ፕሮሆስተር > ጦማር > አስተዳደር > የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የጸረ-ቫይረስ ኩባንያዎች፣ የመረጃ ደህንነት ባለሙያዎች እና አድናቂዎች ትኩስ የተለያዩ ቫይረሶችን “በቀጥታ ለመያዝ” ወይም ያልተለመዱ የጠላፊ ዘዴዎችን ለማሳየት በበይነ መረብ ላይ የ honeypot ስርዓቶችን ያጋልጣሉ። የማር ማሰሮዎች በጣም የተለመዱ ከመሆናቸው የተነሳ የሳይበር ወንጀለኞች አንድ ዓይነት በሽታ የመከላከል አቅምን አዳብረዋል፡ ከፊት ለፊታቸው ወጥመድ እንዳለ በፍጥነት ለይተው በቀላሉ ችላ ይላሉ። የዘመናዊ ጠላፊዎችን ስልቶች ለመዳሰስ፣ የተለያዩ ጥቃቶችን እየሳበ በበይነ መረብ ላይ ለሰባት ወራት የኖረ እውነተኛ የማር ማሰሮ ፈጠርን። እንዴት እንደነበረ በጥናታችን ተናግረናል "በህጉ ውስጥ ተይዟል፡ እውነተኛ ስጋቶችን ለመያዝ የእውነታውን የፋብሪካ ሃኒፖት ማስኬድ". የጥናቱ አንዳንድ እውነታዎች በዚህ ጽሑፍ ውስጥ ይገኛሉ።

Honeypot ልማት: ዝርዝር

የኛን ሱፐር ወጥመድ የመፍጠር ዋና ስራ ፍላጎት ያሳዩ ጠላፊዎች እንድንጋለጥ መፍቀድ አልነበረም። ይህንን ለማድረግ ብዙ ስራ ፈጅቶበታል፡-

  1. የሰራተኞችን ሙሉ ስም እና ፎቶ፣ስልክ ቁጥሮች እና ኢሜይሎችን ጨምሮ ስለ ኩባንያው እውነተኛ አፈ ታሪክ ይፍጠሩ።
  2. ከድርጅታችን እንቅስቃሴ አፈ ታሪክ ጋር የሚዛመድ የኢንዱስትሪ መሠረተ ልማት ሞዴል ፍጠር እና ተግብር።
  3. የትኞቹ የኔትወርክ አገልግሎቶች ከውጪ እንደሚገኙ ይወስኑ፣ ነገር ግን ለሲምፕስ ወጥመድ እንዳይመስል ተጋላጭ ወደቦችን በመክፈት አይወሰዱ።
  4. ስለ ተጎጂ ስርዓት የመረጃ ፍሰትን መልክ ያደራጁ እና ይህንን መረጃ ሊጠቁ በሚችሉ አጥቂዎች መካከል ያሰራጩ።
  5. በወጥመዱ መሠረተ ልማት ውስጥ የጠላፊዎችን ድርጊት ጥንቃቄ የተሞላበት ክትትልን ተግባራዊ ያድርጉ።

እና አሁን ስለ ሁሉም ነገር በቅደም ተከተል.

አፈ ታሪክ ፍጠር

የሳይበር ወንጀለኞች ብዙ የማር ማሰሮዎችን ማየት ስለለመዱ በጣም የላቀው ክፍል ይህ ወጥመድ አለመሆኑን ለማረጋገጥ በእያንዳንዱ የተጋላጭ ስርዓት ላይ ጥልቅ ጥናት ያካሂዳል። በተመሳሳዩ ምክንያት የማር ማሰሮው በንድፍ እና በቴክኒካዊ ገጽታዎች ላይ ተጨባጭ ብቻ ሳይሆን የእውነተኛ ኩባንያ ገጽታ ለመፍጠርም እንፈልጋለን.

እራሳችንን ወደ ግምታዊ coolhacker ቦታ በማስቀመጥ እውነተኛውን ስርዓት ከወጥመድ ለመለየት የሚያስችል የማረጋገጫ ስልተ-ቀመር አዘጋጅተናል። የኩባንያውን የአይፒ አድራሻዎች በስም ስርዓት ውስጥ መፈለግን፣ የአይፒ አድራሻዎችን ታሪክ መቀልበስ፣ ከኩባንያው ጋር የተያያዙ ስሞችን እና ቁልፍ ቃላትን መፈለግ፣ እንዲሁም አጋሮቹ እና ሌሎች በርካታ ነገሮችን ያካትታል። በውጤቱም, አፈ ታሪኩ በጣም አሳማኝ እና ማራኪ ሆኖ ተገኝቷል.

