Empreses antivirus, experts en seguretat de la informació i simplement entusiastes posen sistemes honeypot a Internet per "atrapar" una nova variant del virus o identificar tàctiques de pirates informàtics inusuals. Els honeypots són tan comuns que els ciberdelinqüents han desenvolupat una mena d'immunitat: ràpidament identifiquen que estan davant d'una trampa i simplement la ignoren. Per explorar les tàctiques dels pirates informàtics moderns, vam crear un honeypot realista que va viure a Internet durant set mesos, atraient una varietat d'atacs. Vam parlar de com va passar això al nostre estudi "" Alguns fets de l'estudi es troben en aquesta publicació.
Desenvolupament de Honeypot: llista de verificació
La tasca principal a l'hora de crear la nostra supertrampa va ser evitar que els pirates informàtics que hi mostressin interès ens exposin. Això va requerir molta feina:
- Crea una llegenda realista sobre l'empresa, que inclogui noms complets i fotos dels empleats, números de telèfon i correus electrònics.
- Plantejar i implementar un model d'infraestructura industrial que es correspongui amb la llegenda sobre les activitats de la nostra empresa.
- Decidiu quins serveis de xarxa seran accessibles des de l'exterior, però no us deixeu portar amb l'obertura de ports vulnerables perquè no sembli una trampa per als ventosos.
- Organitzeu la visibilitat de les filtracions d'informació sobre un sistema vulnerable i distribuïu aquesta informació entre els potencials atacants.
- Implementar un seguiment discret de les activitats dels pirates informàtics a la infraestructura de l'honeypot.
I ara el primer és el primer.
Creant una llegenda
Els ciberdelinqüents ja estan acostumats a trobar-se amb molts honeypots, de manera que la part més avançada d'ells realitza una investigació en profunditat de cada sistema vulnerable per assegurar-se que no és una trampa. Per la mateixa raó, hem intentat assegurar-nos que l'honeypot no només fos realista pel que fa al disseny i aspectes tècnics, sinó també crear l'aspecte d'una empresa real.
Posant-nos a la pell d'un hipotètic hacker genial, vam desenvolupar un algorisme de verificació que distingiria un sistema real d'una trampa. Incloïa la cerca d'adreces IP de l'empresa als sistemes de reputació, la recerca inversa de l'historial d'adreces IP, la cerca de noms i paraules clau relacionades amb l'empresa, així com les seves contraparts i moltes altres coses. Com a resultat, la llegenda va resultar força convincent i atractiva.
Vam decidir posicionar la fàbrica de señus com una petita botiga de prototipatge industrial que treballava per a clients anònims molt grans del segment militar i de l'aviació. Això ens va alliberar de les complicacions legals associades a l'ús d'una marca existent.
A continuació, vam haver de plantejar una visió, missió i nom per a l'organització. Vam decidir que la nostra empresa seria una startup amb un nombre reduït d'empleats, cadascun dels quals és un fundador. Això afegia credibilitat a la història de la naturalesa especialitzada del nostre negoci, que li permet gestionar projectes sensibles per a clients grans i importants. Volíem que la nostra empresa semblés feble des de la perspectiva de la ciberseguretat, però al mateix temps era obvi que treballàvem amb actius importants en sistemes objectiu.
Captura de pantalla del lloc web de MeTech honeypot. Font: Trend Micro
Vam triar la paraula MeTech com a nom de l'empresa. El lloc es va crear a partir d'una plantilla gratuïta. Les imatges s'han extret dels bancs de fotos, utilitzant les més impopulars i modificant-les per fer-les menys reconeixibles.
Volíem que l'empresa semblés real, així que calia afegir empleats amb competències professionals que coincidís amb el perfil de l'activitat. Els vam proposar noms i personalitats i després vam intentar seleccionar imatges dels bancs de fotos segons l'ètnia.
Captura de pantalla del lloc web de MeTech honeypot. Font: Trend Micro
Per evitar ser descoberts, hem buscat fotos de grup de bona qualitat entre les quals poguéssim escollir les cares que necessitàvem. Tanmateix, aleshores vam abandonar aquesta opció, ja que un hacker potencial podria utilitzar la cerca inversa d'imatges i descobrir que els nostres "empleats" només viuen en bancs de fotos. Al final, hem utilitzat fotografies de persones inexistents creades amb xarxes neuronals.
Els perfils dels empleats publicats al lloc incloïen informació important sobre les seves habilitats tècniques, però vam evitar identificar escoles o ciutats específiques.
Per crear bústies de correu, vam utilitzar el servidor d'un proveïdor d'allotjament i després vam llogar diversos números de telèfon als Estats Units i els vam combinar en una central virtual amb un menú de veu i un contestador automàtic.
