Ang mga kompanya sa antivirus, mga eksperto sa seguridad sa kasayuran ug yano nga mga mahiligon nagbutang mga sistema sa honeypot sa Internet aron "madakop" ang usa ka bag-ong variant sa virus o mailhan ang dili kasagaran nga mga taktika sa hacker. Ang mga honeypot kay komon kaayo nga ang mga cybercriminal nakaugmad og usa ka matang sa imyunidad: dali nilang giila nga naa sila sa atubangan sa usa ka lit-ag ug gibaliwala lang kini. Aron masusi ang mga taktika sa mga modernong hacker, naghimo kami usa ka realistiko nga honeypot nga nagpuyo sa Internet sulod sa pito ka bulan, nga nakadani sa lainlaing mga pag-atake. Naghisgot kami kung giunsa kini nahitabo sa among pagtuon "" Ang pipila ka mga kamatuoran gikan sa pagtuon naa sa kini nga post.
Pag-uswag sa honeypot: checklist
Ang nag-unang tahas sa paghimo sa among supertrap mao ang pagpugong kanamo nga maladlad sa mga hacker nga nagpakita og interes niini. Nagkinahanglan kini og daghang trabaho:
- Paghimo usa ka realistiko nga leyenda bahin sa kompanya, lakip ang tibuuk nga mga ngalan ug litrato sa mga empleyado, numero sa telepono ug email.
- Sa paghimo ug pagpatuman sa usa ka modelo sa industriyal nga imprastraktura nga katumbas sa leyenda bahin sa mga kalihokan sa among kompanya.
- Pagdesisyon kung unsang mga serbisyo sa network ang ma-access gikan sa gawas, apan ayaw pagdala sa pag-abli sa mga huyang nga pantalan aron dili kini tan-awon nga usa ka lit-ag alang sa mga sucker.
- Pag-organisar sa visibility sa mga pagtulo sa impormasyon bahin sa usa ka mahuyang nga sistema ug iapod-apod kini nga impormasyon taliwala sa mga potensyal nga tig-atake.
- Ipatuman ang maalamon nga pagmonitor sa mga kalihokan sa hacker sa imprastraktura sa honeypot.
Ug karon una ang mga butang una.
Paghimo og leyenda
Ang mga cybercriminals naanad na nga makasugat og daghang honeypots, mao nga ang pinaka-abante nga bahin niini nagpahigayon og lawom nga imbestigasyon sa matag huyang nga sistema aron masiguro nga dili kini lit-ag. Sa parehas nga hinungdan, gitinguha namon nga masiguro nga ang honeypot dili lamang realistiko sa mga termino sa disenyo ug teknikal nga mga aspeto, apan aron mahimo usab ang hitsura sa usa ka tinuud nga kompanya.
Gibutang ang among kaugalingon sa sapatos sa usa ka hypothetical cool hacker, naghimo kami usa ka algorithm sa pag-verify nga makaila sa usa ka tinuud nga sistema gikan sa usa ka lit-ag. Naglakip kini sa pagpangita sa mga IP address sa kompanya sa mga sistema sa reputasyon, pag-usab sa panukiduki sa kasaysayan sa mga adres sa IP, pagpangita sa mga ngalan ug mga keyword nga may kalabotan sa kompanya, ingon man sa mga katugbang niini, ug uban pang mga butang. Ingon usa ka sangputanan, ang leyenda nahimoβg makapakombinsir ug madanihon.
Nakahukom kami nga ibutang ang pabrika sa decoy isip usa ka gamay nga industriyal nga prototyping boutique nga nagtrabaho alang sa dako kaayo nga wala mailhi nga mga kliyente sa bahin sa militar ug aviation. Kini nagpahigawas kanamo gikan sa legal nga mga komplikasyon nga nalangkit sa paggamit sa usa ka kasamtangan nga brand.
