Antivirusne kompanije, stručnjaci za informatičku sigurnost i jednostavno entuzijasti postavljaju honeypot sisteme na Internet kako bi “uhvatili” novu varijantu virusa ili identificirali neobične hakerske taktike. Honeypots su toliko česti da su sajber kriminalci razvili neku vrstu imuniteta: brzo prepoznaju da su pred zamkom i jednostavno je ignorišu. Da bismo istražili taktike modernih hakera, kreirali smo realističan medeni lonac koji je živio na internetu sedam mjeseci, privlačeći razne napade. Razgovarali smo o tome kako se to dogodilo u našoj studiji "" Neke činjenice iz studije nalaze se u ovom postu.
Honeypot razvoj: kontrolna lista
Glavni zadatak u kreiranju naše superzamke bio je spriječiti da nas razotkriju hakeri koji su pokazali interesovanje za nju. Ovo je zahtevalo dosta rada:
- Napravite realističnu legendu o kompaniji, uključujući puna imena i fotografije zaposlenih, brojeve telefona i e-mailove.
- Osmisliti i implementirati model industrijske infrastrukture koji odgovara legendi o aktivnostima naše kompanije.
- Odlučite koji će mrežni servisi biti dostupni izvana, ali nemojte se zanositi otvaranjem ranjivih portova kako to ne bi izgledalo kao zamka za naivčine.
- Organizirajte vidljivost curenja informacija o ranjivom sistemu i distribuirajte te informacije među potencijalnim napadačima.
- Implementirajte diskretno praćenje hakerskih aktivnosti u infrastrukturi honeypota.
A sada o svemu po redu.
Kreiranje legende
Sajber kriminalci su već navikli da se susreću sa mnoštvom meda, pa najnapredniji deo njih sprovodi detaljnu istragu svakog ranjivog sistema kako bi se uverio da nije zamka. Iz istog razloga, nastojali smo osigurati da lonac ne bude realan samo u pogledu dizajna i tehničkih aspekata, već i da stvorimo izgled prave kompanije.
Stavljajući se u kožu hipotetičkog cool hakera, razvili smo algoritam za verifikaciju koji bi razlikovao pravi sistem od zamke. To je uključivalo traženje IP adresa kompanije u sistemima reputacije, obrnuto istraživanje historije IP adresa, traženje imena i ključnih riječi vezanih za kompaniju, kao i njene partnere i mnoge druge stvari. Kao rezultat toga, legenda se pokazala prilično uvjerljivom i atraktivnom.
Odlučili smo da tvornicu mamaca pozicioniramo kao mali industrijski butik za izradu prototipa koji radi za vrlo velike anonimne klijente u segmentu vojske i avijacije. To nas je oslobodilo pravnih komplikacija povezanih s korištenjem postojećeg brenda.
Zatim smo morali smisliti viziju, misiju i naziv organizacije. Odlučili smo da naša kompanija bude startup sa malim brojem zaposlenih, od kojih je svaki osnivač. Ovo je dodalo kredibilitet priči o specijaliziranoj prirodi našeg poslovanja, što mu omogućava da se bavi osjetljivim projektima za velike i važne klijente. Željeli smo da naša kompanija izgleda slabo iz perspektive kibernetičke sigurnosti, ali je u isto vrijeme bilo očigledno da radimo sa važnim sredstvima na ciljnim sistemima.
Snimak ekrana web stranice MeTech honeypot. Izvor: Trend Micro
Za naziv kompanije odabrali smo riječ MeTech. Sajt je napravljen na osnovu besplatnog šablona. Slike su preuzete iz fotobanka, koristeći one najnepopularnije i modificirajući ih kako bi bile manje prepoznatljive.
Željeli smo da kompanija izgleda stvarno, pa smo morali dodati zaposlenike s profesionalnim vještinama koje odgovaraju profilu djelatnosti. Osmislili smo imena i ličnosti za njih, a zatim pokušali da odaberemo slike iz fotobanka prema etničkoj pripadnosti.
