Antivirus şirkətləri, informasiya təhlükəsizliyi mütəxəssisləri və sadəcə həvəskarlar yeni növ virusların “canlı yemini tutmaq” və ya qeyri-adi haker taktikalarını aşkar etmək üçün İnternetdə bal qabı sistemlərini ifşa edirlər. Bal küpləri o qədər geniş yayılıb ki, kibercinayətkarlar bir növ toxunulmazlıq formalaşdırıblar: onlar tez bir zamanda onların qarşısında tələnin olduğunu müəyyən edir və sadəcə olaraq buna məhəl qoymurlar. Müasir hakerlərin taktikasını araşdırmaq üçün biz yeddi ay ərzində İnternetdə yaşayan, müxtəlif hücumları cəlb edən real bal qabı yaratdıq. Necə oldu, araşdırmamızda dedik "". Araşdırmadan bəzi faktlar bu yazıdadır.
Honeypot inkişafı: Yoxlama siyahısı
Bizim super tələmizi yaratmaqda əsas vəzifə ona maraq göstərən hakerlər tərəfindən ifşa olunmasına imkan verməmək idi. Bunu etmək üçün çox iş lazım idi:
- İşçilərin tam adı və fotoşəkili, telefon nömrələri və e-poçtlar daxil olmaqla şirkət haqqında real əfsanə yaradın.
- Şirkətimizin fəaliyyətinin əfsanəsinə uyğun gələn sənaye infrastrukturu modelini icad edin və həyata keçirin.
- Hansı şəbəkə xidmətlərinin kənardan mövcud olacağına qərar verin, lakin sadəlik üçün tələ kimi görünməmək üçün həssas portları açmaqla məşğul olmayın.
- Həssas sistem haqqında məlumat sızmasının görünüşünü təşkil edin və bu məlumatı potensial təcavüzkarlar arasında yaymaq.
- Tələnin infrastrukturunda hakerlərin hərəkətlərinin təmkinli monitorinqini həyata keçirin.
İndi də hər şey qaydasındadır.
Əfsanə yaradın
Kibercinayətkarlar artıq çoxlu bal küpləri görməyə öyrəşiblər, ona görə də onların ən qabaqcıl hissəsi bunun tələ olmadığına əmin olmaq üçün hər bir həssas sistemi dərindən araşdırır. Eyni səbəbdən, biz bal küpünü təkcə dizayn və texniki aspektləri baxımından real deyil, həm də əsl şirkət görkəmini yaratmaq istəyirdik.
Özümüzü hipotetik sərin hakerin yerinə qoyaraq, real sistemi tələdən ayırmağa imkan verən yoxlama alqoritmi hazırladıq. Buraya reputasiya sistemlərində şirkətin İP ünvanlarının axtarışı, İP ünvanlarının tarixinin tərs tədqiqi, şirkət, eləcə də onun tərəf müqabilləri ilə bağlı adların və açar sözlərin axtarışı və bir çox başqa şeylər daxildir. Nəticədə əfsanə kifayət qədər inandırıcı və cəlbedici oldu.
Biz trap fabrikini çox böyük anonim hərbi və aviasiya müştəriləri üçün kiçik sənaye prototipləri butiki kimi yerləşdirməyə qərar verdik. Bu, bizi mövcud brenddən istifadə ilə bağlı hüquqi çətinliklərdən xilas etdi.
Sonra təşkilat üçün bir vizyon, missiya və ad tapmalı olduq. Qərara gəldik ki, şirkətimiz hər biri təsisçi olan az sayda işçisi olan bir startap olsun. Bu, böyük və vacib müştərilər üçün incə layihələrlə işləməyə imkan verən biznesimizin ixtisaslaşması əfsanəsinə etibarlılıq əlavə etdi. Biz şirkətimizin kibertəhlükəsizlik baxımından zəif görünməsini istəyirdik, lakin eyni zamanda hədəf sistemlərdə mühüm aktivlərlə işlədiyimiz aydın idi.
MeTech honeypot veb saytının ekran görüntüsü. Mənbə: Trend Micro
Biz şirkətin adı olaraq MeTech sözünü seçmişik. Sayt pulsuz şablon əsasında hazırlanıb. Şəkillər ən populyar olmayanlardan istifadə edilərək və onları daha az tanınması üçün dəyişdirərək fotobanklardan götürülüb.
Biz şirkətin real görünməsini istədik, ona görə də fəaliyyət profilinə uyğun gələn peşəkar bacarıqlara malik işçiləri əlavə etməli olduq. Biz onlar üçün adlar və şəxsiyyətlər tapdıq, sonra fotobanklardan etnik mənsubiyyətə görə şəkillər seçməyə çalışdıq.
