Antivirusmaatskappye, inligtingsekuriteitskundiges en bloot entoesiaste plaas honeypot-stelsels op die internet om 'n nuwe variant van die virus te "vang" of ongewone hacker-taktieke te identifiseer. Heuningpotte is so algemeen dat kubermisdadigers 'n soort immuniteit ontwikkel het: hulle identifiseer vinnig dat hulle voor 'n lokval is en ignoreer dit eenvoudig. Om die taktiek van moderne kuberkrakers te verken, het ons 'n realistiese heuningpot geskep wat vir sewe maande op die internet geleef het en 'n verskeidenheid aanvalle gelok het. Ons het in ons studie gepraat oor hoe dit gebeur het." Sommige feite uit die studie is in hierdie pos.
Heuningpot-ontwikkeling: kontrolelys
Die hooftaak met die skep van ons supertrap was om te verhoed dat ons blootgestel word deur kuberkrakers wat belangstelling daarin getoon het. Dit het baie werk geverg:
- Skep 'n realistiese legende oor die maatskappy, insluitend volle name en foto's van werknemers, telefoonnommers en e-posse.
- Om vorendag te kom en 'n model van industriële infrastruktuur te implementeer wat ooreenstem met die legende oor ons maatskappy se aktiwiteite.
- Besluit watter netwerkdienste van buite af toeganklik sal wees, maar moenie meegesleur word om kwesbare poorte oop te maak sodat dit nie soos 'n lokval vir suiers lyk nie.
- Organiseer die sigbaarheid van inligtinglekkasies oor 'n kwesbare stelsel en versprei hierdie inligting onder potensiële aanvallers.
- Implementeer diskrete monitering van hackeraktiwiteite in die honeypot-infrastruktuur.
En nou eerste dinge eerste.
Skep 'n legende
Kubermisdadigers is reeds daaraan gewoond om baie heuningpotte teë te kom, so die mees gevorderde deel van hulle doen 'n in-diepte ondersoek van elke kwesbare stelsel om seker te maak dat dit nie 'n lokval is nie. Om dieselfde rede het ons probeer verseker dat die heuningpot nie net realisties is wat ontwerp en tegniese aspekte betref nie, maar ook om die voorkoms van 'n ware maatskappy te skep.
Deur onsself in die skoene van 'n hipotetiese cool hacker te plaas, het ons 'n verifikasie-algoritme ontwikkel wat 'n regte stelsel van 'n lokval sal onderskei. Dit het ingesluit soek na maatskappy-IP-adresse in reputasiestelsels, omgekeerde navorsing oor die geskiedenis van IP-adresse, soek na name en sleutelwoorde wat verband hou met die maatskappy, sowel as sy teenpartye, en baie ander dinge. As gevolg hiervan het die legende redelik oortuigend en aantreklik geblyk.
Ons het besluit om die lokmiddelfabriek te posisioneer as 'n klein industriële prototipe-boetiek wat vir baie groot anonieme kliënte in die militêre en lugvaartsegment werk. Dit het ons bevry van die wetlike komplikasies verbonde aan die gebruik van 'n bestaande handelsmerk.
Vervolgens moes ons met 'n visie, missie en naam vir die organisasie vorendag kom. Ons het besluit dat ons maatskappy 'n begin sal wees met 'n klein aantal werknemers, wat elkeen 'n stigter is. Dit het geloofwaardigheid bygedra tot die storie van die gespesialiseerde aard van ons besigheid, wat dit toelaat om sensitiewe projekte vir groot en belangrike kliënte te hanteer. Ons wou hê ons maatskappy moes swak voorkom vanuit 'n kuberveiligheidsperspektief, maar dit was terselfdertyd duidelik dat ons met belangrike bates op teikenstelsels werk.
Skermskoot van die MeTech-heuningpot-webwerf. Bron: Trend Micro
Ons het die woord MeTech as die maatskappy se naam gekies. Die webwerf is gemaak op grond van 'n gratis sjabloon. Die beelde is uit fotobanke geneem, met die mees ongewilde en gewysig om dit minder herkenbaar te maak.