Snimak ekrana web stranice MeTech honeypot. Izvor: Trend Micro
Kako ne bismo bili otkriveni, tražili smo kvalitetne grupne fotografije od kojih smo mogli odabrati lica koja su nam potrebna. Međutim, tada smo odustali od ove opcije, budući da bi potencijalni haker mogao koristiti obrnutu pretragu slika i otkriti da naši “zaposleni” žive samo u foto bankama. Na kraju smo koristili fotografije nepostojećih ljudi napravljene pomoću neuronskih mreža.
Profili zaposlenih objavljeni na sajtu uključivali su važne informacije o njihovim tehničkim veštinama, ali smo izbegavali da identifikujemo određene škole ili gradove.
Za kreiranje poštanskih sandučića koristili smo server hosting provajdera, a zatim iznajmili nekoliko telefonskih brojeva u Sjedinjenim Državama i spojili ih u virtuelnu PBX sa glasovnim menijem i telefonskom sekretaricom.
Honeypot infrastruktura
Kako bismo izbjegli izloženost, odlučili smo koristiti kombinaciju stvarnog industrijskog hardvera, fizičkih računara i sigurnih virtuelnih mašina. Gledajući unaprijed, reći ćemo da smo rezultat naših napora provjerili korištenjem Shodan pretraživača i pokazalo se da honeypot izgleda kao pravi industrijski sistem.
Rezultat skeniranja meda koristeći Shodan. Izvor: Trend Micro
Koristili smo četiri PLC-a kao hardver za našu zamku:
- Siemens S7-1200,
- dva AllenBradley MicroLogix 1100,
- Omron CP1L.
Ovi PLC-ovi su odabrani zbog njihove popularnosti na globalnom tržištu upravljačkih sistema. I svaki od ovih kontrolera koristi svoj protokol, koji nam je omogućio da provjerimo koji bi PLC-ovi bili češće napadnuti i da li bi u principu nekoga zanimali.
Oprema naše "fabrike"-zamke. Izvor: Trend Micro
Nismo samo instalirali hardver i povezali ga na Internet. Programirali smo svaki kontroler za obavljanje zadataka, uključujući
- miješanje,
- kontrola plamenika i transportne trake,
- paletiranje pomoću robotskog manipulatora.
A kako bismo proizvodni proces učinili realističnim, programirali smo logiku da nasumično mijenja parametre povratne sprege, simulira pokretanje i zaustavljanje motora, paljenje i isključivanje gorionika.
Naša fabrika je imala tri virtuelna računara i jedan fizički. Virtuelni računari su korišćeni za upravljanje postrojenjem, robotom paletizatorom i kao radna stanica za softverskog inženjera PLC-a. Fizički računar je radio kao fajl server.
Osim praćenja napada na PLC-ove, željeli smo pratiti status programa učitanih na našim uređajima. Da bismo to uradili, kreirali smo interfejs koji nam je omogućio da brzo odredimo kako su modifikovana stanja naših virtuelnih aktuatora i instalacija. Već u fazi planiranja otkrili smo da je to mnogo lakše implementirati pomoću upravljačkog programa nego direktnim programiranjem logike kontrolera. Otvorili smo pristup interfejsu za upravljanje uređajem našeg honeypota preko VNC-a bez lozinke.
Industrijski roboti su ključna komponenta moderne pametne proizvodnje. S tim u vezi, odlučili smo da opremi naše fabrike zamki dodamo robota i automatizovano radno mesto za upravljanje njime. Da bi "tvornica" bila realističnija, na upravljačku radnu stanicu instalirali smo pravi softver koji inženjeri koriste za grafički programiranje logike robota. Pa, pošto se industrijski roboti obično nalaze u izolovanoj internoj mreži, odlučili smo da ostavimo nezaštićeni pristup preko VNC-a samo kontrolnoj radnoj stanici.