Infraestructura Honeypot
Per evitar l'exposició, vam decidir utilitzar una combinació de maquinari industrial real, ordinadors físics i màquines virtuals segures. De cara al futur, direm que vam comprovar el resultat dels nostres esforços mitjançant el cercador Shodan, i va demostrar que l'olla de mel sembla un sistema industrial real.
El resultat d'escanejar un pot de mel amb Shodan. Font: Trend Micro
Hem utilitzat quatre PLC com a maquinari per a la nostra trampa:
- Siemens S7-1200,
- dos AllenBradley MicroLogix 1100,
- Omron CP1L.
Aquests PLC van ser seleccionats per la seva popularitat al mercat global de sistemes de control. I cadascun d'aquests controladors utilitza el seu propi protocol, que ens permetia comprovar quin dels PLC seria atacat més sovint i si en principi interessaria a algú.
Equipament de la nostra “fàbrica”-trampa. Font: Trend Micro
No només vam instal·lar maquinari i connectar-lo a Internet. Hem programat cada controlador per realitzar tasques, inclòs
- barreja,
- control del cremador i de la cinta transportadora,
- paletització mitjançant un manipulador robòtic.
I per fer que el procés de producció sigui realista, hem programat la lògica per canviar aleatòriament els paràmetres de retroalimentació, simular l'arrencada i l'aturada de motors i l'encesa i apagat dels cremadors.
La nostra fàbrica tenia tres ordinadors virtuals i un de físic. Els ordinadors virtuals es van utilitzar per controlar una planta, un robot paletitzador i com a estació de treball per a un enginyer de programari PLC. L'ordinador físic funcionava com a servidor de fitxers.
A més de controlar els atacs als PLC, volíem controlar l'estat dels programes carregats als nostres dispositius. Per fer-ho, vam crear una interfície que ens va permetre determinar ràpidament com es van modificar els estats dels nostres actuadors i instal·lacions virtuals. Ja en l'etapa de planificació, vam descobrir que és molt més fàcil implementar-ho mitjançant un programa de control que mitjançant la programació directa de la lògica del controlador. Vam obrir l'accés a la interfície de gestió de dispositius del nostre honeypot mitjançant VNC sense contrasenya.
Els robots industrials són un component clau de la fabricació intel·ligent moderna. En aquest sentit, vam decidir afegir un robot i un lloc de treball automatitzat per controlar-lo als equips de la nostra fàbrica de trampes. Per fer la "fàbrica" més realista, vam instal·lar un programari real a l'estació de treball de control, que els enginyers utilitzen per programar gràficament la lògica del robot. Bé, com que els robots industrials solen estar ubicats en una xarxa interna aïllada, vam decidir deixar l'accés desprotegit mitjançant VNC només a l'estació de treball de control.
Entorn RobotStudio amb un model 3D del nostre robot. Font: Trend Micro
Hem instal·lat l'entorn de programació RobotStudio d'ABB Robotics en una màquina virtual amb una estació de treball de control de robot. Un cop configurat RobotStudio, vam obrir un fitxer de simulació amb el nostre robot perquè la seva imatge en 3D fos visible a la pantalla. Com a resultat, Shodan i altres motors de cerca, en detectar un servidor VNC no segur, agafaran aquesta imatge de pantalla i la mostraran a aquells que cerquin robots industrials amb accés obert per al control.
L'objectiu d'aquesta atenció al detall era crear un objectiu atractiu i realista per als atacants que, un cop el trobessin, hi tornarien una i altra vegada.
Estació de treball d'enginyer
Per programar la lògica del PLC, hem afegit un ordinador d'enginyeria a la infraestructura. S'hi va instal·lar el programari industrial per a la programació de PLC:
- TIA Portal per a Siemens,
- MicroLogix per al controlador Allen-Bradley,
- CX-One per a Omron.
Vam decidir que l'espai de treball d'enginyeria no seria accessible fora de la xarxa. En lloc d'això, establim la mateixa contrasenya per al compte d'administrador que a l'estació de treball de control del robot i a l'estació de treball de control de fàbrica accessible des d'Internet. Aquesta configuració és força habitual en moltes empreses.
Malauradament, malgrat tots els nostres esforços, cap atacant va arribar a l'estació de treball de l'enginyer.
Servidor de fitxers
El necessitàvem com a esquer per als atacants i com a mitjà per fer una còpia de seguretat del nostre propi "treball" a la fàbrica d'esquerres. Això ens va permetre compartir fitxers amb el nostre honeypot mitjançant dispositius USB sense deixar rastre a la xarxa honeypot. Hem instal·lat Windows 7 Pro com a sistema operatiu per al servidor de fitxers, en el qual hem creat una carpeta compartida que qualsevol pot llegir i escriure.
