Антывірусныя кампаніі, ИБ-эксперты і проста энтузіясты выстаўляюць у інтэрнэт сістэмы-прынады - ханіпоты, каб "злавіць на жыўца" свежую разнавіднасць віруса або выявіць незвычайную хакерскую тактыку. Ханіпот сустракаюцца так часта, што ў кіберзлачынцаў выпрацаваўся своеасаблівы імунітэт: яны хутка выяўляюць, што перад імі пастка і проста ігнаруюць яе. Каб даследаваць тактыку сучасных хакераў, мы стварылі рэалістычны ханіпот, які на працягу сямі месяцаў жыў у інтэрнэце, прыцягваючы самыя розныя напады. Пра тое, як гэта было, мы распавялі ў нашым даследаванні». Некаторыя факты з даследавання - у гэтым пасце.
Распрацоўка ханіпоту: чэк-ліст
Галоўнай задачай пры стварэнні нашай суперпасткі было не дапусціць, каб нас выкрылі хакеры, якія праявілі да яе цікавасць. Для гэтага прыйшлося правесці вялікую працу:
- Стварыць рэалістычную легенду аб кампаніі, якая ўключае ў сябе прозвішча, імя і фота супрацоўнікаў, нумары тэлефонаў і е-мэйлы.
- Прыдумаць і рэалізаваць мадэль прамысловай інфраструктуры, якая адпавядае легендзе аб дзейнасці нашай кампаніі.
- Вырашыць, якія сеткавыя сэрвісы будуць даступныя звонку, але пры гэтым не захапляцца адкрыццём уразлівых партоў, каб гэта не выглядала пасткай для разявакі.
- Арганізаваць бачнасць уцечкі інфармацыі аб уразлівай сістэме і распаўсюдзіць гэтыя звесткі сярод патэнцыйных атакавалых.
- Рэалізаваць незаўважнае назіранне за дзеяннямі хакераў у інфраструктуры пасткі.
А зараз аб усім па парадку.
Ствараем легенду
Кіберзлачынцы ўжо абвыклі да таго, што ім сустракаецца мноства ханіпотаў, таму самая прасунутая іх частка праводзіць паглыбленае даследаванне кожнай уразлівай сістэмы, каб пераканацца, што гэта не пастка. Па той жа прычыне мы імкнуліся дабіцца не толькі рэалістычнасці ханіпота з пункту гледжання дызайну і тэхнічных аспектаў, але і стварыць бачнасць рэальнай кампаніі.
Паставіўшы сябе на месца гіпатэтычнага кулхакера, мы распрацавалі алгарытм праверкі, які дазволіў бы адрозніць рэальную сістэму ад пасткі. Ён уключаў пошук IP-адрасоў кампаніі ў рэпутацыйнай сістэмах, рэверсіўнае даследаванне гісторыі IP-адрасоў, пошук імёнаў і ключавых слоў, якія адносяцца да кампаніі, а таксама яе контрагентаў і многіх іншых рэчаў. У выніку легенда атрымалася суцэль пераканаўчай і прывабнай.
Мы вырашылі пазіцыянаваць фабрыку-пастку як невялікі буцік прамысловага прататыпіравання, які працуе для вельмі буйных ананімных кліентаў з ваеннага і авіяцыйнага сегмента. Гэта пазбаўляла нас ад юрыдычных складанасцяў, звязаных з выкарыстаннем існуючага брэнда.
Далей нам трэба было прыдумаць бачанне, місію і назву арганізацыі. Мы вырашылі, што наша кампанія будзе стартапам з невялікай колькасцю супрацоўнікаў, кожны з якіх з'яўляецца заснавальнікам. Гэта дадавала пераканаўчасці легендзе аб спецыялізаванасці нашага бізнэсу, якая дазваляе яму працаваць з далікатнымі праектамі для буйных і важных замоўцаў. Мы хацелі, каб наша кампанія выглядала слабой з пункту гледжання кібербяспекі, але ў той жа час было відавочна, што мы працуем з важнымі актывамі ў мэтавых сістэмах.
Скрыншот сайта ханіпота MeTech. Крыніца: Trend Micro
У якасці назвы кампаніі мы абралі слова MeTech. Сайт зрабілі на базе бясплатнага шаблёну. Выявы ўзялі з фотабанкаў, выкарыстоўваючы самыя непапулярныя і дапрацаваўшы, каб зрабіць іх менш вядомымі.