የወጥመዱ ፋብሪካውን እንደ ትንሽ የኢንደስትሪ ፕሮቶታይፕ ቡቲክ ለማድረግ ወሰንን በጣም ትልቅ ማንነታቸው ያልታወቁ ወታደራዊ እና የአቪዬሽን ደንበኞች። ይህ አሁን ያለውን የምርት ስም ከመጠቀም ጋር ከተያያዙ ህጋዊ ውስብስብ ነገሮች አዳነን።

በመቀጠልም የድርጅቱን ራዕይ፣ ተልዕኮ እና ስም ማውጣት ነበረብን። ኩባንያችን አነስተኛ ቁጥር ያላቸው ሰራተኞች ያሉት ጀማሪ እንዲሆን ወስነናል, እያንዳንዳቸው መስራች ናቸው. ይህ ለትላልቅ እና አስፈላጊ ደንበኞች ከስሱ ፕሮጀክቶች ጋር አብሮ ለመስራት የሚያስችለውን የቢዝነስ ስፔሻላይዜሽን አፈ ታሪክ ተአማኒነት አክሏል። ኩባንያችን በሳይበር ደህንነት ረገድ ደካማ መስሎ እንዲታይ ለማድረግ ፈልገን ነበር, ነገር ግን በተመሳሳይ ጊዜ በታለመላቸው ስርዓቶች ውስጥ አስፈላጊ ከሆኑ ንብረቶች ጋር እየሰራን እንደሆነ ግልጽ ነበር.

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የሜቴክ ሃውፖት ድር ጣቢያ ቅጽበታዊ ገጽ እይታ። ምንጭ፡ Trend Micro

ሜቴክ የሚለውን ቃል የኩባንያው ስም እንዲሆን መርጠናል። ጣቢያው የተሰራው በነጻ አብነት መሰረት ነው። ምስሎቹ የተነሱት ከፎቶባንኮች በጣም ተወዳጅ ያልሆኑትን በመጠቀም እና እነሱን ለማሳነስ በማስተካከል ነው።

ኩባንያው እውነተኛ ሆኖ እንዲታይ እንፈልጋለን፣ ስለዚህ ከእንቅስቃሴው መገለጫ ጋር የሚዛመዱ ሙያዊ ችሎታ ያላቸው ሰራተኞችን ማከል ያስፈልገናል። ለነሱ ስሞችን እና ማንነቶችን አዘጋጅተናል, እና ከዛም ከፎቶባንኮች እንደ ብሄር ምስሎችን ለመምረጥ ሞክረናል.

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የሜቴክ ሃውፖት ድር ጣቢያ ቅጽበታዊ ገጽ እይታ። ምንጭ፡ Trend Micro

እንዳይገኝ, እኛ የምንፈልጋቸውን ፊቶች የምንመርጥባቸው ጥሩ ጥራት ያላቸው የቡድን ፎቶዎችን ፈልገን ነበር. ነገር ግን፣ በኋላ ላይ ይህን አማራጭ ትተነው ነበር፣ ምክንያቱም ጠላፊ ሊሆን የሚችል የተገላቢጦሽ ምስል ፍለጋ ሊጠቀም ስለሚችል እና “ሰራተኞቻችን” የሚኖሩት በፎቶ ባንኮች ውስጥ ብቻ ነው። መጨረሻ ላይ የነርቭ ኔትወርኮችን በመጠቀም የተፈጠሩ የሌሉ ሰዎች ፎቶዎችን ተጠቀምን።

በጣቢያው ላይ የታተሙ የሰራተኞች መገለጫዎች ስለ ቴክኒካዊ ችሎታዎቻቸው ጠቃሚ መረጃን ይዘዋል, ነገር ግን የተወሰኑ የትምህርት ተቋማትን እና ከተማዎችን ከመጥቀስ ተቆጥበናል.
የመልእክት ሳጥኖችን ለመፍጠር፣ የአስተናጋጅ አገልግሎት ሰጪ አገልጋይን ተጠቅመን፣ ከዚያም በዩናይትድ ስቴትስ ውስጥ ብዙ ስልክ ቁጥሮችን ተከራይተን ወደ ቨርቹዋል ፒቢኤክስ ከድምጽ ሜኑ እና ከመልስ ማሽን ጋር አዋህደን።