Ons wou hê die maatskappy moes eg lyk, daarom moes ons werknemers byvoeg met professionele vaardighede wat ooreenstem met die profiel van die aktiwiteit. Ons het vir hulle name en persoonlikhede uitgedink en toe probeer om beelde uit fotobanke volgens etnisiteit te kies.
Skermskoot van die MeTech-heuningpot-webwerf. Bron: Trend Micro
Om te verhoed dat ons ontdek word, het ons groepfoto's van goeie gehalte gesoek waaruit ons die gesigte kon kies wat ons nodig het. Ons het egter toe hierdie opsie laat vaar, aangesien 'n potensiële hacker omgekeerde beeldsoektog kan gebruik en ontdek dat ons "werknemers" net in fotobanke woon. Uiteindelik het ons foto's gebruik van nie-bestaande mense wat met behulp van neurale netwerke geskep is.
Werknemerprofiele wat op die webwerf geplaas is, het belangrike inligting oor hul tegniese vaardighede ingesluit, maar ons het vermy om spesifieke skole of stede te identifiseer.
Om posbusse te skep, het ons 'n gasheerverskaffer se bediener gebruik, en toe verskeie telefoonnommers in die Verenigde State gehuur en dit gekombineer in 'n virtuele PBX met 'n stemkieslys en 'n antwoordmasjien.
Heuningpot-infrastruktuur
Om blootstelling te vermy, het ons besluit om 'n kombinasie van regte industriële hardeware, fisiese rekenaars en veilige virtuele masjiene te gebruik. As ons vorentoe kyk, sal ons sê dat ons die resultaat van ons pogings nagegaan het met die Shodan-soekenjin, en dit het gewys dat die heuningpot soos 'n regte industriële stelsel lyk.
Die resultaat van die skandering van 'n heuningpot met Shodan. Bron: Trend Micro
Ons het vier PLC's as hardeware vir ons lokval gebruik:
- Siemens S7-1200,
- twee AllenBradley MicroLogix 1100,
- Omron CP1L.
Hierdie PLC's is gekies vir hul gewildheid in die wêreldwye beheerstelselmark. En elkeen van hierdie beheerders gebruik sy eie protokol, wat ons toegelaat het om te kyk watter van die PLC's meer gereeld aangeval sal word en of hulle enigiemand in beginsel sal interesseer.
Toerusting van ons "fabriek"-val. Bron: Trend Micro
Ons het nie net hardeware geïnstalleer en aan die internet gekoppel nie. Ons het elke beheerder geprogrammeer om take uit te voer, insluitend
- meng,
- brander en vervoerband beheer,
- palletisering met behulp van 'n robotmanipuleerder.
En om die produksieproses realisties te maak, het ons logika geprogrammeer om terugvoerparameters lukraak te verander, motors te simuleer wat begin en stop, en branders wat aan- en afskakel.
Ons fabriek het drie virtuele rekenaars en een fisiese een gehad. Virtuele rekenaars is gebruik om 'n aanleg, 'n palletiseerder-robot en as 'n werkstasie vir 'n PLC-sagteware-ingenieur te beheer. Die fisiese rekenaar het as 'n lêerbediener gewerk.
Benewens die monitering van aanvalle op PLC's, wou ons die status van programme wat op ons toestelle gelaai is, monitor. Om dit te doen, het ons 'n koppelvlak geskep wat ons in staat gestel het om vinnig te bepaal hoe die toestande van ons virtuele aktueerders en instellings gewysig is. Reeds op die beplanningstadium het ons ontdek dat dit baie makliker is om dit met behulp van 'n beheerprogram te implementeer as deur direkte programmering van die beheerderlogika. Ons het toegang tot die toestelbestuur-koppelvlak van ons heuningpot via VNC oopgemaak sonder 'n wagwoord.
Industriële robotte is 'n sleutelkomponent van moderne slim vervaardiging. In hierdie verband het ons besluit om 'n robot en 'n outomatiese werkplek om dit te beheer by die toerusting van ons lokvalfabriek te voeg. Om die "fabriek" meer realisties te maak, het ons regte sagteware op die beheerwerkstasie geïnstalleer, wat ingenieurs gebruik om die robot se logika grafies te programmeer. Wel, aangesien industriële robotte gewoonlik in 'n geïsoleerde interne netwerk geleë is, het ons besluit om onbeskermde toegang via VNC slegs na die beheerwerkstasie te laat.