Sunod kinahanglan namon nga maghimo usa ka panan-awon, misyon ug ngalan alang sa organisasyon. Nakahukom kami nga ang among kompanya mahimong usa ka startup nga adunay gamay nga gidaghanon sa mga empleyado, nga ang matag usa usa ka magtutukod. Nagdugang kini nga kredibilidad sa istorya sa espesyal nga kinaiya sa among negosyo, nga nagtugot niini sa pagdumala sa mga sensitibo nga proyekto alang sa dagko ug importante nga mga kliyente. Gusto namon nga ang among kompanya magpakita nga huyang gikan sa usa ka panan-aw sa cybersecurity, apan sa parehas nga oras klaro nga nagtrabaho kami sa hinungdanon nga mga kabtangan sa mga target nga sistema.
Screenshot sa website sa MeTech honeypot. Tinubdan: Trend Micro
Gipili namo ang pulong nga MeTech isip ngalan sa kompanya. Ang site gihimo base sa usa ka libre nga template. Ang mga hulagway gikuha gikan sa mga bangko sa litrato, gamit ang labing dili popular ug giusab kini aron dili kini mailhan.
Gusto namon nga ang kompanya tan-awon nga tinuod, busa kinahanglan namon nga idugang ang mga empleyado nga adunay propesyonal nga kahanas nga mohaum sa profile sa kalihokan. Naghimo kami og mga ngalan ug personalidad alang kanila ug dayon misulay sa pagpili og mga hulagway gikan sa mga photo bank sumala sa etnisidad.
Screenshot sa website sa MeTech honeypot. Tinubdan: Trend Micro
Aron dili madiskubre, nangita mig maayo nga kalidad nga mga litrato sa grupo diin kami makapili sa mga nawong nga among gikinahanglan. Bisan pa, gibiyaan namon kini nga kapilian, tungod kay ang usa ka potensyal nga hacker mahimong mogamit sa reverse nga pagpangita sa imahe ug mahibal-an nga ang among "mga empleyado" nagpuyo ra sa mga bangko sa litrato. Sa katapusan, migamit kami og mga litrato sa wala-naglungtad nga mga tawo nga gihimo gamit ang mga neural network.
Ang mga profile sa empleyado nga gipatik sa site adunay hinungdanon nga kasayuran bahin sa ilang mga kahanas sa teknikal, apan gilikayan namon ang pag-ila sa piho nga mga eskuylahan o lungsod.
Aron makahimo og mga mailbox, migamit kami og server sa hosting provider, ug dayon nag-abang og daghang numero sa telepono sa Estados Unidos ug gihiusa kini ngadto sa usa ka virtual PBX nga adunay voice menu ug answering machine.
Imprastraktura sa Honeypot
Aron malikayan ang pagkaladlad, nakahukom kami nga mogamit usa ka kombinasyon sa tinuod nga industriyal nga hardware, pisikal nga mga kompyuter ug luwas nga mga virtual machine. Sa pagtan-aw sa unahan, kami moingon nga among gisusi ang resulta sa among mga paningkamot gamit ang Shodan search engine, ug kini nagpakita nga ang honeypot morag tinuod nga industriyal nga sistema.
Ang resulta sa pag-scan sa usa ka honeypot gamit ang Shodan. Tinubdan: Trend Micro
Gigamit namo ang upat ka PLC isip hardware alang sa among lit-ag:
- Siemens S7-1200,
- duha ka AllenBradley MicroLogix 1100,
- Omron CP1L.
Kini nga mga PLC gipili alang sa ilang pagkapopular sa merkado sa sistema sa pagkontrol sa kalibutan. Ug ang matag usa niini nga mga controller naggamit sa kaugalingon nga protocol, nga nagtugot kanamo sa pagsusi kung kinsa sa mga PLC ang mas kanunay nga atakehon ug kung sila interesado sa bisan kinsa sa prinsipyo.
Kagamitan sa atong "pabrika" -lit-ag. Tinubdan: Trend Micro
Wala lang namo gi-install ang hardware ug gikonektar kini sa Internet. Among giprograma ang matag controller sa paghimo sa mga buluhaton, lakip na
- pagsagol,
- pagkontrol sa burner ug conveyor belt,
- palletizing gamit ang robotic manipulator.
Ug aron mahimo nga realistiko ang proseso sa produksiyon, giprograma namon ang lohika aron random nga usbon ang mga parameter sa feedback, i-simulate ang pagsugod ug paghunong sa mga motor, ug pag-on ug pagpalong sa mga burner.
