng/syslog-ng.conf -v
$PWD/data/logs:/var/log -p 514:514 -p 601:601 --name syslog-ng balabit/syslog-ng:latest -
edv
Pentru testarea jurnalizării în acest container, se va iniția o conexiune la containerul cu
syslog-ng, în felul următor:
docker exec -it syslog-ng /bin/bash
Pentru a genera mesaje syslog cu o rată mare, se dă comanda următoare:
loggen -i -S -P localhost 601

În fereastra care afișează jurnalele înregistrate în container apar mesaje de felul următor:

Pag. 26
 Preluarea jurnalelor din alte containere

Syslog-ng, rulat în container, poate prelua jurnalele altor containere. Spre exemplu, dacă
există un container numit conpot1, care are montat un volum în locația
/var/log/conpot/conpot.log, syslog-ng le poate procesa și apoi le poate trimite către o stație
remote (1.2.3.4:514).

Fișierul syslog-ng.conf necesar pentru această configurație arată în felul următor:

@version: 3.7
source s_conpot {
file("/var/log/conpot/conpot.log ");
};
destination d_remote {
tcp("1.2.3.4" port(514));
};
log {
Pag. 27

source(s_apache);
destination(d_remote);
};
 Pornirea containerului syslog-ng cu aceste setări se poate face în felul următor:
docker run -it --volumes-from conpot1 -v "$PWD/syslog-ng.conf":/etc/syslog-
ng/syslog-ng.conf balabit/syslog-ng:latest

Pag. 28
 Concluzii
În acest studiu s-a prezentat particularizarea honeypot-ului Conpot, în scopul de a simula
dispozitive de tip PLC (Programmable Logic Controller) și a protocoalelor specifice acestora
(FTP, Modbus TCP, SNMP, Telnet). S-a încercat simularea efectivă a dispozitivului Simatic
S7-1200, care va fi folosit, de asemenea, în laborator.
S-a arătat instalarea și configurarea Conpot în cadrului a două containere Docker diferite
și a posibilităților de particularizare a dispozitivului simulat.
Conpot poate simula nu doar dispozitive de tip PLC, dar și HMI-uri. Astfel, s-a pornit
de la template-ul implicit oferit de acesta și s-au făcut câteva modificări, pentru a demonstra
ușurința cu care poate fi ajustat.
În final s-a prezentat soluția de colectare a jurnalelor generate de honeypot. Este vorba
despre syslog-ng, un utilitar de tehnologie nouă, foarte flexibil, care rulează de asemenea într-
un container Docker, pentru integrare mai ușoară cu celelalte containere în care rulează diferite
honeypot-uri, dar nu numai.
Ceea ce s-a demonstrat în acest studiu va putea fi implementat în cadrul laboratorului și
integrat cu modulele platformei NG STI-CERT.

Pag. 29
Referințe bibliografice
▪ Kyle Coffey, Richard Smith, Leandros Maglaras, Helge Janicke, ”Vulnerability
Analysis of Network Scanning on SCADA Systems” , De Montfort University,
Leicester, UK, 2018
▪ Wiberg, Kenneth, ”Identifying Supervisory Control and DataAcquisition
(SCADA) systems on a network viaremote reconnaissance”, C.Monterey,
California. Naval Postgraduate School, 2006
▪ Sagar Samtani, Shuo Yu, Hongyi Zhu, Mark Patton, Hsinchun Chen, ”
Identifying SCADA Vulnerabilities Using Passive and Active Vulnerability
Assessment Techniques”, The University of Arizona, Tucson, 2018
▪ Modbus-based Industrial Control System Attack:
http://cyberforensic.net/labs/modbus-attack.html
▪ Metasploit modules developed to demonstrate insecure by design PLC's as part
of Project Basecamp: https://github.com/digitalbond/Basecamp
▪ Industrial Exploitation Framework: https://github.com/dark-lbp/isf
▪ Industrial Control Systems Dynamic Code Injection:
https://grehack.fr/data/grehack2015/paper/Grehack%202015%20-
%20Paper%20-
%20Industrial%20Control%20Systems%20Dynamic%20Code%20Injection.pd
f
▪ Tool for scan PLC devices over s7comm or modbus protocols:
https://github.com/meeas/plcscan
▪ Conpot official documentation: https://conpot.readthedocs.io/en/latest/
▪ Docker Hub: https://hub.docker.com/
▪ Examples for the SIMATIC S7-1200/ S7-1500 Web Server:
https://cache.industry.siemens.com/dl/files/496/68011496/att_959527/v2/6801
1496_Examples_for_S7WebServer_DOC_v21_en.pdf
Pag. 30

▪ Syslog-ng: https://www.syslog-ng.com/
▪ Caught in the Act: Running a Realistic Factory Honeypot to Capture Real
Threats: https://documents.trendmicro.com/assets/white_papers/wp-caught-in-
the-act-running-a-realistic-factory-honeypot-to-capture-real-threats.pdf

Pag. 31