MeTech honeypot veb saytının ekran görüntüsü. Mənbə: Trend Micro
Kəşf edilməmək üçün lazım olan üzləri seçə biləcəyimiz keyfiyyətli qrup fotoşəkilləri axtardıq. Bununla belə, biz sonradan bu seçimdən imtina etdik, çünki potensial haker əks görüntü axtarışından istifadə edərək “işçilərimizin” yalnız foto banklarda yaşadığını görə bilər. Sonda neyron şəbəkələrdən istifadə etməklə yaradılan mövcud olmayan insanların fotolarından istifadə etdik.
Saytda dərc olunan işçilərin profillərində onların texniki bacarıqları ilə bağlı mühüm məlumatlar var idi, lakin biz konkret təhsil müəssisələri və şəhərləri göstərməkdən yayındıq.
Poçt qutularını yaratmaq üçün biz hostinq provayderinin serverindən istifadə etdik, sonra ABŞ-da bir neçə telefon nömrəsini icarəyə götürdük və onları səs menyusu və cavab verən maşınla virtual PBX-də birləşdirdik.
Honeypot infrastrukturu
Təsirdən qaçmaq üçün biz real sənaye avadanlıqları, fiziki kompüterlər və təhlükəsiz virtual maşınların birləşməsindən istifadə etmək qərarına gəldik. İrəliyə baxaraq, Shodan axtarış sistemindən istifadə edərək səylərimizin nəticəsini yoxladıq və bu, bal qabının əsl sənaye sisteminə bənzədiyini göstərdi.
Şodanla bal küpünün skan edilməsinin nəticəsi. Mənbə: Trend Micro
Tələmiz üçün avadanlıq kimi dörd PLC istifadə etdik:
- Siemens S7-1200,
- iki Allen-Bradley MicroLogix 1100,
- Omron CP1L.
Bu PLC-lər qlobal idarəetmə sistemləri bazarında populyarlığına görə seçilmişdir. Və bu nəzarətçilərin hər biri öz protokolundan istifadə edir ki, bu da PLC-lərdən hansının daha tez-tez hücuma məruz qalacağını və onların prinsipcə hər kəs üçün maraqlı olub-olmadığını yoxlamağa imkan verdi.
Bizim “zavod”un avadanlıqları tələdir. Mənbə: Trend Micro
Biz sadəcə dəmir parçaları quraşdırıb onları internetə qoşmamışıq. Biz hər bir nəzarətçini tapşırıqları yerinə yetirmək üçün proqramlaşdırdıq, o cümlədən
- qarışdırmaq,
- burner və konveyer kəmərinə nəzarət,
- robot qolundan istifadə edərək paletləmə.
İstehsal prosesini reallaşdırmaq üçün biz geribildirim parametrlərini təsadüfi dəyişdirmək, mühərrikləri işə salmaq və dayandırmaq, brülörü yandırmaq və söndürmək üçün məntiqi proqramlaşdırdıq.
Fabrikimizdə üç virtual və bir fiziki kompüter var idi. Virtual maşınlar zavodu, robot palletizatoru idarə etmək üçün və PLC proqram mühəndisinin iş stansiyası kimi istifadə edilmişdir. Fiziki kompüter fayl serveri kimi çıxış edirdi.
PLC-lərə hücumların monitorinqi ilə yanaşı, biz cihazlarımıza yüklənmiş proqramların vəziyyətini izləmək istəyirdik. Bunun üçün biz virtual aktuatorlarımızın və qurğularımızın vəziyyətlərinin necə dəyişdirildiyini tez müəyyən etməyə imkan verən interfeys yaratdıq. Artıq planlaşdırma mərhələsində biz bunu nəzarət proqramı ilə həyata keçirməyin nəzarətçi məntiqinin birbaşa proqramlaşdırılmasından daha asan olduğunu gördük. Şifrəsiz VNC vasitəsilə bal qabımızın cihaz idarəetmə interfeysinə girişi açdıq.
Sənaye robotları müasir ağıllı istehsalın əsas komponentidir. Bununla əlaqədar olaraq, trap fabrikimizin avadanlıqlarına robot və onu idarə etmək üçün iş stansiyası əlavə etmək qərarına gəldik. “Zavod”u daha reallaşdırmaq üçün biz idarəetmə iş stansiyasında mühəndislərin robot məntiqinin qrafik proqramlaşdırılması üçün istifadə etdiyi real proqram təminatı quraşdırdıq. Yaxşı, sənaye robotları adətən təcrid olunmuş daxili şəbəkədə yerləşdiyi üçün biz VNC vasitəsilə təhlükəsiz olmayan girişi yalnız idarəetmə iş stansiyasına buraxmaq qərarına gəldik.