Ang among pabrika adunay tulo ka virtual nga kompyuter ug usa ka pisikal. Ang mga virtual nga kompyuter gigamit aron makontrol ang usa ka tanum, usa ka robot nga palletizer, ug ingon usa ka workstation alang sa usa ka inhenyero sa software sa PLC. Ang pisikal nga kompyuter nagtrabaho isip file server.
Dugang sa pagmonitor sa mga pag-atake sa mga PLC, gusto namong bantayan ang kahimtang sa mga programa nga gikarga sa among mga device. Aron mahimo kini, naghimo kami usa ka interface nga nagtugot kanamo nga dali nga mahibal-an kung giunsa ang mga estado sa among mga virtual actuator ug mga instalasyon giusab. Naa na sa yugto sa pagplano, among nadiskobrehan nga mas sayon ββang pagpatuman niini gamit ang control program kay pinaagi sa direktang programming sa controller logic. Among giablihan ang access sa device management interface sa among honeypot pinaagi sa VNC nga walay password.
Ang mga robot nga pang-industriya usa ka hinungdanon nga sangkap sa modernong intelihente nga paghimo. Niining bahina, nakahukom kami nga idugang ang usa ka robot ug usa ka awtomatik nga trabahoan aron makontrol kini sa mga kagamitan sa among pabrika sa lit-ag. Aron mahimo nga mas realistiko ang "pabrika", among gi-install ang tinuod nga software sa control workstation, nga gigamit sa mga inhenyero sa grapiko nga programa sa lohika sa robot. Aw, tungod kay ang mga robot sa industriya kasagaran nahimutang sa usa ka nahilit nga internal nga network, nakahukom kami nga biyaan ang walaβy proteksyon nga pag-access pinaagi sa VNC sa control workstation.
Ang palibot sa RobotStudio nga adunay 3D nga modelo sa among robot. Tinubdan: Trend Micro
Gi-install namo ang RobotStudio programming environment gikan sa ABB Robotics sa usa ka virtual machine nga adunay robot control workstation. Sa pag-configure sa RobotStudio, giablihan namo ang usa ka simulation file nga adunay among robot niini aron ang 3D nga imahe niini makita sa screen. Ingon usa ka sangputanan, ang Shodan ug uban pang mga search engine, kung makit-an ang usa ka dili sigurado nga VNC server, kuhaon kini nga imahe sa screen ug ipakita kini sa mga nangita alang sa mga robot sa industriya nga adunay bukas nga pag-access aron makontrol.
Ang punto niini nga pagtagad sa detalye mao ang paghimo og madanihon ug realistiko nga target alang sa mga tig-atake kinsa, sa higayon nga ilang makit-an kini, mobalik niini pag-usab.
Workstation sa engineer
Aron maprograma ang lohika sa PLC, gidugang namon ang usa ka computer sa engineering sa imprastraktura. Ang industriyal nga software alang sa PLC programming na-install niini:
- TIA Portal para sa Siemens,
- MicroLogix alang sa Allen-Bradley controller,
- CX-One alang sa Omron.
Kami nakahukom nga ang engineering workspace dili ma-access sa gawas sa network. Hinuon, nagbutang kami sa parehas nga password alang sa administrator account sama sa robot control workstation ug ang factory control workstation nga ma-access gikan sa Internet. Kini nga pag-configure kasagaran sa daghang mga kompanya.
Ikasubo, bisan pa sa tanan namong mga paningkamot, walay bisan usa ka tig-atake nga nakaabot sa workstation sa engineer.
File server
Gikinahanglan namo kini isip paon sa mga tig-atake ug isip paagi sa pagpaluyo sa among kaugalingong βtrabahoβ sa pabrika sa decoy. Kini nagtugot kanamo sa pagpaambit sa mga file sa among honeypot gamit ang USB device nga walay pagbilin ug pagsubay sa honeypot network. Gi-install namo ang Windows 7 Pro isip OS alang sa file server, diin naghimo kami og shared folder nga mabasa ug masulat ni bisan kinsa.
