تقوم شركات مكافحة الفيروسات وخبراء أمن المعلومات والمتحمسون فقط بكشف أنظمة مصائد الجذب على الإنترنت من أجل "القبض على الطعم الحي" لمجموعة متنوعة جديدة من الفيروسات أو الكشف عن تكتيكات القرصنة غير العادية. تعتبر مصائد الجذب شائعة جدًا لدرجة أن مجرمي الإنترنت طوروا نوعًا من الحصانة: فهم يتعرفون بسرعة على وجود فخ أمامهم ويتجاهلونه ببساطة. لاستكشاف تكتيكات المتسللين المعاصرين، قمنا بإنشاء مصيدة واقعية تعيش على الإنترنت لمدة سبعة أشهر، وتجذب مجموعة متنوعة من الهجمات. كيف كان الأمر، قلنا في دراستنا "". بعض الحقائق من الدراسة موجودة في هذا المنشور.
تطوير مصيدة الجذب: قائمة المراجعة
كانت المهمة الرئيسية في إنشاء فخنا الفائق هو عدم السماح لنا بالكشف عن أنفسنا من قبل المتسللين الذين أبدوا اهتمامًا به. لقد استغرق الأمر الكثير من العمل للقيام بذلك:
- إنشاء أسطورة واقعية عن الشركة، بما في ذلك الاسم الكامل وصورة الموظفين وأرقام الهواتف وعناوين البريد الإلكتروني.
- ابتكار وتنفيذ نموذج للبنية التحتية الصناعية يتوافق مع أسطورة أنشطة شركتنا.
- حدد خدمات الشبكة التي ستكون متاحة من الخارج، ولكن لا تبالغ في فتح المنافذ المعرضة للخطر حتى لا يبدو الأمر وكأنه فخ للبسطاء.
- تنظيم ظهور تسرب المعلومات حول نظام ضعيف ونشر هذه المعلومات بين المهاجمين المحتملين.
- تنفيذ مراقبة سرية لتصرفات المتسللين في البنية التحتية للمصيدة.
والآن عن كل شيء بالترتيب.
إنشاء أسطورة
لقد اعتاد مجرمو الإنترنت بالفعل على رؤية الكثير من مصائد مخترقي الشبكات، لذا يقوم الجزء الأكثر تقدمًا منهم بإجراء دراسة متعمقة لكل نظام ضعيف للتأكد من أن هذا ليس فخًا. وللسبب نفسه، أردنا أن نجعل المصيدة واقعية ليس فقط من حيث التصميم والجوانب التقنية، ولكن أيضًا لخلق مظهر شركة حقيقية.
ومن خلال وضع أنفسنا في مكان الهاكر الافتراضي، قمنا بتطوير خوارزمية تحقق من شأنها أن تسمح لنا بالتمييز بين النظام الحقيقي والفخ. وتضمن البحث عن عناوين IP الخاصة بالشركة في أنظمة السمعة، والبحث العكسي في تاريخ عناوين IP، والبحث عن الأسماء والكلمات الرئيسية المتعلقة بالشركة، بالإضافة إلى نظرائها، وأشياء أخرى كثيرة. ونتيجة لذلك، تبين أن الأسطورة مقنعة وجذابة للغاية.
قررنا أن نجعل مصنع المصائد بمثابة متجر صغير للنماذج الأولية الصناعية، يعمل لصالح عملاء كبار مجهولين من القطاع العسكري والطيران. لقد أنقذنا هذا من التعقيدات القانونية المرتبطة باستخدام علامة تجارية موجودة.
بعد ذلك، كان علينا أن نتوصل إلى رؤية ورسالة واسم للمنظمة. قررنا أن تكون شركتنا شركة ناشئة بعدد قليل من الموظفين، كل منهم مؤسس. وقد أضاف هذا المصداقية إلى أسطورة التخصص في أعمالنا، مما يسمح لها بالعمل في مشاريع دقيقة للعملاء الكبار والمهمين. أردنا أن نجعل شركتنا تبدو ضعيفة من حيث الأمن السيبراني، ولكن في الوقت نفسه كان من الواضح أننا كنا نعمل مع أصول مهمة في الأنظمة المستهدفة.