Мы хацелі, каб кампанія выглядала рэальнай, таму трэба было дадаць у яе супрацоўнікаў з прафесійнымі навыкамі, якія адпавядаюць профілі дзейнасці. Мы прыдумалі для іх імёны і асобы, а затым паспрабавалі выбраць выявы з фотабанкаў у адпаведнасці з этнічнай прыналежнасцю.
Скрыншот сайта ханіпота MeTech. Крыніца: Trend Micro
Каб нас не раскрылі, мы шукалі групавыя фота добрай якасці, з якіх можна было выбраць патрэбныя нам твары. Аднак затым мы адмовіліся ад гэтага варыянту, паколькі патэнцыйны ўзломшчык мог скарыстацца рэверс-пошукам малюнкаў і выявіць, што нашыя «супрацоўнікі» жывуць у толькі фотабанках. У рэшце рэшт, мы скарысталіся фатаграфіямі неіснуючых людзей, створанымі з дапамогай нейросетей.
Апублікаваныя на сайце профілі супрацоўнікаў змяшчалі важную інфармацыю аб іх тэхнічных навыках, аднак мы пазбягалі ўказанняў канкрэтных навучальных устаноў і гарадоў.
Для стварэння паштовых скрыняў мы скарысталіся серверам хостынг-правайдэра, а затым арандавалі некалькі тэлефонных нумароў у ЗША і аб'ядналі іх у віртуальную АТС з галасавым меню і аўтаадказчыкам.
Інфраструктура ханіпоту
Каб пазбегнуць выкрыцця, мы вырашылі выкарыстоўваць камбінацыю з сапраўднага прамысловага абсталявання, фізічных кампутараў і абароненых віртуальных машын. Забягаючы наперад, скажам, што вынік нашых намаганняў мы праверылі з дапамогай пошукавіка Shodan, і ён паказаў, што ханіпот выглядае як сапраўдная прамысловая сістэма.
Вынік сканавання ханіпота з дапамогай Shodan. Крыніца: Trend Micro
У якасці «жалеза» для нашай пасткі мы выкарыстоўвалі чатыры ПЛК:
- Siemens S7-1200,
- два AllenBradley MicroLogix 1100,
- Omron CP1L.
Гэтыя ПЛК былі абраныя за іх папулярнасць на сусветным рынку сістэм кіравання. А яшчэ кожны з гэтых кантролераў выкарыстоўвае свой пратакол, што дазваляла нам праверыць, які з ПЛК будуць атакаваць часцей і ці зацікавяць яны кагосьці ў прынцыпе.
Абсталяванне нашай "фабрыкі"-пасткі. Крыніца: Trend Micro
Мы не проста паставілі жалязякі і падключылі іх да інтэрнэту. Кожны кантролер мы запраграмавалі на выкананне задач, сярод якіх былі
- перамешванне,
- кіраванне гарэлкай і канвеернай стужкай,
- палетаванне з выкарыстаннем рабатызаваных маніпулятара.
А каб вытворчы працэс быў рэалістычным, мы запраграмавалі логіку для выпадковай змены параметраў зваротнай сувязі, імітацыі запуску і прыпынкі рухавікоў, уключэнні і выключэнні гарэлкі.
На нашай фабрыцы было тры віртуальныя камп'ютары і адзін фізічны. Віртуалкі выкарыстоўваліся для кіравання заводам, робатам-паллетайзерам і ў якасці АРМ інжынера-праграміста ПЛК. Фізічны кампутар працаваў файлавым сэрверам.
Апроч назірання за нападамі на ПЛК, мы жадалі сачыць за станам праграм, загружаных на нашы прылады. Для гэтага мы стварылі інтэрфейс, які дазваляў хутка вызначыць, якім чынам былі мадыфікаваны станы нашых віртуальных выканаўчых механізмаў і ўсталёвак. Ужо на этапе планавання мы выявілі, што значна прасцей рэалізаваць гэта з дапамогай кіравальнай праграмы, чым праз непасрэднае праграмаванне логікі кантролера. Да інтэрфейсу кіравання прыладамі нашага ханіпота мы адкрылі доступ праз VNC без пароля.
Прамысловыя робаты – ключавы кампанент сучаснай разумнай вытворчасці. У сувязі з гэтым мы вырашылі дадаць робата і АРМ для кіравання ім у склад абсталявання нашай фабрыкі-пасткі. Каб зрабіць "фабрыку" больш рэалістычнай, на АРМ кіравання мы ўсталявалі сапраўдны софт, які інжынеры выкарыстоўваюць для графічнага праграмавання логікі робата. Ну а паколькі звычайна прамысловыя робаты знаходзяцца ў ізаляванай унутранай сетцы, мы вырашылі пакінуць неабаронены доступ па VNC толькі да АРМ кіравання.