Sa sinugdan wala kami maghimo bisan unsang hierarchy sa mga folder ug mga dokumento sa file server. Bisan pa, nahibal-an namon sa ulahi nga ang mga tig-atake aktibo nga nagtuon sa kini nga folder, mao nga nakahukom kami nga pun-on kini sa lainlaing mga file. Aron mahimo kini, nagsulat kami usa ka script sa python nga naghimo usa ka file nga random nga gidak-on nga adunay usa sa gihatag nga mga extension, nga nagporma usa ka ngalan nga gibase sa diksyonaryo.
Script alang sa paghimo og madanihon nga mga ngalan sa file. Tinubdan: Trend Micro
Pagkahuman sa pagpadagan sa script, nakuha namon ang gitinguha nga sangputanan sa porma sa usa ka folder nga puno sa mga file nga adunay makapaikag kaayo nga mga ngalan.
Ang resulta sa script. Tinubdan: Trend Micro
Pag-monitor sa palibot
Tungod sa daghang paningkamot sa paghimo sa usa ka realistiko nga kompanya, dili gyud namo makaya nga mapakyas sa palibot sa pagmonitor sa among "mga bisita". Kinahanglan namon nga makuha ang tanan nga datos sa tinuud nga oras nga wala nahibal-an sa mga tig-atake nga gibantayan sila.
Gipatuman namo kini gamit ang upat ka USB to Ethernet adapters, upat ka SharkTap Ethernet tap, usa ka Raspberry Pi 3, ug usa ka dako nga external drive. Ang among network diagram ingon niini:
Diagram sa network sa Honeypot nga adunay kagamitan sa pag-monitor. Tinubdan: Trend Micro
Gipahimutang namo ang tulo ka mga gripo sa SharkTap aron mamonitor ang tanang eksternal nga trapiko sa PLC, nga ma-access lamang gikan sa internal nga network. Ang ikaupat nga SharkTap nagmonitor sa trapiko sa mga bisita sa usa ka mahuyang nga virtual machine.
SharkTap Ethernet Tap ug Sierra Wireless AirLink RV50 Router. Tinubdan: Trend Micro
Ang Raspberry Pi nagpahigayon adlaw-adlaw nga pagdakop sa trapiko. Nagkonektar kami sa Internet gamit ang Sierra Wireless AirLink RV50 cellular router, nga sagad gigamit sa industriyal nga mga negosyo.
Ikasubo, kini nga router wala magtugot kanamo sa pagpili sa pag-block sa mga pag-atake nga dili mohaum sa among mga plano, mao nga among gidugang ang usa ka Cisco ASA 5505 nga firewall sa network sa transparent nga paagi aron mahimo ang pag-block nga adunay gamay nga epekto sa network.
Pagtuki sa trapiko
Ang Tshark ug tcpdump angay alang sa dali nga pagsulbad sa karon nga mga isyu, apan sa among kaso ang ilang mga kapabilidad dili igo, tungod kay kami adunay daghang gigabytes nga trapiko, nga gisusi sa daghang mga tawo. Gigamit namo ang open-source nga Moloch analyzer nga gihimo sa AOL. Kini ikatandi sa pag-andar sa Wireshark, apan adunay daghang mga kapabilidad alang sa kolaborasyon, paghulagway ug pag-tag sa mga pakete, pag-eksport ug uban pang mga buluhaton.
Tungod kay dili namo gusto nga iproseso ang mga nakolektang datos sa mga computer sa honeypot, ang mga dump sa PCAP gi-eksport kada adlaw ngadto sa storage sa AWS, gikan sa diin na-import na namo kini ngadto sa Moloch machine.
Pagrekord sa screen
Aron idokumento ang mga aksyon sa mga hacker sa among honeypot, nagsulat kami usa ka script nga nagkuha mga screenshot sa virtual machine sa usa ka gilay-on ug, pagtandi niini sa miaging screenshot, gitino kung adunay nahitabo didto o wala. Sa diha nga ang kalihokan nakit-an, ang script naglakip sa pagrekord sa screen. Kini nga pamaagi nahimong labing epektibo. Gisulayan usab namo ang pag-analisar sa trapiko sa VNC gikan sa usa ka dump sa PCAP aron masabtan kung unsa nga mga pagbag-o ang nahitabo sa sistema, apan sa katapusan ang pagrekord sa screen nga among gipatuman nahimong mas simple ug mas makita.