لقطة شاشة لموقع ويب MeTech honeypot. المصدر: تريند مايكرو
لقد اخترنا كلمة MeTech كاسم للشركة. تم إنشاء الموقع على أساس قالب مجاني. تم التقاط الصور من بنوك الصور، باستخدام الصور التي لا تحظى بشعبية كبيرة وتعديلها لجعلها أقل وضوحًا.
أردنا أن تبدو الشركة حقيقية، لذلك احتجنا إلى إضافة موظفين يتمتعون بمهارات مهنية تتوافق مع ملف تعريف النشاط. لقد توصلنا إلى أسماء وهويات لهم، ثم حاولنا اختيار الصور من بنوك الصور وفقًا للعرق.
لقطة شاشة لموقع ويب MeTech honeypot. المصدر: تريند مايكرو
ولكي لا يتم اكتشافنا، بحثنا عن صور جماعية ذات نوعية جيدة يمكننا من خلالها اختيار الوجوه التي نحتاجها. ومع ذلك، فقد تخلينا لاحقًا عن هذا الخيار، حيث يمكن للمتسلل المحتمل استخدام البحث العكسي عن الصور والعثور على أن "موظفينا" يعيشون فقط في بنوك الصور. في النهاية، استخدمنا صورًا لأشخاص غير موجودين تم إنشاؤها باستخدام الشبكات العصبية.
تحتوي الملفات التعريفية للموظفين المنشورة على الموقع على معلومات مهمة حول مهاراتهم الفنية، لكننا تجنبنا تحديد مؤسسات ومدن تعليمية محددة.
لإنشاء صناديق بريد، استخدمنا خادم موفر الاستضافة، ثم استأجرنا عدة أرقام هواتف في الولايات المتحدة وقمنا بدمجها في نظام PBX افتراضي مع قائمة صوتية وجهاز الرد الآلي.
البنية التحتية لمصيدة العسل
لتجنب التعرض للخطر، قررنا استخدام مجموعة من الأجهزة الصناعية الحقيقية، وأجهزة الكمبيوتر المادية، والأجهزة الافتراضية الآمنة. وبالنظر إلى المستقبل، قمنا بفحص نتيجة جهودنا باستخدام محرك البحث Shodan، وأظهرت أن مصيدة الجذب تبدو وكأنها نظام صناعي حقيقي.
نتيجة مسح مصيدة الجذب باستخدام Shodan. المصدر: تريند مايكرو
لقد استخدمنا أربعة أجهزة PLC كجهاز لمصيدتنا:
- سيمنز S7-1200،
- اثنان من أجهزة Allen-Bradley MicroLogix 1100s،
- اومرون CP1L.
تم اختيار هذه الشركات PLC لشعبيتها في سوق أنظمة التحكم العالمية. وتستخدم كل وحدة من وحدات التحكم هذه البروتوكول الخاص بها، مما يسمح لنا بالتحقق من أي من وحدات التحكم PLC التي ستتعرض للهجوم في كثير من الأحيان وما إذا كانت ستكون ذات أهمية لأي شخص من حيث المبدأ.
معدات "مصنعنا" هي فخ. المصدر: تريند مايكرو
لم نقم فقط بتركيب قطع من الحديد وربطها بالإنترنت. قمنا ببرمجة كل وحدة تحكم لأداء المهام، من بينها
- خلط،
- التحكم في الموقد والحزام الناقل،
- منصات نقالة باستخدام ذراع آلية.
ولجعل عملية الإنتاج واقعية، قمنا ببرمجة المنطق لتغيير معلمات التغذية الراجعة بشكل عشوائي، ومحاكاة تشغيل وإيقاف المحركات، وتشغيل الموقد وإيقافه.