Серада RobotStudio з 3D-мадэллю нашага робата. Крыніца: Trend Micro
На віртуалцы з АРМ кіравання робатам мы ўсталявалі асяроддзе праграмавання RobotStudio ад ABB Robotics. Наладзіўшы RobotStudio, мы адкрылі ў ім файл сімуляцыі з нашым робатам так, каб яго 3D-малюнак было відаць на экране. У выніку Shodan і іншыя пошукавыя сістэмы, выявіўшы неабаронены VNC-сервер, атрымаюць гэты малюнак з экрана і пакажуць яго тым, хто шукае прамысловыя робаты з адчыненым доступам да кіравання.
Сэнс такой увагі да дэталяў заключаўся ў тым, каб стварыць прывабную і максімальна рэалістычную мэту для зламыснікаў, якія выявіўшы яе, вярталіся б да яе зноў і зноў.
АРМ інжынера
Для праграмавання логікі ПЛК мы дадалі ў інфраструктуру інжынерны кампутар. На яго ўсталявалі прамысловае ПЗ для праграмавання ПЛК:
- TIA Portal для Siemens,
- MicroLogix для кантролера Allen-Bradley,
- CX-One для Omron.
Мы вырашылі, што інжынернае працоўнае месца не будзе даступна за межамі сеткі. Замест гэтага мы ўсталявалі на ёй такі ж пароль для ўліковага запісу адміністратара, як і на даступных з інтэрнэту АРМ кіравання робатам і АРМ кіравання фабрыкай. Такая канфігурацыя з'яўляецца дастаткова распаўсюджанай у многіх кампаніях.
Нажаль, нягледзячы на ўсе нашы высілкі, да АРМ інжынера не дабраўся ніводны атакавалы.
Файлавы сервер
Ён быў патрэбен нам як прынада для зламыснікаў і як сродак для рэзервовага капіявання нашых уласных "прац" у фабрыцы-пастцы. Гэта дазволіла нам абменьвацца файламі з нашым ханіпатам з дапамогай USB-прылад, не пакідаючы слядоў у сетцы пасткі. У якасці АС для файлавага сервера мы ўсталявалі Windows 7 Pro, у якой зрабілі агульную тэчку, даступную на чытанне і запіс каму заўгодна.
Спачатку мы не рабілі ніякай іерархіі тэчак і дакументаў на файлавым серверы. Аднак потым выявілася, што атакавалыя актыўна вывучаюць гэтую тэчку, так што мы вырашылі напоўніць яе рознымі файламі. Для гэтага мы напісалі python-скрыпт, які ствараў файл выпадковага памеру з адным з зададзеных пашырэнняў, фармуючы імя на базе слоўніка.
Скрыпт для генерацыі прывабных імёнаў файлаў. Крыніца: Trend Micro
Пасля запуску скрыпту мы атрымалі патрэбны вынік у выглядзе тэчкі, напоўненай файламі з вельмі цікавымі імёнамі.
Вынік працы скрыпту. Крыніца: Trend Micro
Асяроддзе для маніторынгу
Выдаткаваўшы столькі намаганняў на стварэнне рэалістычнай кампаніі, мы проста не маглі дазволіць сабе пракалоцца на асяроддзі для маніторынгу нашых "наведвальнікаў". Нам трэба было атрымліваць усе дадзеныя ў рэжыме рэальнага часу такім чынам, каб атакавалыя не заўважылі, што за імі назіраюць.
Мы рэалізавалі гэта з выкарыстаннем чатырох USB-Ethernet-адаптараў, чатырох Ethernet-адказнікаў SharkTap, Raspberry Pi 3 і вялікага знешняга дыска. Схема нашай сеткі выглядала так:
Схема сеткі ханіпоту з абсталяваннем для маніторынгу. Крыніца: Trend Micro
Тры адгаворвальнікі SharkTap мы размясцілі так, каб маніторыць увесь вонкавы трафік да ПЛС, даступным толькі з унутранай сеткі. Чацвёрты SharkTap адсочваў трафік гасцей уразлівай віртуалкі.