RobotStudio okruženje sa 3D modelom našeg robota. Izvor: Trend Micro
Instalirali smo RobotStudio programsko okruženje iz ABB Robotics na virtuelnu mašinu sa radnom stanicom za upravljanje robotom. Nakon što smo konfigurisali RobotStudio, otvorili smo simulacionu datoteku sa našim robotom u njoj tako da je njegova 3D slika bila vidljiva na ekranu. Kao rezultat toga, Shodan i drugi pretraživači, nakon što otkriju nezaštićeni VNC server, zgrabiće ovu sliku na ekranu i pokazati je onima koji traže industrijske robote sa otvorenim pristupom kontroli.
Smisao ove pažnje posvećene detaljima bila je stvaranje atraktivne i realne mete za napadače koji bi joj se, kada bi je pronašli, iznova vraćali.
Inženjerska radna stanica
Da bismo programirali PLC logiku, infrastrukturi smo dodali inženjerski računar. Na njemu je instaliran industrijski softver za PLC programiranje:
- TIA Portal za Siemens,
- MicroLogix za Allen-Bradley kontroler,
- CX-One za Omron.
Odlučili smo da inženjerski radni prostor neće biti dostupan izvan mreže. Umjesto toga, postavili smo istu lozinku za administratorski račun kao na kontrolnoj radnoj stanici robota i tvorničkoj kontrolnoj radnoj stanici dostupnoj sa Interneta. Ova konfiguracija je prilično uobičajena u mnogim kompanijama.
Nažalost, uprkos svim našim naporima, nijedan napadač nije došao do inženjerske radne stanice.
File server
Trebao nam je kao mamac za napadače i kao sredstvo za podupiranje vlastitog „rada“ u fabrici mamaca. Ovo nam je omogućilo da dijelimo datoteke sa našim honeypotom koristeći USB uređaje bez ostavljanja traga na mreži honeypota. Instalirali smo Windows 7 Pro kao OS za server datoteka, u kojem smo kreirali zajednički folder koji može čitati i pisati bilo ko.
U početku nismo kreirali nikakvu hijerarhiju foldera i dokumenata na serveru datoteka. Međutim, kasnije smo otkrili da napadači aktivno proučavaju ovu fasciklu, pa smo odlučili da je popunimo raznim fajlovima. Da bismo to uradili, napisali smo python skriptu koja je kreirala fajl nasumične veličine sa jednom od datih ekstenzija, formirajući ime na osnovu rečnika.
Skripta za generiranje atraktivnih imena datoteka. Izvor: Trend Micro
Nakon pokretanja skripte, dobili smo željeni rezultat u obliku foldera ispunjenog datotekama vrlo zanimljivih imena.
Rezultat skripte. Izvor: Trend Micro
Monitoring okruženja
Utrošivši toliko truda u stvaranje realne kompanije, jednostavno nismo mogli priuštiti da podbacimo okruženje za praćenje naših „posjetitelja“. Trebali smo da dobijemo sve podatke u realnom vremenu, a da napadači ne shvate da su pod nadzorom.
Ovo smo implementirali koristeći četiri USB na Ethernet adaptera, četiri SharkTap Ethernet slavine, Raspberry Pi 3 i veliki eksterni disk. Naš mrežni dijagram je izgledao ovako:
Honeypot mrežni dijagram sa opremom za praćenje. Izvor: Trend Micro
Postavili smo tri SharkTap slavine tako da pratimo sav eksterni saobraćaj do PLC-a, dostupan samo iz interne mreže. Četvrti SharkTap pratio je promet gostiju ranjive virtuelne mašine.
SharkTap Ethernet Tap i Sierra bežični AirLink RV50 ruter. Izvor: Trend Micro
Raspberry Pi je obavljao dnevno snimanje saobraćaja. Povezali smo se na Internet koristeći Sierra Wireless AirLink RV50 mobilni ruter, koji se često koristi u industrijskim preduzećima.