كان لدى مصنعنا ثلاثة أجهزة كمبيوتر افتراضية وواحد فعلي. تم استخدام الأجهزة الافتراضية للتحكم في المصنع ومنصة التحميل الآلية وكمحطة عمل لمهندس برمجيات PLC. يعمل الكمبيوتر الفعلي كخادم ملفات.
بالإضافة إلى مراقبة الهجمات على أجهزة PLC، أردنا مراقبة حالة البرامج التي تم تنزيلها على أجهزتنا. وللقيام بذلك، أنشأنا واجهة أتاحت لنا أن نحدد بسرعة كيفية تعديل حالات مشغلاتنا وتركيباتنا الافتراضية. بالفعل في مرحلة التخطيط، وجدنا أنه من الأسهل بكثير تنفيذ ذلك باستخدام برنامج تحكم مقارنة بالبرمجة المباشرة لمنطق وحدة التحكم. لقد فتحنا الوصول إلى واجهة إدارة الجهاز الخاصة بمصيدة الجذب الخاصة بنا عبر VNC بدون كلمة مرور.
تعد الروبوتات الصناعية عنصرًا أساسيًا في التصنيع الذكي الحديث. وفي هذا الصدد، قررنا إضافة روبوت ومحطة عمل للتحكم فيه إلى معدات مصنع المصائد الخاص بنا. ولجعل "المصنع" أكثر واقعية، قمنا بتثبيت برنامج حقيقي على محطة عمل التحكم، والذي يستخدمه المهندسون للبرمجة الرسومية لمنطق الروبوت. حسنًا، نظرًا لأن الروبوتات الصناعية توجد عادةً في شبكة داخلية معزولة، فقد قررنا ترك الوصول غير الآمن عبر VNC فقط إلى محطة عمل التحكم.
بيئة RobotStudio مع نموذج ثلاثي الأبعاد للروبوت الخاص بنا. المصدر: تريند مايكرو
على جهاز افتراضي مزود بمحطة عمل للتحكم في الروبوت، قمنا بتثبيت بيئة البرمجة RobotStudio من ABB Robotics. بعد إعداد RobotStudio، فتحنا ملف المحاكاة الذي يحتوي على الروبوت الخاص بنا بحيث يمكن رؤية صورته ثلاثية الأبعاد على الشاشة. ونتيجة لذلك، فإن Shodan ومحركات البحث الأخرى، عندما تجد خادم VNC غير آمن، ستحصل على صورة الشاشة هذه وتعرضها لأولئك الذين يبحثون عن الروبوتات الصناعية ذات الوصول المفتوح للتحكم.
كان الهدف من هذا الاهتمام بالتفاصيل هو إنشاء هدف جذاب وواقعي قدر الإمكان للمهاجمين الذين، بعد العثور عليه، سيعودون إليه مرارًا وتكرارًا.
محطة عمل المهندس
ولبرمجة منطق PLC، أضفنا حاسوبًا هندسيًا إلى البنية التحتية. تم تركيب البرنامج الصناعي لبرمجة PLC عليه:
- بوابة TIA لشركة سيمنز،
- MicroLogix لوحدة تحكم Allen-Bradley،
- CX-One لأومرون.
لقد قررنا أن مكان العمل الهندسي لن يكون متاحًا خارج الشبكة. وبدلاً من ذلك، قمنا بتعيين نفس كلمة المرور لحساب المسؤول عليه كما هو الحال في محطة عمل التحكم في الروبوت التي يمكن الوصول إليها عبر الإنترنت ومحطة عمل التحكم في المصنع. هذا التكوين شائع جدًا في العديد من الشركات.
لسوء الحظ، على الرغم من كل جهودنا، لم يصل أي مهاجم إلى محطة عمل المهندس.
خادم الملفات
لقد كنا في حاجة إليها كطعم للمتسللين وكوسيلة لدعم "أعمالنا" في مصنع الأفخاخ. سمح لنا هذا بمشاركة الملفات مع مصيدة الجذب الخاصة بنا باستخدام أجهزة USB دون ترك أي أثر على شبكة المصيدة. كنظام تشغيل لخادم الملفات، قمنا بتثبيت Windows 7 Pro، حيث جعلنا مجلدًا مشتركًا متاحًا للقراءة والكتابة لأي شخص.