Ethernet-адказнік SharkTap і маршрутызатар Sierra Wireless AirLink RV50. Крыніца: Trend Micro
Raspberry Pi выконваў посуточно захоп трафіку. Падлучэнне да інтэрнэту мы арганізавалі з дапамогай сотавага маршрутызатара Sierra Wireless AirLink RV50, часта выкарыстоўванага ў прамысловых прадпрыемствах.
Нажаль, гэты маршрутызатар не дазваляў выбарачна блакаваць напады, якія не адпавядалі нашым планам, таму мы дадалі ў сетку файрвол Cisco ASA 5505 у празрыстым рэжыме, каб выконваць блакаванні з мінімальным уплывам на сетку.
Аналіз трафіку
Tshark і tcpdump дарэчныя для хуткага рашэння бягучых пытанняў, але ў нашым выпадку іх магчымасцяў было нядосыць, паколькі ў нас было шмат гігабайт трафіку, аналізам якіх займаліся некалькі чалавек. Мы карысталіся open-source-аналізатарам Moloch, распрацаваным AOL. Па функцыянальнасці ён супастаўны з Wireshark, аднак мае больш магчымасцяў для сумеснай працы, апісанні і тэгаванні пакетаў, экспарту і іншых задач.
Паколькі мы не жадалі апрацоўваць сабраныя дадзеныя на кампутарах ханіпоту, PCAP-дампы кожны дзень экспартаваліся ў сховішча AWS, адкуль мы ўжо імпартавалі іх на машыну з Moloch.
запіс экрана
Каб задакументаваць дзеянні ўзломшчыкаў у нашым ханіпоце, мы напісалі скрыпт, які з зададзеным інтэрвалам рабіў скрыншоты віртуальнай машыны і, параўноўваючы з папярэднім скрыншотам, вызначаў, адбываецца там нешта ці не. Пры выяўленні актыўнасці скрыпт уключаў запіс экрана. Такі падыход аказаўся найбольш эфектыўным. Мы таксама спрабавалі аналізаваць VNC-трафік з PCAP-дампа, каб зразумець, якія змены адбыліся ў сістэме, але ў выніку рэалізаваны намі запіс экрана апынулася прасцей і навочней.
Маніторынг VNC-сесій
Для гэтага мы выкарыстоўвалі Chaosreader і VNCLogger. Абедзве ўтыліты здабываюць з PCAP-дампа націску клавіш, але VNCLogger больш карэктна звяртаецца з клавішамі тыпу Backspace, Enter, Ctrl.
У VNCLogger ёсць два недахопы. Першы: яна можа здабываць клавішы толькі слухаючы трафік на інтэрфейсе, таму нам прыйшлося імітаваць для яе VNC-сесію з дапамогай tcpreplay. Другі недахоп VNCLogger агульны з Chaosreader: яны абедзве не паказваюць змесціва буфера абмену. Для гэтага прыйшлося скарыстацца Wireshark.
Прывабліваем хакераў
Мы стваралі ханіпот, каб яго атакавалі. Каб дамагчыся гэтага, мы інсцэніравалі ўцечку інфармацыі, закліканую прыцягнуць увагу патэнцыйных узломшчыкаў. На ханіпоце былі адкрыты наступныя парты:
Порт RDP прыйшлося зачыніць неўзабаве пасля пачатку працы, таму што з-за велізарнай колькасці сканавальнага трафіку ў нашай сетцы ўзніклі праблемы з прадукцыйнасцю.
VNC-тэрміналы спачатку працавалі ў рэжыме "толькі прагляд" без пароля, а затым мы "па памылцы" пераключылі іх у рэжым поўнага доступу.
Каб прыцягнуць атакавалых, мы размясцілі дзве пасады з «якая ўцякла» інфармацыяй аб даступнай прамысловай сістэме на PasteBin.
Адзін з пастоў, размешчаных на PasteBin для прыцягнення нападаў. Крыніца: Trend Micro
Напады
Ханіпот пражыў у анлайне каля сямі месяцаў. Першая атака адбылася праз месяц пасля выхаду ханіпоту ў анлайн.
Сканары
Было шмат трафіку ад сканер вядомых кампаній – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye і іншых. Іх было так шмат, што нам прыйшлося выключыць іх IP-адрасы з аналізу: 610 з 9452 ці 6,45% ад усіх унікальных ip-адрасоў належалі суцэль легітымным сканерам.