Honeypot መሠረተ ልማት

ተጋላጭነትን ለማስወገድ፣ የእውነተኛ የኢንዱስትሪ ሃርድዌር፣ አካላዊ ኮምፒውተሮች እና ደህንነታቸው የተጠበቁ ምናባዊ ማሽኖችን ለመጠቀም ወሰንን። ወደ ፊት ስንመለከት የሾዳን መፈለጊያ ሞተር ተጠቅመን የጥረታችንን ውጤት አረጋገጥን እና የማር ማሰሮው እውነተኛ የኢንዱስትሪ ስርዓት እንደሚመስል ያሳያል።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የማር ማሰሮውን ከሾዳን ጋር የመቃኘት ውጤት። ምንጭ፡ Trend Micro

ለወጥመዳችን አራት PLCዎችን እንደ ሃርድዌር ተጠቀምን።

  • ሲመንስ S7-1200
  • ሁለት አለን-ብራድሌይ ማይክሮ ሎጊክስ 1100 ዎች ፣
  • ኦምሮን ሲፒ1ኤል.

እነዚህ ኃ.የተ.የግ.ማ.ዎች በአለም አቀፍ የቁጥጥር ስርዓቶች ገበያ ውስጥ ስላላቸው ተወዳጅነት ተመርጠዋል። እና እነዚህ ተቆጣጣሪዎች እያንዳንዳቸው የየራሳቸውን ፕሮቶኮል ይጠቀማሉ፣ ይህም ከ PLC ዎች ብዙ ጊዜ ጥቃት እንደሚደርስበት እና በመርህ ደረጃ ለማንም ሰው የሚጠቅም መሆኑን እንድንፈትሽ አስችሎናል።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የኛ "ፋብሪካ" መሳሪያ ወጥመድ ነው። ምንጭ፡ Trend Micro

የብረት ቁርጥራጭን ብቻ ጫንን እና ከኢንተርኔት ጋር አላገናኘንም። እያንዳንዱ ተቆጣጣሪ ተግባራትን እንዲፈጽም ፕሮግራም አዘጋጅተናል፣ ከእነዚህም መካከል

  • መቀላቀል፣
  • ማቃጠያ እና ማጓጓዣ ቀበቶ ቁጥጥር ፣
  • ሮቦት ክንድ በመጠቀም palletizing.

የምርት ሂደቱን እውን ለማድረግ፣ የግብረመልስ መለኪያዎችን በዘፈቀደ ለመቀየር፣ ሞተሮችን ለማስጀመር እና ለማቆም፣ ማቃጠያውን ለማብራት እና ለማጥፋት አመክንዮ አዘጋጅተናል።

የእኛ ፋብሪካ ሶስት ቨርቹዋል ኮምፒውተሮች እና አንድ ፊዚካል ነበረው። ቨርቹዋል ማሽኖች ተክሉን፣ ሮቦት ፓሌይዘርን እና የ PLC ሶፍትዌር መሐንዲስ የስራ ቦታን ለመቆጣጠር ስራ ላይ ውለዋል። አካላዊ ኮምፒዩተሩ እንደ ፋይል አገልጋይ ሆኖ ሰርቷል።

በ PLC ዎች ላይ የሚደርሱ ጥቃቶችን ከመከታተል በተጨማሪ ወደ መሳሪያችን የሚወርዱ ፕሮግራሞችን ሁኔታ ለመከታተል እንፈልጋለን። ይህንን ለማድረግ የቨርቹዋል አንቀሳቃሾች እና ጭነቶች ሁኔታ እንዴት እንደተሻሻሉ በፍጥነት እንድንወስን የሚያስችል በይነገጽ ፈጠርን። ቀድሞውኑ በእቅድ ደረጃ ላይ, የመቆጣጠሪያውን ሎጂክ ቀጥተኛ ፕሮግራም ከማዘጋጀት ይልቅ ይህንን በመቆጣጠሪያ ፕሮግራም መተግበር በጣም ቀላል እንደሆነ አግኝተናል. የኛን ሃውፖት መሳሪያ አስተዳደር በይነገጽ በVNC በኩል ያለ የይለፍ ቃል ከፍተናል።