Nažalost, ovaj ruter nam nije dozvolio da selektivno blokiramo napade koji nisu odgovarali našim planovima, pa smo dodali Cisco ASA 5505 firewall u mrežu u transparentnom režimu kako bismo izvršili blokiranje sa minimalnim uticajem na mrežu.
Analiza saobraćaja
Tshark i tcpdump su prikladni za brzo rješavanje tekućih problema, ali u našem slučaju njihove mogućnosti nisu bile dovoljne, jer smo imali mnogo gigabajta prometa, koji je analiziralo nekoliko ljudi. Koristili smo Moloch analizator otvorenog koda koji je razvio AOL. Po funkcionalnosti je uporediv sa Wiresharkom, ali ima više mogućnosti za saradnju, opisivanje i označavanje paketa, izvoz i druge zadatke.
Pošto nismo hteli da obrađujemo prikupljene podatke na honeypot računarima, PCAP dumpovi su se svakodnevno izvozili u AWS skladište, odakle smo ih već uvozili na Moloch mašinu.
Snimanje ekrana
Da bismo dokumentovali radnje hakera u našem honeypotu, napisali smo skriptu koja je napravila snimke ekrana virtuelne mašine u datom intervalu i, upoređujući ga sa prethodnim snimkom ekrana, utvrdila da li se tamo nešto dešava ili ne. Kada je otkrivena aktivnost, skripta je uključivala snimanje ekrana. Ovaj pristup se pokazao najefikasnijim. Pokušali smo i da analiziramo VNC promet iz PCAP dump-a kako bismo shvatili koje su se promjene dogodile u sistemu, ali se na kraju pokazalo da je snimanje ekrana koje smo implementirali jednostavnije i vizualnije.
Praćenje VNC sesija
Za ovo smo koristili Chaosreader i VNCLogger. Oba uslužna programa izdvajaju pritiske tipki iz PCAP dump-a, ali VNCLogger ispravnije rukuje tipkama poput Backspace, Enter, Ctrl.
VNCLogger ima dva nedostatka. Prvo: može samo izdvojiti ključeve tako što će "slušati" promet na interfejsu, tako da smo morali da simuliramo VNC sesiju za njega koristeći tcpreplay. Drugi nedostatak VNCLogger-a je zajednički sa Chaosreader-om: oba ne prikazuju sadržaj međuspremnika. Da bih to uradio, morao sam da koristim Wireshark.
Mi mamimo hakere
Stvorili smo lonac za napad. Da bismo to postigli, inscenirali smo curenje informacija kako bismo privukli pažnju potencijalnih napadača. Na honeypotu su otvoreni sljedeći portovi:
RDP port je morao biti zatvoren ubrzo nakon što smo pokrenuli uživo jer je ogromna količina skeniranja saobraćaja na našoj mreži izazivala probleme s performansama.
VNC terminali su prvo radili u režimu samo za pregled bez lozinke, a onda smo ih "greškom" prebacili u način punog pristupa.
Kako bismo privukli napadače, objavili smo dva posta s procurjelim informacijama o dostupnom industrijskom sistemu na PasteBin.
Jedna od objava objavljena na PasteBin kako bi privukla napade. Izvor: Trend Micro
Napadi
Honeypot je živio na mreži oko sedam mjeseci. Prvi napad se dogodio mjesec dana nakon što je honeypot izašao na mrežu.
Skeneri
Bilo je dosta prometa sa skenera poznatih kompanija - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye i drugih. Bilo ih je toliko da smo morali da isključimo njihove IP adrese iz analize: 610 od 9452 ili 6,45% svih jedinstvenih IP adresa pripadalo je potpuno legitimnim skenerima.
Scammers
Jedan od najvećih rizika s kojima smo se suočili je korištenje našeg sistema u kriminalne svrhe: kupovina pametnih telefona preko računa pretplatnika, isplata avio milja korištenjem poklon kartica i druge vrste prijevara.