Ашуканцы
Адзін з самых вялікіх рызык, з якім нам прыйшлося сутыкнуцца, - гэта выкарыстанне нашай сістэмы ў злачынных мэтах: для пакупкі смартфонаў праз рахунак абанента, наяўных міль авіякампаній з дапамогай падарункавых карт і іншых відам махлярства
Майнеры
Адзін з першых наведвальнікаў нашай сістэмы аказаўся майнерам. Ён загрузіў на яе софт для майнінгу Monero. Шмат зарабіць на нашай канкрэтнай сістэме яму б не ўдалося з-за нізкай прадукцыйнасці. Аднак калі аб'яднаць намаганні некалькіх дзясяткаў ці нават сотняў такіх сістэм, магло б атрымацца цалкам нядрэнна.
Вымагальнікі
За час працы ханіпота мы двойчы сутыкнуліся з сапраўднымі вірусамі-вымагальнікамі. У першым выпадку гэта быў Crysis. Яго аператары зайшлі на сістэму праз VNC, але затым устанавілі TeamViewer і з яго дапамогай ужо выконвалі далейшыя дзеянні. Дачакаўшыся вымагальніцкага паведамлення з патрабаваннем выкупу ў памеры 10 тыс. даляраў у BTC, мы ўступілі ў перапіску са злачынцамі, папытаўшы іх расшыфраваць нам адзін з файлаў. Яны выканалі просьбу і паўтарылі патрабаванне выкупу. Нам удалося старгавацца да 6 тыс. долараў, пасля чаго мы проста перазалілі сістэму на віртуалку, паколькі атрымалі ўсю неабходную інфармацыю.
Другім вымагальнікам аказаўся Phobos. Які ўсталяваў яго хакер на працягу гадзіны перачытваў файлавую сістэму ханіпоту і сканаваў сетку, а затым усёткі ўсталяваў вымагальніка.
Трэці напад вымагальніка аказаўся фэйкавым. Невядомы "хакер" спампаваў на нашу сістэму файл haha.bat, пасля чаго некаторы час мы назіралі за тым, як ён спрабуе прымусіць яго працаваць. Адной са спробаў стала перайменаванне haha.bat у haha.rnsmwr.
"Хакер" павялічвае шкоднаснасць bat-файла, змяняючы яго пашырэнне на .rnsmwr. Крыніца: Trend Micro
Калі батнік нарэшце стаў запускацца, "хакер" адрэдагаваў яго, павялічыўшы выкуп з 200 да 750 даляраў. Пасля гэтага ён "зашыфраваў" усе файлы, пакінуў на працоўным стале вымагальніцкае паведамленне і знік, памяняўшы паролі на нашым VNC.
Праз пару дзён хакер вярнуўся і каб нагадаць пра сябе, запусціў батнік, які адчыняў мноства вокнаў з порнасайтам. Відаць, такім чынам ён спрабаваў прыцягнуць увагу да свайго патрабавання.
Вынікі
За час даследавання высветлілася, што як толькі звесткі аб уразлівасці былі апублікаваныя, ханіпот прыцягнуў увагу, прычым актыўнасць расла дзень пры дні. Каб пастка прыцягнула да сябе ўвагу, прыйшлося дапусціць мноства парушэнняў бяспекі нашай выдуманай кампаніі. Нажаль, такая сітуацыя далёка не рэдкасць сярод шматлікіх рэальных кампаній, не мелых штатных ІТ- і ИБ-супрацоўнікаў.
У агульным выпадку арганізацыі павінны выкарыстоўваць прынцып найменшых прывілеяў, у той час як мы рэалізавалі поўную яму супрацьлегласць для прыцягнення зламыснікаў. І чым даўжэй мы назіралі за нападамі, тым больш выдасканаленымі яны станавіліся ў параўнанні са стандартнымі метадамі тэсціравання на пранікненне.
І самае галоўнае: усе гэтыя напады праваліліся б, калі б пры наладзе сеткі былі рэалізаваны адэкватныя меры бяспекі. Арганізацыі павінны сачыць, каб іх абсталяванне і кампаненты прамысловай інфраструктуры не былі даступныя з інтэрнэту, як мы спецыяльна рабілі ў нашай пастцы.
Хоць мы не зафіксавалі ніводнай атакі на АРМ інжынера, нягледзячы на выкарыстанне аднолькавага пароля лакальнага адміністратара на ўсіх кампутарах, варта пазбягаць такой практыкі, каб звесці да мінімуму магчымасць уварванняў. Бо слабая бяспека служыць дадатковым запрашэннем для нападу на прамысловыя сістэмы, якія ўжо даўно выклікаюць цікавасць кіберзлачынцаў.
Крыніца: habr.com