RobotStudio-omgewing met 'n 3D-model van ons robot. Bron: Trend Micro
Ons het die RobotStudio-programmeringsomgewing van ABB Robotics op 'n virtuele masjien met 'n robotbeheerwerkstasie geïnstalleer. Nadat ons RobotStudio gekonfigureer het, het ons 'n simulasielêer met ons robot daarin oopgemaak sodat sy 3D-beeld op die skerm sigbaar was. As gevolg hiervan sal Shodan en ander soekenjins, wanneer hulle 'n onversekerde VNC-bediener opspoor, hierdie skermbeeld gryp en dit wys aan diegene wat op soek is na industriële robotte met oop toegang tot beheer.
Die punt van hierdie aandag aan detail was om 'n aantreklike en realistiese teiken te skep vir aanvallers wat, sodra hulle dit gevind het, weer en weer daarna sou terugkeer.
Ingenieur se werkstasie
Om die PLC-logika te programmeer, het ons 'n ingenieursrekenaar by die infrastruktuur gevoeg. Industriële sagteware vir PLC-programmering is daarop geïnstalleer:
- TIA-portaal vir Siemens,
- MicroLogix vir Allen-Bradley kontroleerder,
- CX-One vir Omron.
Ons het besluit dat die ingenieurswerkspasie nie buite die netwerk toeganklik sou wees nie. In plaas daarvan stel ons dieselfde wagwoord vir die administrateurrekening as op die robotbeheerwerkstasie en die fabrieksbeheerwerkstasie wat vanaf die internet toeganklik is. Hierdie konfigurasie is redelik algemeen in baie maatskappye.
Ongelukkig, ten spyte van al ons pogings, het nie 'n enkele aanvaller die ingenieur se werkstasie bereik nie.
Lêerbediener
Ons het dit nodig gehad as 'n lokaas vir aanvallers en as 'n manier om ons eie "werk" in die lokmiddelfabriek te rugsteun. Dit het ons toegelaat om lêers met ons heuningpot te deel deur USB-toestelle te gebruik sonder om 'n spoor op die heuningpot-netwerk te laat. Ons het Windows 7 Pro as die bedryfstelsel vir die lêerbediener geïnstalleer, waarin ons 'n gedeelde vouer geskep het wat deur enigiemand gelees en geskryf kan word.
Ons het aanvanklik geen hiërargie van dopgehou en dokumente op die lêerbediener geskep nie. Ons het egter later ontdek dat aanvallers hierdie lêergids aktief bestudeer, en daarom het ons besluit om dit met verskeie lêers te vul. Om dit te doen, het ons 'n luislangskrif geskryf wat 'n lêer van ewekansige grootte geskep het met een van die gegewe uitbreidings, wat 'n naam gevorm het gebaseer op die woordeboek.
Skrip vir die generering van aantreklike lêername. Bron: Trend Micro
Nadat ons die skrip uitgevoer het, het ons die gewenste resultaat gekry in die vorm van 'n gids vol lêers met baie interessante name.
Die resultaat van die draaiboek. Bron: Trend Micro
Monitering omgewing
Nadat ons soveel moeite spandeer het om 'n realistiese maatskappy te skep, kon ons eenvoudig nie bekostig om op die omgewing te misluk om ons "besoekers" te monitor nie. Ons moes al die data intyds kry sonder dat die aanvallers besef dat hulle dopgehou word.
Ons het dit geïmplementeer met behulp van vier USB-na-Ethernet-adapters, vier SharkTap Ethernet-krane, 'n Raspberry Pi 3 en 'n groot eksterne aandrywer. Ons netwerkdiagram het soos volg gelyk:
Heuningpot-netwerkdiagram met moniteringstoerusting. Bron: Trend Micro
Ons het drie SharkTap-krane geposisioneer om alle eksterne verkeer na die PLC te monitor, slegs toeganklik vanaf die interne netwerk. Die vierde SharkTap het die verkeer van gaste van 'n kwesbare virtuele masjien gemonitor.
SharkTap Ethernet Tap en Sierra Wireless AirLink RV50 Router. Bron: Trend Micro
Raspberry Pi het daaglikse verkeersopname uitgevoer. Ons het aan die internet gekoppel met 'n Sierra Wireless AirLink RV50 sellulêre router, wat dikwels in industriële ondernemings gebruik word.