የኢንዱስትሪ ሮቦቶች የዘመናዊ ስማርት ማምረቻ ዋና አካል ናቸው። በዚህ ረገድ ሮቦት እና አንድ የስራ ቦታ ለመቆጣጠር ወደ ወጥመዱ ፋብሪካችን እቃዎች ለመጨመር ወስነናል. “ፋብሪካውን” የበለጠ እውን ለማድረግ፣ መሐንዲሶች የሮቦትን አመክንዮ ለግራፊክ ፕሮግራሚንግ የሚጠቀሙባቸውን እውነተኛ ሶፍትዌሮችን በመቆጣጠሪያ መሥሪያው ላይ ጫንን። ደህና ፣ የኢንዱስትሪ ሮቦቶች ብዙውን ጊዜ በገለልተኛ የውስጥ አውታረመረብ ውስጥ ስለሚገኙ ደህንነቱ ያልተጠበቀ መዳረሻን በቪኤንሲ ወደ መቆጣጠሪያ መስሪያ ቦታ ብቻ ለመተው ወስነናል።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የRobotStudio አካባቢ ከሮቦታችን 3D ሞዴል ጋር። ምንጭ፡ Trend Micro

በቨርቹዋል ማሽን ከሮቦት መቆጣጠሪያ መስሪያ ቦታ ጋር የRobotStudio ፕሮግራሚንግ አካባቢን ከኤቢቢ ሮቦቲክስ ጫንን። ሮቦት ስቱዲዮን ካዘጋጀን በኋላ የ3-ል ምስሉ በስክሪኑ ላይ እንዲታይ የኛ ሮቦት ያለው የማስመሰያ ፋይሉን ከፍተናል። በዚህ ምክንያት ሾዳን እና ሌሎች የፍለጋ ሞተሮች ደህንነቱ ያልተጠበቀ የቪኤንሲ አገልጋይ ሲያገኙ ይህንን የስክሪን ምስል ያገኙታል እና ክፍት የቁጥጥር መዳረሻ ያላቸውን የኢንዱስትሪ ሮቦቶችን ለሚፈልጉ ያሳያሉ።

ይህ ለዝርዝር ትኩረት የተሰጠው ነጥብ ያገኙትን ደጋግመው ለሚመለሱ አጥቂዎች ማራኪ እና በተቻለ መጠን ተጨባጭ ኢላማ መፍጠር ነበር።

የኢንጂነር ስራ ጣቢያ


የ PLC አመክንዮ ፕሮግራም ለማድረግ፣ ኢንጂነሪንግ ኮምፒዩተርን ወደ መሠረተ ልማት ጨምረናል። ለ PLC ፕሮግራሚንግ የኢንዱስትሪ ሶፍትዌር በላዩ ላይ ተጭኗል፡-

  • TIA Portal ለ Siemens፣
  • ማይክሮ ሎጊክስ ለአለን-ብራድሌይ መቆጣጠሪያ ፣
  • CX-አንድ ለኦምሮን።

የኢንጂነሪንግ የስራ ቦታ ከአውታረ መረቡ ውጭ እንደማይገኝ ወስነናል. ይልቁንስ በይነመረብ ተደራሽ በሆነው የሮቦት መቆጣጠሪያ መስሪያ ቦታ እና የፋብሪካ መቆጣጠሪያ መስሪያ ቦታ ላይ ያለውን የአስተዳዳሪ መለያ ተመሳሳይ የይለፍ ቃል አዘጋጅተናል። ይህ ውቅር በብዙ ኩባንያዎች ውስጥ በጣም የተለመደ ነው።
እንደ አለመታደል ሆኖ፣ ጥረታችንን ብታደርግም፣ አንድም አጥቂ የኢንጂነሩ መሥሪያ ቤት አልደረሰም።