Al principi no vam crear cap jerarquia de carpetes i documents al servidor de fitxers. Tanmateix, més tard vam descobrir que els atacants estaven estudiant activament aquesta carpeta, així que vam decidir omplir-la amb diversos fitxers. Per fer-ho, vam escriure un script Python que creava un fitxer de mida aleatòria amb una de les extensions donades, formant un nom basat en el diccionari.
Script per generar noms de fitxers atractius. Font: Trend Micro
Després d'executar l'script, vam obtenir el resultat desitjat en forma d'una carpeta plena de fitxers amb noms molt interessants.
El resultat del guió. Font: Trend Micro
Monitorització de l'entorn
Després d'haver dedicat tant d'esforç a crear una empresa realista, simplement no ens podíem permetre el luxe de fallar en el medi ambient per supervisar els nostres "visitants". Necessitàvem obtenir totes les dades en temps real sense que els atacants s'adonin que estaven observant.
Ho vam implementar mitjançant quatre adaptadors USB a Ethernet, quatre aixetes Ethernet SharkTap, un Raspberry Pi 3 i una gran unitat externa. El nostre diagrama de xarxa tenia aquest aspecte:
Diagrama de xarxa Honeypot amb equips de monitorització. Font: Trend Micro
Hem col·locat tres aixetes SharkTap per controlar tot el trànsit extern al PLC, accessible només des de la xarxa interna. El quart SharkTap va supervisar el trànsit dels convidats d'una màquina virtual vulnerable.
SharkTap Ethernet Tap i encaminador Sierra Wireless AirLink RV50. Font: Trend Micro
Raspberry Pi va realitzar una captura de trànsit diària. Ens vam connectar a Internet mitjançant un encaminador mòbil Sierra Wireless AirLink RV50, que s'utilitza sovint a les empreses industrials.
Malauradament, aquest encaminador no ens va permetre bloquejar de manera selectiva atacs que no coincideixen amb els nostres plans, de manera que vam afegir un tallafocs Cisco ASA 5505 a la xarxa en mode transparent per realitzar el bloqueig amb un impacte mínim a la xarxa.
Anàlisi del trànsit
Tshark i tcpdump són adequats per resoldre ràpidament problemes actuals, però en el nostre cas les seves capacitats no eren suficients, ja que teníem molts gigabytes de trànsit, que van ser analitzats per diverses persones. Hem utilitzat l'analitzador Moloch de codi obert desenvolupat per AOL. La funcionalitat és comparable a Wireshark, però té més capacitats per a la col·laboració, la descripció i l'etiquetatge de paquets, l'exportació i altres tasques.
Com que no volíem processar les dades recollides en ordinadors honeypot, els abocadors de PCAP s'exportaven cada dia a l'emmagatzematge d'AWS, des d'on ja els vam importar a la màquina Moloch.
Gravació de pantalla
Per documentar les accions dels pirates informàtics al nostre honeypot, vam escriure un script que feia captures de pantalla de la màquina virtual en un interval determinat i, comparant-ho amb la captura de pantalla anterior, vam determinar si hi passava alguna cosa o no. Quan es va detectar activitat, l'script incloïa la gravació de la pantalla. Aquest enfocament va resultar ser el més efectiu. També vam intentar analitzar el trànsit VNC d'un abocador PCAP per entendre quins canvis s'havien produït al sistema, però al final l'enregistrament de pantalla que vam implementar va resultar més senzill i visual.
Monitorització de sessions VNC
Per a això hem utilitzat Chaosreader i VNCLogger. Ambdues utilitats extreuen les pulsacions de tecles d'un abocament PCAP, però VNCLogger gestiona tecles com Backspace, Enter, Ctrl de manera més correcta.
VNCLogger té dos desavantatges. Primer: només pot extreure claus "escoltant" el trànsit a la interfície, per la qual cosa vam haver de simular una sessió VNC amb tcpreplay. El segon desavantatge de VNCLogger és comú amb Chaosreader: tots dos no mostren el contingut del porta-retalls. Per fer-ho vaig haver d'utilitzar Wireshark.
Atraurem els pirates informàtics
Vam crear honeypot per ser atacats. Per aconseguir-ho, vam organitzar una filtració d'informació per cridar l'atenció dels potencials atacants. Els ports següents es van obrir a honeypot:
El port RDP s'ha hagut de tancar poc després de posar-nos en marxa perquè la gran quantitat de trànsit d'escaneig a la nostra xarxa estava causant problemes de rendiment.
Els terminals VNC van funcionar primer en mode de només visualització sense contrasenya i, després, "per error" els vam canviar al mode d'accés complet.