Ongelukkig het hierdie router ons nie toegelaat om aanvalle selektief te blokkeer wat nie by ons planne pas nie, daarom het ons 'n Cisco ASA 5505-brandmuur in deursigtige modus by die netwerk gevoeg om blokkering uit te voer met minimale impak op die netwerk.
Verkeersontleding
Tshark en tcpdump is geskik om huidige probleme vinnig op te los, maar in ons geval was hul vermoëns nie genoeg nie, aangesien ons baie gigagrepe verkeer gehad het, wat deur verskeie mense ontleed is. Ons het die oopbron Moloch-ontleder wat deur AOL ontwikkel is, gebruik. Dit is vergelykbaar in funksionaliteit met Wireshark, maar het meer vermoëns vir samewerking, beskrywing en merk van pakkette, uitvoer en ander take.
Aangesien ons nie die versamelde data op heuningpotrekenaars wou verwerk nie, is PCAP-stortings elke dag na AWS-berging uitgevoer, vanwaar ons dit reeds op die Moloch-masjien ingevoer het.
Skermopname
Om die optrede van kuberkrakers in ons heuningpot te dokumenteer, het ons 'n draaiboek geskryf wat skermkiekies van die virtuele masjien met 'n gegewe interval geneem het en, deur dit met die vorige skermskoot te vergelyk, bepaal of iets daar gebeur of nie. Wanneer aktiwiteit opgespoor is, het die skrif skermopname ingesluit. Hierdie benadering het geblyk die doeltreffendste te wees. Ons het ook probeer om VNC-verkeer vanaf 'n PCAP-storting te ontleed om te verstaan watter veranderinge in die stelsel plaasgevind het, maar uiteindelik het die skermopname wat ons geïmplementeer het, eenvoudiger en meer visueel geblyk te wees.
Monitering van VNC-sessies
Hiervoor het ons Chaosreader en VNCLogger gebruik. Albei nutsprogramme onttrek toetsaanslagen uit 'n PCAP-storting, maar VNCLogger hanteer sleutels soos Backspace, Enter, Ctrl meer korrek.
VNCLogger het twee nadele. Eerstens: dit kan slegs sleutels onttrek deur na verkeer op die koppelvlak te "luister", so ons moes 'n VNC-sessie daarvoor simuleer met tcpreplay. Die tweede nadeel van VNCLogger is algemeen met Chaosreader: albei wys nie die inhoud van die knipbord nie. Om dit te doen moes ek Wireshark gebruik.
Ons lok hackers
Ons het heuningpot geskep om aangeval te word. Om dit te bereik, het ons 'n inligtinglek opgestel om die aandag van potensiële aanvallers te trek. Die volgende hawens is op heuningpot oopgemaak:
Die RDP-poort moes gesluit word kort nadat ons regstreeks gegaan het, want die massiewe hoeveelheid skanderingsverkeer op ons netwerk het prestasieprobleme veroorsaak.
Die VNC-terminale het eers in kyk-alleen-modus gewerk sonder 'n wagwoord, en toe het ons hulle "per ongeluk" na volle toegangsmodus oorgeskakel.
Om aanvallers te lok, het ons twee plasings geplaas met uitgelekte inligting oor die beskikbare industriële stelsel op PasteBin.
Een van die plasings wat op PasteBin geplaas is om aanvalle te lok. Bron: Trend Micro
aanvalle
Honeypot het sowat sewe maande aanlyn geleef. Die eerste aanval het plaasgevind 'n maand nadat honeypot aanlyn gegaan het.
Skandeerders
Daar was baie verkeer van skandeerders van bekende maatskappye – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye en ander. Daar was so baie van hulle dat ons hul IP-adresse van die ontleding moes uitsluit: 610 uit 9452 of 6,45% van alle unieke IP-adresse het aan heeltemal wettige skandeerders behoort.
scammers
Een van die grootste risiko's wat ons in die gesig gestaar het, is die gebruik van ons stelsel vir kriminele doeleindes: om slimfone deur 'n intekenaar se rekening te koop, lugrederymyle uit te betaal met geskenkbewyse en ander soorte bedrog.