Robotumuzun 3D modeli ilə RobotStudio mühiti. Mənbə: Trend Micro
Robot idarəetmə iş stansiyası olan virtual maşında biz ABB Robotics-dən RobotStudio proqramlaşdırma mühitini quraşdırdıq. RobotStudio-nu quraşdırdıqdan sonra robotumuzun olduğu simulyasiya faylını açdıq ki, onun 3D görüntüsü ekranda görünsün. Nəticədə, Shodan və digər axtarış sistemləri etibarlı olmayan VNC serveri tapdıqda, bu ekran görüntüsünü alacaq və idarəetməyə açıq çıxışı olan sənaye robotları axtaranlara göstərəcək.
Təfərrüata diqqət yetirməyin məqsədi onu tapdıqdan sonra təkrar-təkrar ona qayıdan hücumçular üçün cəlbedici və mümkün qədər real hədəf yaratmaq idi.
Mühəndis iş yeri
PLC məntiqini proqramlaşdırmaq üçün biz infrastruktura mühəndislik kompüteri əlavə etdik. Onun üzərində PLC proqramlaşdırması üçün sənaye proqramı quraşdırılıb:
- Siemens üçün TIA Portalı,
- Allen-Bradley nəzarətçisi üçün MicroLogix,
- Omron üçün CX-One.
Mühəndislik iş yerinin şəbəkədən kənarda mövcud olmayacağına qərar verdik. Əvəzində, biz internetə çıxışı olan robot idarəetmə iş stansiyasında və zavod idarəetmə iş stansiyasında olduğu kimi, administrator hesabı üçün parol təyin etdik. Bu konfiqurasiya bir çox şirkətdə olduqca yaygındır.
Təəssüf ki, bütün səylərimizə baxmayaraq, bir nəfər də olsun hücumçu mühəndisin iş yerinə çatmadı.
Fayl serveri
Bu bizə müdaxilə edənlər üçün yem və tələ fabrikində öz "əsərlərimizi" dəstəkləmək vasitəsi kimi lazım idi. Bu, bizə trap şəbəkəsində iz qoymadan USB cihazlarından istifadə edərək bal küpümüzlə faylları paylaşmağa imkan verdi. Fayl serveri üçün əməliyyat sistemi olaraq, biz Windows 7 Pro quraşdırdıq, orada paylaşılan qovluğu hər kəsin oxuması və yazması üçün əlçatan etdik.
Əvvəlcə fayl serverində heç bir qovluq və sənədlər iyerarxiyası yaratmadıq. Lakin sonradan məlum oldu ki, təcavüzkarlar bu qovluğu aktiv şəkildə öyrənirlər, ona görə də onu müxtəlif fayllarla doldurmağa qərar verdik. Bunun üçün biz verilmiş genişlənmələrdən biri ilə təsadüfi ölçülü fayl yaradan, lüğət əsasında ad yaradan python skripti yazdıq.
Cəlbedici fayl adları yaratmaq üçün skript. Mənbə: Trend Micro
Skripti işə saldıqdan sonra çox maraqlı adları olan fayllarla dolu qovluq şəklində istədiyimiz nəticəni əldə etdik.
Skriptin nəticəsi. Mənbə: Trend Micro
Ətraf mühitin monitorinqi
Real şirkət yaratmaq üçün bu qədər səy göstərərək, sadəcə olaraq, "qonaqlarımızı" izləmək üçün ətraf mühitə zərər verə bilməzdik. Bütün məlumatları real vaxtda elə almalıyıq ki, təcavüzkarlar onların izləndiyini fərq etməsin.
Biz bunu dörd USB-dən Ethernet adapterindən, dörd SharkTap Ethernet kranından, bir Raspberry Pi 3-dən və böyük xarici diskdən istifadə edərək etdik. Şəbəkə diaqramımız belə görünürdü:
Monitorinq avadanlığı ilə Honeypot şəbəkə diaqramı. Mənbə: Trend Micro
Biz üç SharkTap kranını elə yerləşdirdik ki, PLC-yə yalnız daxili şəbəkədən daxil olan bütün xarici trafikə nəzarət edək. Dördüncü SharkTap həssas virtual maşının qonaqlarının trafikini izləyib.
SharkTap Ethernet kranı və Sierra Wireless AirLink RV50 marşrutlaşdırıcısı. Mənbə: Trend Micro
Raspberry Pi gündəlik trafik ələ keçirdi. Biz sənaye müəssisələrində tez-tez istifadə olunan Sierra Wireless AirLink RV50 mobil marşrutlaşdırıcısından istifadə edərək İnternetə qoşulduq.