የፋይል አገልጋይ

ለሰርጎ ገቦች ማጥመጃ እና የራሳችንን "ስራዎች" በወጥመዱ ፋብሪካ ውስጥ ለመደገፍ ያስፈልገን ነበር። ይህ በወጥመዱ አውታረመረብ ላይ ዱካ ሳንተወን የዩኤስቢ መሳሪያዎችን ተጠቅመን ፋይሎችን ከ honeypot ጋር እንድናካፍል አስችሎናል። ለፋይል አገልጋዩ ስርዓተ ክወና እንደመሆናችን መጠን ዊንዶውስ 7 ፕሮን ጭነን ነበር፣ በውስጡም የጋራ ማህደር ለማንም ለማንበብ እና ለመፃፍ እንዲገኝ አድርገናል።

መጀመሪያ ላይ በፋይል አገልጋዩ ላይ ምንም አይነት የአቃፊዎች እና ሰነዶች ተዋረድ አልፈጠርንም። ሆኖም በኋላ ላይ አጥቂዎቹ ይህንን አቃፊ በንቃት እያጠኑ ስለነበር በተለያዩ ፋይሎች ለመሙላት ወሰንን. ይህንን ለማድረግ መዝገበ ቃላትን መሰረት በማድረግ ከተሰጡት ቅጥያዎች በአንዱ የዘፈቀደ መጠን ያለው ፋይል የፈጠረ የፓይቶን ስክሪፕት ጻፍን።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
ማራኪ የፋይል ስሞችን ለመፍጠር ስክሪፕት ምንጭ፡ Trend Micro

ስክሪፕቱን ካስኬድ በኋላ የተፈለገውን ውጤት በአቃፊ መልክ አግኝተናል በጣም አስደሳች ስሞች ባላቸው ፋይሎች።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የስክሪፕቱ ውጤት. ምንጭ፡ Trend Micro

የክትትል አካባቢ


ተጨባጭ ኩባንያ ለመፍጠር ብዙ ጥረት ካደረግን በኋላ፣ “ጎብኚዎቻችንን” ለመከታተል በከባቢ አየር ውስጥ መውደቅ አልቻልንም። አጥቂዎቹ እየተመለከቱ መሆናቸውን እንዳይገነዘቡ ሁሉንም መረጃዎች በቅጽበት ማግኘት ነበረብን።

ይህንን ያደረግነው አራት ዩኤስቢ ወደ ኢተርኔት አስማሚዎች፣ አራት የሻርክታፕ ኢተርኔት ቧንቧዎች፣ Raspberry Pi 3 እና ትልቅ ውጫዊ ድራይቭ በመጠቀም ነው። የኛ መረብ ዲያግራም ይህን ይመስላል።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
የ Honeypot አውታረ መረብ ንድፍ ከክትትል መሳሪያዎች ጋር። ምንጭ፡ Trend Micro

ሁሉንም የውጭ ትራፊክ ወደ PLC ለመከታተል በሚያስችል መልኩ ሶስት የሻርክታፕ ቧንቧዎችን አስቀምጠናል፣ ይህም ከውስጥ ኔትወርክ ብቻ ነው። አራተኛው ሻርክታፕ የተጋላጭ ምናባዊ ማሽን እንግዶችን ትራፊክ ተከታትሏል።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
ሻርክታፕ ኤተርኔት መታ እና ሲየራ ሽቦ አልባ ኤርሊንክ RV50 ራውተር። ምንጭ፡ Trend Micro

Raspberry Pi በየቀኑ የትራፊክ ቀረጻ አከናውኗል። በኢንዱስትሪ ኢንተርፕራይዞች ውስጥ ብዙ ጊዜ ጥቅም ላይ የሚውለው ሲየራ ሽቦ አልባ ኤርሊንክ RV50 ሴሉላር ራውተር በመጠቀም ከበይነመረቡ ጋር ተገናኘን።

እንደ አለመታደል ሆኖ ይህ ራውተር ከዕቅዳችን ጋር የማይዛመዱ ጥቃቶችን እየመረጥን እንድንገድብ አልፈቀደልንም ስለዚህ በኔትወርኩ ላይ በትንሹ ተጽእኖ ለመዝጋት ሲል Cisco ASA 5505 ፋየርዎልን በግልፅ ሁነታ ወደ አውታረ መረቡ ጨምረናል።