Per atraure atacants, vam publicar dues publicacions amb informació filtrada sobre el sistema industrial disponible a PasteBin.
Una de les publicacions publicades a PasteBin per atraure atacs. Font: Trend Micro
Atacs
Honeypot va viure en línia durant uns set mesos. El primer atac es va produir un mes després que Honeypot es connectés.
Escàners
Hi havia molt trànsit d'escàners d'empreses conegudes: ip-ip, Rapid, Shadow Server, Shodan, ZoomEye i altres. N'hi havia tants que vam haver d'excloure les seves adreces IP de l'anàlisi: 610 de 9452 o el 6,45% de totes les adreces IP úniques pertanyien a escàners completament legítims.
Estafadors
Un dels majors riscos als quals ens hem enfrontat és l'ús del nostre sistema amb finalitats criminals: comprar telèfons intel·ligents a través del compte d'un subscriptor, cobrar milles aèries amb targetes regal i altres tipus de frau.
Miners
Un dels primers visitants del nostre sistema va resultar ser un miner. Hi va descarregar el programari de mineria Monero. No hauria estat capaç de guanyar molts diners amb el nostre sistema particular a causa de la baixa productivitat. Tanmateix, si combinem els esforços de diverses desenes o fins i tot centenars d'aquests sistemes, podria sortir força bé.
Ransomware
Durant el treball de Honeypot, ens vam trobar amb virus de ransomware reals dues vegades. En el primer cas va ser Crysis. Els seus operadors van iniciar sessió al sistema mitjançant VNC, però després van instal·lar TeamViewer i el van utilitzar per realitzar més accions. Després d'esperar un missatge d'extorsió que demanava un rescat de 10 dòlars en BTC, vam entrar en correspondència amb els delinqüents, demanant-los que ens desxiflessin un dels fitxers. Van complir la petició i van repetir la demanda de rescat. Vam aconseguir negociar fins a 6 mil dòlars, després dels quals simplement vam tornar a carregar el sistema a una màquina virtual, ja que vam rebre tota la informació necessària.
El segon ransomware va resultar ser Phobos. El pirata informàtic que el va instal·lar va passar una hora explorant el sistema de fitxers honeypot i escanejant la xarxa, i finalment va instal·lar el ransomware.
El tercer atac de ransomware va resultar ser fals. Un "pirata informàtic" desconegut va descarregar el fitxer haha.bat al nostre sistema, després de la qual cosa vam veure durant una estona mentre intentava que funcionés. Un dels intents va ser canviar el nom de haha.bat a haha.rnsmwr.
El "hacker" augmenta la nocivitat del fitxer bat canviant la seva extensió a .rnsmwr. Font: Trend Micro
Quan finalment es va començar a executar el fitxer per lots, el "pirata informàtic" el va editar, augmentant el rescat de 200 a 750 dòlars. Després d'això, va "xifrar" tots els fitxers, va deixar un missatge d'extorsió a l'escriptori i va desaparèixer, canviant les contrasenyes del nostre VNC.
Un parell de dies després, el pirata informàtic va tornar i, per recordar-se, va llançar un fitxer per lots que va obrir moltes finestres amb un lloc porno. Pel que sembla, d'aquesta manera va intentar cridar l'atenció sobre la seva demanda.
Resultats de
Durant l'estudi, va resultar que tan bon punt es va publicar informació sobre la vulnerabilitat, honeypot va cridar l'atenció, amb l'activitat creixent dia a dia. Perquè la trampa cridés l'atenció, la nostra empresa fictícia va haver de patir múltiples bretxes de seguretat. Malauradament, aquesta situació està lluny de ser infreqüent entre moltes empreses reals que no tenen empleats de TI i seguretat de la informació a temps complet.
En general, les organitzacions haurien d'utilitzar el principi de privilegis mínims, mentre que nosaltres vam implementar exactament el contrari per atraure atacants. I com més temps observàvem els atacs, més sofisticats es tornaven en comparació amb els mètodes estàndard de prova de penetració.
I el més important, tots aquests atacs haurien fracassat si s'haguessin implementat les mesures de seguretat adequades a l'hora de configurar la xarxa. Les organitzacions han de garantir que els seus equips i components d'infraestructura industrial no siguin accessibles des d'Internet, com vam fer específicament a la nostra trampa.
Tot i que no hem registrat cap atac a l'estació de treball d'un enginyer, tot i utilitzar la mateixa contrasenya d'administrador local a tots els ordinadors, aquesta pràctica s'ha d'evitar per minimitzar la possibilitat d'intrusions. Al cap i a la fi, la seguretat feble serveix com una invitació addicional per atacar sistemes industrials, que fa temps que són d'interès per als ciberdelinqüents.
Font: www.habr.com