في البداية، لم نقم بإنشاء أي تسلسل هرمي للمجلدات والمستندات على خادم الملفات. ومع ذلك، اتضح لاحقًا أن المهاجمين كانوا يدرسون هذا المجلد بنشاط، لذلك قررنا ملؤه بملفات مختلفة. للقيام بذلك، كتبنا نصًا برمجيًا بلغة بايثون أنشأ ملفًا بحجم عشوائي بأحد الامتدادات المحددة، مكونًا اسمًا يعتمد على القاموس.
برنامج نصي لإنشاء أسماء ملفات جذابة. المصدر: تريند مايكرو
بعد تشغيل البرنامج النصي، حصلنا على النتيجة المرجوة في شكل مجلد مليء بالملفات بأسماء مثيرة للاهتمام للغاية.
نتيجة البرنامج النصي. المصدر: تريند مايكرو
بيئة المراقبة
بعد أن بذلنا الكثير من الجهد لإنشاء شركة واقعية، فإننا ببساطة لا نستطيع تحمل الفشل في بيئة مراقبة "زوارنا". كنا بحاجة إلى الحصول على جميع البيانات في الوقت الفعلي بحيث لا يلاحظ المهاجمون أنهم يخضعون للمراقبة.
لقد فعلنا ذلك باستخدام أربعة محولات USB إلى Ethernet، وأربعة نقرات SharkTap Ethernet، وRaspberry Pi 3، ومحرك أقراص خارجي كبير. يبدو مخطط شبكتنا كما يلي:
مخطط شبكة Honeypot مع معدات المراقبة. المصدر: تريند مايكرو
لقد قمنا بوضع صمامات SharkTap الثلاثة بطريقة تسمح بمراقبة كل حركة المرور الخارجية إلى PLC، والتي يمكن الوصول إليها فقط من الشبكة الداخلية. قام SharkTap الرابع بتتبع حركة مرور ضيوف الجهاز الظاهري الضعيف.
صنبور SharkTap Ethernet وجهاز التوجيه Sierra Wireless AirLink RV50. المصدر: تريند مايكرو
قام Raspberry Pi بالتقاط حركة المرور اليومية. لقد اتصلنا بالإنترنت باستخدام جهاز التوجيه الخلوي Sierra Wireless AirLink RV50، والذي يستخدم غالبًا في المؤسسات الصناعية.
لسوء الحظ، لم يسمح لنا جهاز التوجيه هذا بحظر الهجمات التي لا تتطابق مع خططنا بشكل انتقائي، لذلك أضفنا جدار حماية Cisco ASA 5505 إلى الشبكة في الوضع الشفاف من أجل الحظر بأقل تأثير على الشبكة.
تحليل حركة المرور
يعد Tshark و tcpdump مناسبين لحل المشكلات الحالية بسرعة، ولكن في حالتنا لم تكن قدراتهما كافية، حيث كان لدينا الكثير من الجيجابايت من حركة المرور، والتي تم تحليلها من قبل العديد من الأشخاص. استخدمنا محلل Moloch مفتوح المصدر الذي طورته AOL. من حيث الوظائف، فهو مشابه لـ Wireshark، ولكنه يحتوي على المزيد من الخيارات للتعاون ووصف الحزم ووضع علامات عليها والتصدير ومهام أخرى.
نظرًا لأننا لم نرغب في معالجة البيانات المجمعة على أجهزة مصائد الجذب، فقد تم تصدير تفريغات PCAP يوميًا إلى مخزن AWS، حيث قمنا باستيرادها منها بالفعل إلى جهاز Moloch.