የትራፊክ ትንተና


Tshark እና tcpdump ወቅታዊ ጉዳዮችን በፍጥነት ለመፍታት ተገቢ ናቸው, ነገር ግን በእኛ ሁኔታ ብዙ ጊጋባይት የትራፊክ ፍሰት ስለነበረን, በእኛ ሁኔታ አቅማቸው በቂ አልነበረም, ይህም በብዙ ሰዎች የተተነተነ ነው. በAOL የተሰራውን ክፍት ምንጭ Moloch analyzer ተጠቀምን። በተግባራዊነት, ከ Wireshark ጋር ይነጻጸራል, ነገር ግን ለትብብር, ለመግለፅ እና ለመሰየም እሽጎች, ወደ ውጪ መላክ እና ሌሎች ስራዎች ተጨማሪ አማራጮች አሉት.

የተሰበሰበውን መረጃ በማር ማሽኖቹ ላይ ማካሄድ ስላልፈለግን ፣የፒሲኤፒ ጥራጊዎች በየቀኑ ወደ AWS ማከማቻ ይላኩ ነበር ፣ከዚያም ወደ ሞሎክ ማሽን እናስመጣቸዋለን።

የማያ ገጽ ቀረጻ

በእኛ ሃውፖት ውስጥ የሰርጎ ገቦችን ድርጊት ለመመዝገብ፣ በተወሰነ ጊዜ ውስጥ የቨርቹዋል ማሽኑን ቅጽበታዊ ገጽ እይታዎች ያነሳ ስክሪፕት ጻፍን እና ካለፈው ስክሪፕት ጋር በማነፃፀር አንድ ነገር እዚያ እየተከሰተ እንደሆነ ወይም እንዳልሆነ ወስነናል። እንቅስቃሴ ሲገኝ፣ ስክሪፕቱ የስክሪኑን ቅጂ አብርቷል። ይህ ዘዴ በጣም ውጤታማ ሆኖ ተገኝቷል. በሲስተሙ ውስጥ ምን አይነት ለውጦች እንደተከሰቱ ለመረዳት የቪኤንሲ ትራፊክን ከ PCAP መጣያ ለመተንተንም ሞክረን ነበር ነገርግን በመጨረሻ የተተገበርነው የስክሪን ቅጂ ቀላል እና ምስላዊ ሆኖ ተገኝቷል።

የቪኤንሲ ክፍለ ጊዜዎችን መከታተል


ለዚህም Chaosreader እና VNCLogger ተጠቀምን። ሁለቱም መገልገያዎች የቁልፍ ጭነቶችን ከ PCAP መጣያ ያወጣሉ፣ ነገር ግን VNCLogger እንደ Backspace፣ Enter፣ Ctrl ያሉ ቁልፎችን በበለጠ በትክክል ይቆጣጠራል።

VNCLogger ሁለት ጉዳቶች አሉት። በመጀመሪያ፣ ቁልፎችን ሰርስሮ ማውጣት የሚችለው በበይነገጹ ላይ ያለውን ትራፊክ “በማዳመጥ” ብቻ ነው፣ ስለዚህ tcpreplayን በመጠቀም ለእሱ የVNC ክፍለ ጊዜ ማስመሰል ነበረብን። ሁለተኛው የVNCLogger ችግር በ Chaosreader የተለመደ ነው፡ ሁለቱም የቅንጥብ ሰሌዳውን ይዘት አያሳዩም። ለዚህም Wireshark መጠቀም ነበረብኝ.

ሰርጎ ገቦችን እናስባለን።


ለመጠቃት የማር ማሰሮ ፈጠርን። ይህንንም ለማሳካት የመረጃ ጠላፊዎችን ትኩረት ለመሳብ የተነደፈ የመረጃ ፍሰት አዘጋጅተናል። የሚከተሉት ወደቦች በ honeypot ላይ ተከፍተዋል:

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።

የ RDP ወደብ ሥራ ከጀመረ ብዙም ሳይቆይ መዘጋት ነበረበት, ምክንያቱም በእኛ አውታረ መረብ ላይ ባለው ከፍተኛ መጠን ያለው የፍተሻ ትራፊክ ምክንያት, የአፈጻጸም ችግሮች ነበሩ.
የቪኤንሲ ተርሚናሎች መጀመሪያ ያለይለፍ ቃል በ"እይታ-ብቻ" ሁነታ ሰርተዋል፣ እና "በስህተት" ወደ ሙሉ መዳረሻ ሁነታ ቀይረናቸዋል።