Təəssüf ki, bu marşrutlaşdırıcı bizə planlarımıza uyğun gəlməyən hücumları seçmə şəkildə bloklamağa imkan vermədi, ona görə də şəbəkəyə minimal təsirlə bloklamaq üçün şəffaf rejimdə şəbəkəyə Cisco ASA 5505 firewall əlavə etdik.
Trafik təhlili
Tshark və tcpdump cari problemləri tez həll etmək üçün uyğundur, lakin bizim vəziyyətimizdə onların imkanları kifayət deyildi, çünki bir neçə nəfər tərəfindən təhlil edilən çoxlu gigabayt trafikimiz var idi. AOL tərəfindən hazırlanmış açıq mənbəli Moloch analizatorundan istifadə etdik. Funksionallıq baxımından onu Wireshark ilə müqayisə etmək olar, lakin əməkdaşlıq, paketləri təsvir etmək və etiketləmək, ixrac etmək və digər tapşırıqlar üçün daha çox seçim var.
Toplanmış məlumatları honeypot maşınlarında emal etmək istəmədiyimiz üçün, PCAP zibilləri hər gün AWS anbarına ixrac edilirdi, oradan da onları Moloch maşınına idxal edirdik.
Ekran qeyd
Hakerlərin honeypotumuzdakı hərəkətlərini sənədləşdirmək üçün müəyyən bir intervalda virtual maşının skrinşotlarını çəkən və əvvəlki skrinşotla müqayisə edərək orada nəyinsə baş verib-vermədiyini müəyyən edən skript yazdıq. Fəaliyyət aşkar edildikdə, skript ekran qeydini işə saldı. Bu yanaşma ən təsirli olduğunu sübut etdi. Sistemdə hansı dəyişikliklərin baş verdiyini anlamaq üçün PCAP zibilindən VNC trafikini də təhlil etməyə çalışdıq, lakin sonda həyata keçirdiyimiz ekran qeydinin daha sadə və vizual olduğu ortaya çıxdı.
VNC seanslarının monitorinqi
Bunun üçün Chaosreader və VNCLogger istifadə etdik. Hər iki yardım proqramı PCAP zibilindən düymə vuruşlarını çıxarır, lakin VNCLogger Backspace, Enter, Ctrl kimi düymələri daha düzgün idarə edir.
VNCLogger-in iki çatışmazlığı var. Birincisi, o, yalnız interfeysdə trafikə "dinləməklə" açarları əldə edə bilər, ona görə də biz tcpreplay istifadə edərək, onun üçün VNC seansını simulyasiya etməli olduq. VNCLogger-in ikinci çatışmazlığı Chaosreader ilə ümumidir: onların hər ikisi mübadilə buferinin məzmununu göstərmir. Bunun üçün Wireshark-dan istifadə etməli oldum.
Biz hakerləri cəlb edirik
Hücum etmək üçün bir bal qabı yaratdıq. Buna nail olmaq üçün potensial hakerlərin diqqətini cəlb etmək üçün hazırlanmış məlumat sızması hazırladıq. Bal qabında aşağıdakı limanlar açılmışdır:
RDP portu işə başlayandan qısa müddət sonra bağlanmalı idi, çünki şəbəkəmizdə skan trafikinin çox olması səbəbindən performans problemləri var idi.
VNC terminalları əvvəlcə parol olmadan "yalnız baxış" rejimində işləyirdi, sonra biz "səhvən" onları tam giriş rejiminə keçirdik.
Təcavüzkarları cəlb etmək üçün biz PasteBin-də mövcud sənaye sistemi haqqında "sızmış" məlumatlar olan iki yazı yerləşdirdik.
Hücumları cəlb etmək üçün PasteBin-də yerləşdirilən yazılardan biri. Mənbə: Trend Micro
Hücumlar
Honeypot təxminən yeddi ay onlayn yaşadı. İlk hücum bal küpünün internetə keçməsindən bir ay sonra baş verdi.
Skanerlər
Tanınmış şirkətlərin skanerlərindən - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye və başqalarından çoxlu trafik var idi. Onların sayı o qədər çox idi ki, onların IP ünvanlarını təhlildən çıxarmalı olduq: 610-dən 9452-u və ya bütün unikal IP ünvanlarının 6,45%-i tamamilə qanuni skanerlərə aid idi.