تسجيل الشاشة
لتوثيق تصرفات المتسللين في مصيدة الجذب لدينا، كتبنا نصًا يلتقط لقطات شاشة للجهاز الظاهري في فترة زمنية معينة، وبالمقارنة مع لقطة الشاشة السابقة، حددنا ما إذا كان هناك شيء ما يحدث هناك أم لا. عندما تم اكتشاف النشاط، قام البرنامج النصي بتشغيل تسجيل الشاشة. وقد أثبت هذا النهج أنه الأكثر فعالية. لقد حاولنا أيضًا تحليل حركة مرور VNC من تفريغ PCAP لفهم التغييرات التي حدثت في النظام، ولكن في النهاية، تبين أن تسجيل الشاشة الذي قمنا بتنفيذه كان أبسط وأكثر وضوحًا.
مراقبة جلسات VNC
لهذا استخدمنا Chaosreader وVNClogger. تقوم كلتا الأداتين المساعدتين باستخراج ضغطات المفاتيح من تفريغ PCAP، لكن VNClogger يتعامل مع المفاتيح مثل Backspace وEnter وCtrl بشكل أكثر دقة.
لدى VNClogger عيبان. أولاً، يمكنه استرداد المفاتيح فقط من خلال "الاستماع" إلى حركة المرور على الواجهة، لذلك كان علينا محاكاة جلسة VNC لها باستخدام tcpreplay. العيب الثاني لـ VNClogger شائع في Chaosreader: كلاهما لا يعرضان محتويات الحافظة. لهذا اضطررت إلى استخدام Wireshark.
نحن نجذب المتسللين
لقد أنشأنا مصيدة للهجوم. ولتحقيق ذلك، قمنا بتسريب معلومات مصممة لجذب انتباه المتسللين المحتملين. تم فتح المنافذ التالية في مصيدة الجذب:
كان لا بد من إغلاق منفذ RDP بعد وقت قصير من بدء العمل، لأنه بسبب الكم الهائل من حركة مرور المسح على شبكتنا، كانت هناك مشاكل في الأداء.
عملت محطات VNC أولاً في وضع "العرض فقط" بدون كلمة مرور، ثم قمنا "عن طريق الخطأ" بتحويلها إلى وضع الوصول الكامل.
ومن أجل جذب المهاجمين، قمنا بنشر منشورين يحتويان على معلومات "مسربة" حول النظام الصناعي المتوفر على PasteBin.
إحدى المشاركات المنشورة على PasteBin لجذب الهجمات. المصدر: تريند مايكرو
الهجمات
لقد عاش Honeypot على الإنترنت لمدة سبعة أشهر تقريبًا. وقع الهجوم الأول بعد شهر من دخول مصيدة الجذب إلى الإنترنت.
الماسحات الضوئية
كان هناك الكثير من حركة المرور من الماسحات الضوئية للشركات المعروفة - ip-ip، Rapid، Shadow Server، Shodan، ZoomEye وغيرها. كان هناك الكثير منهم لدرجة أننا اضطررنا إلى استبعاد عناوين IP الخاصة بهم من التحليل: 610 من أصل 9452 أو 6,45% من جميع عناوين IP الفريدة تنتمي إلى ماسحات ضوئية شرعية تمامًا.
المحتالين
أحد أكبر المخاطر التي واجهناها هو استخدام نظامنا لأغراض إجرامية: شراء الهواتف الذكية من خلال حساب المشترك، وصرف أميال الطيران باستخدام بطاقات الهدايا وأنواع أخرى من الاحتيال
عمال المناجم
تبين أن أحد أول زوار نظامنا كان عامل منجم. لقد قام بتحميله ببرنامج التعدين Monero. لم يكن ليتمكن من كسب الكثير على نظامنا الخاص بسبب الأداء المنخفض. ومع ذلك، إذا قمنا بتوحيد جهود عدة عشرات أو حتى مئات من هذه الأنظمة، فيمكن أن نحصل على نتيجة جيدة.