አጥቂዎቹን ለመሳብ በፓስቴቢን ላይ ስላለው የኢንዱስትሪ ስርዓት "የተለቀቁ" መረጃዎችን የያዙ ሁለት ልጥፎችን ለጥፈናል።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
ጥቃቶችን ለመሳብ PasteBin ላይ ከተለጠፉት ልጥፎች አንዱ። ምንጭ፡ Trend Micro

ጥቃቶች


Honeypot በመስመር ላይ ለሰባት ወራት ያህል ኖሯል። የመጀመርያው ጥቃት የ honeypot መስመር ላይ ከገባ ከአንድ ወር በኋላ ነው።

መመርመሪያዎች

ከታዋቂ ኩባንያዎች ስካነሮች ብዙ ትራፊክ ነበር - ip-ip ፣ Rapid ፣ Shadow Server ፣ Shodan ፣ ZoomEye እና ሌሎችም። በጣም ብዙ ስለነበሩ የአይ ፒ አድራሻቸውን ከመተንተን ማስቀረት ነበረብን፡ 610 ከ9452 ወይም 6,45% ከሁሉም ልዩ የአይፒ አድራሻዎች ሙሉ በሙሉ ህጋዊ የሆኑ ስካነሮች ናቸው።

አጭበርባሪዎች

ከተጋፈጡብን አደጋዎች መካከል አንዱ ስርዓታችንን ለወንጀል አላማ ማዋል ነው፡ ስማርት ስልኮችን በተመዝጋቢ አካውንት ለመግዛት፣ የስጦታ ካርዶችን እና ሌሎች የማጭበርበር አይነቶችን በመጠቀም አየር መንገድን ማይል መክፈል ነው።

ማዕድን አውጪዎች

ወደ ስርዓታችን ከመጡ የመጀመሪያዎቹ ጎብኝዎች አንዱ ማዕድን አውጪ ሆኖ ተገኘ። በ Monero ማዕድን ሶፍትዌር ጫነው። በዝቅተኛ አፈፃፀም ምክንያት በልዩ ስርዓታችን ላይ ብዙ ገቢ ማግኘት ባልቻለ ነበር። ይሁን እንጂ የበርካታ አስር ወይም እንዲያውም በመቶዎች የሚቆጠሩ እንደዚህ ያሉ ስርዓቶችን ጥረቶች ካዋሃድን በጣም ጥሩ ሊሆን ይችላል.

ራኖሶም

የማር ማሰሮው በሚሰራበት ጊዜ፣ ሁለት ጊዜ እውነተኛ ራንሰምዌር ቫይረሶች አጋጥመውናል። በመጀመሪያው ሁኔታ ክሪሲስ ነበር. የእሱ ኦፕሬተሮች በቪኤንሲ በኩል ወደ ስርዓቱ ገብተዋል, ነገር ግን TeamViewer ን ጭነው ተጨማሪ እርምጃዎችን ለማከናወን ተጠቅመውበታል. በቢቲሲ 10 ዶላር ቤዛ የሚጠይቅ የተጭበረበረ መልእክት ከጠበቅን በኋላ ከወንጀለኞቹ ጋር ደብዳቤ ጻፍን እና አንዱን ፋይል እንዲፈቱልን ጠየቅን። ጥያቄውን አክብረው የቤዛ ጥያቄውን ደገሙ። ሁሉንም አስፈላጊ መረጃዎች ስለደረሰን እስከ 6 ሺህ ዶላር ለመደራደር ችለናል ፣ ከዚያ በኋላ ስርዓቱን በቀላሉ ወደ ቨርቹዋል ማሽን ሰቅለናል።

ሁለተኛው ቤዛው ፎቦስ ነበር። የጫነው ጠላፊ በ honeypot ፋይል ሲስተም ውስጥ ሄዶ ኔትወርኩን ለአንድ ሰዓት ያህል ስካን አደረገ እና ከዚያም ራንሰምዌርን ጫነ።
ሦስተኛው የቤዛ ዌር ጥቃት የውሸት ሆነ። ያልታወቀ "ሀከር" የ haha.bat ፋይልን ወደ ስርዓታችን አውርዶታል፣ከዚያ በኋላ እንዲሰራ ለማድረግ ሲሞክር ለተወሰነ ጊዜ ተመልክተናል። አንዱ ሙከራ haha.bat የሚለውን ስም ወደ haha.rnsmwr ለመቀየር ነበር።