Moşenniki
Qarşılaşdığımız ən böyük risklərdən biri sistemimizdən cinayət məqsədləri üçün istifadə etməkdir: abunəçinin hesabı vasitəsilə smartfonlar almaq, hədiyyə kartlarından istifadə etməklə aviaşirkətin millərini nağdlaşdırmaq və digər saxtakarlıq növləri
mədənçilər
Sistemimizə ilk gələnlərdən biri mədənçi olduğu ortaya çıxdı. Onu Monero mədən proqramı ilə yüklədi. O, aşağı performansa görə bizim xüsusi sistemimizdə çox qazana bilməzdi. Ancaq bir neçə onlarla, hətta yüzlərlə belə sistemin səylərini birləşdirsək, bu, olduqca yaxşı nəticə verə bilər.
Fidyə proqramı
Honeypotun işləməsi zamanı iki dəfə real ransomware virusları ilə qarşılaşdıq. Birinci halda bu Crysis idi. Onun operatorları VNC vasitəsilə sistemə daxil oldular, lakin sonra TeamViewer quraşdırdılar və sonrakı hərəkətləri yerinə yetirmək üçün ondan istifadə etdilər. BTC-də 10 dollar fidyə tələb edən qəsb mesajını gözlədikdən sonra cinayətkarlarla yazışmalara girdik və onlardan bizim üçün faylların birinin şifrəsini açmağı xahiş etdik. Onlar tələbi yerinə yetirdilər və fidyə tələbini təkrarladılar. 6 min dollara qədər bazarlıq edə bildik, bundan sonra bütün lazımi məlumatları aldığımız üçün sistemi sadəcə virtual maşına yüklədik.
İkinci ransomware Phobos idi. Onu quraşdıran haker honeypotun fayl sistemindən keçib və bir saat şəbəkəni skan edib və sonra ransomware-i quraşdırıb.
Üçüncü ransomware hücumunun saxta olduğu ortaya çıxdı. Naməlum bir “hacker” haha.bat faylını sistemimizə yüklədi, bundan sonra onun işləməsinə çalışdıqca bir müddət izlədik. Bir cəhd haha.bat adını haha.rnsmwr olaraq dəyişdirmək idi.
"Hacker" uzantısını .rnsmwr olaraq dəyişdirərək yarasa faylının zərərliliyini artırır. Mənbə: Trend Micro
Paket faylı nəhayət işə düşməyə başlayanda, "haker" onu redaktə edərək, fidyəni 200 dollardan 750 dollara qaldırdı. Bundan sonra o, bütün faylları "şifrələdi", iş masasında qəsb mesajı buraxdı və VNC-də parolları dəyişdirərək yoxa çıxdı.
Bir neçə gün sonra haker geri qayıtdı və özünə xatırlatmaq üçün porno saytı ilə bir çox pəncərə açan toplu faylı işə saldı. Görünür, bu yolla tələbinə diqqət çəkməyə çalışıb.
Nəticələri
Araşdırma zamanı məlum olub ki, zəiflik haqqında məlumat dərc olunan kimi bal küpü diqqəti cəlb edib və aktivlik günü-gündən artıb. Tələnin diqqəti cəlb etməsi üçün uydurma şirkətimizin bir çox təhlükəsizlik pozuntuları edilməli idi. Təəssüf ki, bu vəziyyət tam ştatlı İT və informasiya təhlükəsizliyi işçiləri olmayan bir çox real şirkətlər arasında qeyri-adi deyil.
Ümumiyyətlə, təşkilatlar ən az imtiyaz prinsipindən istifadə etməlidirlər, halbuki biz təcavüzkarları cəlb etmək üçün onun tam əksini həyata keçirmişik. Hücumları nə qədər uzun izləyiriksə, onlar standart nüfuz testi üsulları ilə müqayisədə bir o qədər mürəkkəbləşirdilər.
Ən əsası, şəbəkənin qurulması zamanı adekvat təhlükəsizlik tədbirləri həyata keçirilsəydi, bütün bu hücumlar uğursuz olardı. Təşkilatlar öz avadanlığının və sənaye infrastrukturunun komponentlərinin bizim tələmizdə etdiyimiz kimi İnternetdən əlçatan olmamasını təmin etməlidir.
Mühəndisin iş stansiyasına bir hücumu qeydə almasaq da, bütün kompüterlərdə eyni yerli administrator parolundan istifadə etməyimizə baxmayaraq, müdaxilə ehtimalını minimuma endirmək üçün bu təcrübədən qaçınmaq lazımdır. Axı zəif təhlükəsizlik kibercinayətkarları çoxdan maraqlandıran sənaye sistemlərinə hücum üçün əlavə dəvət rolunu oynayır.
Mənbə: www.habr.com