برامج الفدية
أثناء تشغيل مصيدة الجذب، واجهنا فيروسات فدية حقيقية مرتين. في الحالة الأولى كانت Crysis. قام مشغلوه بتسجيل الدخول إلى النظام عبر VNC، ولكن بعد ذلك قاموا بتثبيت برنامج TeamViewer واستخدموه لتنفيذ المزيد من الإجراءات. بعد انتظار رسالة ابتزازية تطالب بفدية قدرها 10 دولار بعملة BTC، دخلنا في مراسلات مع المجرمين، طالبين منهم فك تشفير أحد الملفات لنا. امتثلوا للطلب وكرروا طلب الفدية. تمكنا من المساومة بما يصل إلى 6 آلاف دولار، وبعد ذلك قمنا ببساطة بتحميل النظام على جهاز افتراضي، حيث تلقينا جميع المعلومات اللازمة.
أما برنامج الفدية الثاني فهو Phobos. لقد مر المتسلل الذي قام بتثبيته عبر نظام ملفات مصيدة الجذب وقام بفحص الشبكة لمدة ساعة، ثم قام بتثبيت برنامج الفدية.
تبين أن هجوم الفدية الثالث كان مزيفًا. قام "متسلل" غير معروف بتنزيل ملف haha.bat على نظامنا، وبعد ذلك شاهدنا لفترة من الوقت وهو يحاول تشغيله. وكانت إحدى المحاولات هي إعادة تسمية haha.bat إلى haha.rnsmwr.
يزيد "Hacker" من خطورة ملف الخفافيش عن طريق تغيير امتداده إلى .rnsmwr. المصدر: تريند مايكرو
عندما بدأ تشغيل الملف الدفعي أخيرًا، قام "المتسلل" بتحريره، مما أدى إلى زيادة الفدية من 200 دولار إلى 750 دولارًا. بعد ذلك، قام "بتشفير" جميع الملفات، وترك رسالة ابتزازية على سطح المكتب واختفى، وقام بتغيير كلمات المرور على VNC الخاص بنا.
وبعد بضعة أيام، عاد المتسلل، ولتذكير نفسه، أطلق ملفًا دفعيًا فتح العديد من النوافذ مع موقع إباحي. ويبدو أنه بهذه الطريقة حاول لفت الانتباه إلى مطلبه.
نتائج
وخلال الدراسة، تبين أنه بمجرد نشر المعلومات حول الثغرة الأمنية، جذبت مصيدة الجذب الانتباه، وتزايد النشاط يومًا بعد يوم. ولكي يجذب الفخ الانتباه، كان لا بد من حدوث العديد من الخروقات الأمنية لشركتنا الوهمية. لسوء الحظ، هذا الوضع ليس شائعًا بين العديد من الشركات الحقيقية التي ليس لديها موظفين بدوام كامل في مجال تكنولوجيا المعلومات وأمن المعلومات.
بشكل عام، يجب على المؤسسات استخدام مبدأ الامتياز الأقل، بينما قمنا بتطبيق العكس تمامًا لجذب المهاجمين. وكلما راقبنا الهجمات لفترة أطول، أصبحت أكثر تعقيدًا مقارنة بطرق اختبار الاختراق القياسية.
والأهم من ذلك، أن كل هذه الهجمات كانت ستفشل لو تم تنفيذ الإجراءات الأمنية الكافية أثناء إعداد الشبكة. يجب على المؤسسات التأكد من عدم إمكانية الوصول إلى معداتها ومكونات البنية التحتية الصناعية الخاصة بها من خلال الإنترنت، كما فعلنا على وجه التحديد في فخنا.
على الرغم من أننا لم نسجل أي هجوم على محطة عمل المهندس، على الرغم من استخدام نفس كلمة مرور المسؤول المحلي على جميع أجهزة الكمبيوتر، إلا أنه يجب تجنب هذه الممارسة لتقليل احتمالية التطفل. ففي نهاية المطاف، يشكل ضعف الأمن بمثابة دعوة إضافية لمهاجمة الأنظمة الصناعية التي طالما كانت محل اهتمام مجرمي الإنترنت.
المصدر: www.habr.com