የማይነገር ማራኪ፡ መጋለጥ የማይችለውን የማር ማሰሮ እንዴት እንደፈጠርን።
"ሀከር" ቅጥያውን ወደ .rnsmwr በመቀየር የbat-ፋይሉን ተንኮል አዘልነት ይጨምራል። ምንጭ፡ Trend Micro

የባች ፋይሉ በመጨረሻ መሮጥ ሲጀምር "ሰርጎ ገብሩ" አስተካክሎታል፣ ቤዛውን ከ200 ዶላር ወደ 750 ዶላር አሳደገ። ከዚያ በኋላ ሁሉንም ፋይሎች "ኢንክሪፕት አደረገ" ፣ የተጭበረበረ መልእክት በዴስክቶፕ ላይ ትቶ ጠፋ ፣ በእኛ ቪኤንሲ ላይ የይለፍ ቃሎችን ለውጦ ጠፋ ።

ከጥቂት ቀናት በኋላ ጠላፊው ተመልሶ እራሱን ለማስታወስ ብዙ መስኮቶችን በወሲብ ጣቢያ የከፈተ ባች ፋይል ጀመረ። በግልጽ ለማየት እንደሚቻለው, በዚህ መንገድ ወደ ፍላጎቱ ትኩረት ለመሳብ ሞክሯል.

ውጤቶች


በጥናቱ ወቅት የተጋላጭነት መረጃው እንደተለቀቀ የማር ማሰሮው ትኩረትን የሳበ እና እንቅስቃሴው ከቀን ወደ ቀን እየጨመረ መምጣቱ ተረጋግጧል። ወጥመዱ ትኩረትን ለመሳብ፣ ምናባዊ ኩባንያችን ብዙ የደህንነት ጥሰቶች መደረግ ነበረባቸው። እንደ አለመታደል ሆኖ, ይህ ሁኔታ የሙሉ ጊዜ IT እና የመረጃ ደህንነት ሰራተኞች ከሌላቸው ብዙ እውነተኛ ኩባንያዎች መካከል በጣም ያልተለመደ ነው.

በአጠቃላይ ድርጅቶች አጥቂዎችን ለመሳብ ፍጹም ተቃራኒውን ተግባራዊ ስናደርግ አነስተኛ መብት የሚለውን መርህ መጠቀም አለባቸው። እና ጥቃቶቹን ረዘም ላለ ጊዜ በተመለከትን ቁጥር፣ ከመደበኛ የመግቢያ መፈተሻ ዘዴዎች ጋር ሲወዳደሩ ይበልጥ የተራቀቁ እየሆኑ መጥተዋል።

እና ከሁሉም በላይ፣ በአውታረ መረቡ ዝግጅት ወቅት በቂ የደህንነት እርምጃዎች ቢተገበሩ እነዚህ ሁሉ ጥቃቶች አይሳኩም ነበር። ድርጅቶች በወጥመዳችን ውስጥ እንዳደረግነው መሳሪያዎቻቸው እና የኢንደስትሪ መሠረተ ልማት ክፍሎቻቸው ከኢንተርኔት ተደራሽ አለመሆናቸውን ማረጋገጥ አለባቸው።

ምንም እንኳን በኢንጅነር ስመኘው መሥሪያ ቦታ ላይ አንድም ጥቃት ባንመዘግብም በሁሉም ኮምፒውተሮች ላይ ተመሳሳይ የአካባቢ አስተዳዳሪ የይለፍ ቃል ብንጠቀምም የመጥለፍ እድልን ለመቀነስ ይህ አሰራር መወገድ አለበት። ከሁሉም በላይ ደካማ ደህንነት ለሳይበር ወንጀለኞች ለረጅም ጊዜ ፍላጎት ያላቸውን የኢንዱስትሪ ስርዓቶችን ለማጥቃት እንደ ተጨማሪ ግብዣ ሆኖ ያገለግላል.

ምንጭ: hab.com

አስተያየት ያክሉ