Rudari
Ispostavilo se da je jedan od prvih posjetilaca našeg sistema rudar. Na njega je preuzeo Monero softver za rudarenje. On ne bi mogao zaraditi mnogo novca na našem sistemu zbog niske produktivnosti. Međutim, ako udružimo napore nekoliko desetina ili čak stotina ovakvih sistema, moglo bi ispasti sasvim dobro.
Ransomware
Tokom rada honeypota dva puta smo se susreli sa pravim ransomware virusima. U prvom slučaju to je bio Crysis. Njegovi operateri su se prijavili na sistem preko VNC-a, ali su potom instalirali TeamViewer i koristili ga za dalje radnje. Nakon što smo čekali poruku iznude u kojoj se tražila otkupnina od 10 dolara u BTC-u, ušli smo u prepisku sa kriminalcima, tražeći od njih da nam dešifruju jedan od fajlova. Udovoljili su zahtjevu i ponovili zahtjev za otkupninom. Uspjeli smo dogovoriti do 6 hiljada dolara, nakon čega smo jednostavno ponovo postavili sistem na virtuelnu mašinu, pošto smo dobili sve potrebne informacije.
Ispostavilo se da je drugi ransomware Phobos. Haker koji ga je instalirao proveo je sat vremena pretražujući sistem datoteka honeypot i skenirajući mrežu, a zatim je konačno instalirao ransomware.
Ispostavilo se da je treći ransomware napad lažan. Nepoznati “haker” je preuzeo haha.bat fajl na naš sistem, nakon čega smo neko vrijeme gledali kako on pokušava da ga pokrene. Jedan od pokušaja je bio da se haha.bat preimenuje u haha.rnsmwr.
“Haker” povećava štetnost bat datoteke mijenjajući njenu ekstenziju u .rnsmwr. Izvor: Trend Micro
Kada je batch fajl konačno počeo da radi, "haker" ga je uredio, povećavši otkupninu sa 200 na 750 dolara. Nakon toga je “šifrirao” sve fajlove, ostavio poruku iznude na desktopu i nestao, mijenjajući lozinke na našem VNC-u.
Nekoliko dana kasnije, haker se vratio i, da se podsetimo, pokrenuo batch fajl koji je otvorio mnoge prozore sa porno sajtom. Očigledno je na ovaj način pokušao da skrene pažnju na svoj zahtjev.
Ishodi
Tokom istraživanja pokazalo se da je, čim je objavljena informacija o ranjivosti, honeypot privukao pažnju, a aktivnost je rasla iz dana u dan. Da bi zamka privukla pažnju, naša fiktivna kompanija morala je pretrpjeti višestruke proboje sigurnosti. Nažalost, ova situacija je daleko od neuobičajenog među mnogim stvarnim kompanijama koje nemaju stalno zaposlene u IT i informacijskoj sigurnosti.
Generalno, organizacije treba da koriste princip najmanje privilegija, dok smo mi implementirali upravo suprotno od njega da bismo privukli napadače. I što smo duže gledali napade, postajali su sofisticiraniji u poređenju sa standardnim metodama testiranja penetracije.
I što je najvažnije, svi ovi napadi ne bi uspjeli da su pri postavljanju mreže primijenjene adekvatne mjere sigurnosti. Organizacije moraju osigurati da njihova oprema i komponente industrijske infrastrukture nisu dostupne sa Interneta, kao što smo konkretno učinili u našoj zamci.
Iako nismo zabilježili niti jedan napad na radnu stanicu inženjera, unatoč korištenju iste lokalne administratorske lozinke na svim računalima, ovu praksu treba izbjegavati kako bi se mogućnost upada svela na minimum. Uostalom, slaba sigurnost služi kao dodatna pozivnica za napad na industrijske sisteme, koji su dugo bili interesantni sajber kriminalcima.
izvor: www.habr.com