Mynwerkers
Een van die eerste besoekers aan ons stelsel blyk 'n mynwerker te wees. Hy het Monero-mynbousagteware daarop afgelaai. Hy sou weens lae produktiwiteit nie veel geld op ons spesifieke stelsel kon maak nie. As ons egter die pogings van 'n paar dosyn of selfs honderde sulke stelsels kombineer, kan dit redelik goed uitdraai.
Losprysware
Tydens die werk van honeypot het ons twee keer regte losprysware-virusse teëgekom. In die eerste geval was dit Crysis. Sy operateurs het via VNC by die stelsel aangemeld, maar het dan TeamViewer geïnstalleer en dit gebruik om verdere aksies uit te voer. Nadat ons gewag het vir 'n afpersingsboodskap wat 'n losprys van $10 6 in BTC eis, het ons met die misdadigers korrespondensie aangegaan en hulle gevra om een van die lêers vir ons te dekripteer. Hulle het aan die versoek voldoen en die lospryseis herhaal. Ons het daarin geslaag om tot XNUMX duisend dollar te onderhandel, waarna ons die stelsel eenvoudig weer na 'n virtuele masjien opgelaai het, aangesien ons al die nodige inligting ontvang het.
Die tweede losprysware blyk Phobos te wees. Die kuberkraker wat dit geïnstalleer het, het 'n uur spandeer om deur die honeypot-lêerstelsel te blaai en die netwerk te skandeer, en toe uiteindelik die losprysware geïnstalleer.
Die derde losprysware-aanval het geblyk vals te wees. 'n Onbekende "hacker" het die haha.bat-lêer op ons stelsel afgelaai, waarna ons vir 'n rukkie gekyk het hoe hy probeer om dit aan die werk te kry. Een van die pogings was om haha.bat na haha.rnsmwr te hernoem.
Die "haker" verhoog die skadelikheid van die vlermuislêer deur die uitbreiding daarvan na .rnsmwr te verander. Bron: Trend Micro
Toe die bondellêer uiteindelik begin loop het, het die "haker" dit geredigeer en die losprys van $200 tot $750 verhoog. Daarna het hy al die lêers "geënkripteer", 'n afpersingsboodskap op die lessenaar gelaat en verdwyn en die wagwoorde op ons VNC verander.
'n Paar dae later het die kuberkraker teruggekeer en, om homself te herinner, 'n bondellêer bekendgestel wat baie vensters met 'n porno-werf oopgemaak het. Hy het glo op hierdie manier die aandag op sy eis probeer vestig.
Resultate van
Tydens die studie het dit geblyk dat sodra inligting oor die kwesbaarheid gepubliseer is, heuningpot aandag getrek het, met aktiwiteit wat dag vir dag gegroei het. Om die lokval aandag te kry, moes ons fiktiewe maatskappy verskeie sekuriteitsoortredings ondervind. Ongelukkig is hierdie situasie ver van ongewoon onder baie regte maatskappye wat nie voltydse IT- en inligtingsekuriteit-werknemers het nie.
Oor die algemeen moet organisasies die beginsel van minste voorreg gebruik, terwyl ons presies die teenoorgestelde daarvan geïmplementeer het om aanvallers te lok. En hoe langer ons die aanvalle dopgehou het, hoe meer gesofistikeerd het dit geword in vergelyking met standaard penetrasietoetsmetodes.
En die belangrikste, al hierdie aanvalle sou misluk het as voldoende sekuriteitsmaatreëls geïmplementeer is tydens die opstel van die netwerk. Organisasies moet verseker dat hul toerusting en industriële infrastruktuurkomponente nie vanaf die internet toeganklik is nie, soos ons spesifiek in ons strik gedoen het.
Alhoewel ons nie 'n enkele aanval op 'n ingenieur se werkstasie aangeteken het nie, ten spyte van die gebruik van dieselfde plaaslike administrateurwagwoord op alle rekenaars, moet hierdie praktyk vermy word om die moontlikheid van indringers te minimaliseer. Swak sekuriteit dien immers as 'n bykomende uitnodiging om nywerheidstelsels aan te val, wat lank reeds vir kubermisdadigers van belang is.
Bron: will.com