Pag-monitor sa mga sesyon sa VNC
Alang niini gigamit namon ang Chaosreader ug VNCLogger. Ang duha ka mga utilities nagkuha sa mga keystroke gikan sa usa ka PCAP dump, apan ang VNCLogger nagdumala sa mga yawe sama sa Backspace, Enter, Ctrl nga mas husto.
Ang VNCLogger adunay duha ka mga disadvantages. Una: mahimo ra nga makuha ang mga yawe pinaagi sa "pagpaminaw" sa trapiko sa interface, mao nga kinahanglan namon nga i-simulate ang usa ka sesyon sa VNC alang niini gamit ang tcpreplay. Ang ikaduha nga disbentaha sa VNCLogger kasagaran sa Chaosreader: silang duha wala magpakita sa sulod sa clipboard. Aron mahimo kini kinahanglan nako nga gamiton ang Wireshark.
Gidani namo ang mga hacker
Naghimo kami og honeypot aron atakehon. Aron makab-ot kini, naghimo kami usa ka pagtulo sa kasayuran aron madani ang atensyon sa mga potensyal nga tig-atake. Ang mosunod nga mga pantalan giablihan sa honeypot:
Ang pantalan sa RDP kinahanglan nga sirado wala madugay pagkahuman sa among live tungod kay ang daghang gidaghanon sa pag-scan sa trapiko sa among network nagpahinabog mga isyu sa pasundayag.
Ang mga terminal sa VNC una nga nagtrabaho sa view-only mode nga walay password, ug unya "sa sayop" kami mibalhin kanila ngadto sa full access mode.
Aron madani ang mga tig-atake, nag-post kami og duha ka mga post nga adunay naka-leak nga kasayuran bahin sa magamit nga sistema sa industriya sa PasteBin.
Usa sa mga post nga gi-post sa PasteBin aron madani ang mga pag-atake. Tinubdan: Trend Micro
mga pag-atake
Si Honeypot nagpuyo online sulod sa mga pito ka bulan. Ang una nga pag-atake nahitabo usa ka bulan pagkahuman nag-online ang honeypot.
Mga tigbantay
Adunay daghang trapiko gikan sa mga scanner sa bantog nga mga kompanya - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye ug uban pa. Adunay daghan kaayo kanila nga kinahanglan namon nga dili iapil ang ilang mga IP adres gikan sa pagtuki: 610 sa 9452 o 6,45% sa tanan nga talagsaon nga mga adres sa IP nahisakop sa hingpit nga mga lehitimong scanner.
Mga scammer
Usa sa pinakadakong risgo nga among giatubang mao ang paggamit sa among sistema para sa kriminal nga katuyoan: pagpalit og mga smartphone pinaagi sa account sa subscriber, pag-cash out sa airline miles gamit ang mga gift card ug uban pang matang sa pagpanglimbong.
Mga minero
Usa sa unang mga bisita sa among sistema nahimong minero. Gi-download niya ang software sa pagmina sa Monero niini. Dili unta siya makahimo og daghang salapi sa atong partikular nga sistema tungod sa ubos nga produktibidad. Bisan pa, kung atong hiusahon ang mga paningkamot sa daghang dosena o bisan gatosan sa ingon nga mga sistema, mahimoβg maayo ang sangputanan.
Ransomware
Atol sa pagtrabaho sa honeypot, nakatagbo kami sa tinuod nga ransomware nga mga virus sa makaduha. Sa unang kaso kini si Crysis. Ang mga operator niini naka-log in sa sistema pinaagi sa VNC, apan gi-install dayon ang TeamViewer ug gigamit kini sa paghimo og dugang nga mga aksyon. Human maghulat alang sa usa ka mensahe sa pagpangilkil nga nangayo ug usa ka lukat nga $10 sa BTC, misulod kami sa mga sulat sa mga kriminal, nga naghangyo kanila sa pag-decrypt sa usa sa mga file alang kanamo. Ilang gituman ang hangyo ug gisubli ang gipangayo nga lukat. Nahimo namon ang negosasyon hangtod sa 6 ka libo nga dolyar, pagkahuman gi-upload ra namon ang sistema sa usa ka virtual nga makina, tungod kay nadawat namon ang tanan nga kinahanglan nga kasayuran.
Ang ikaduha nga ransomware nahimo nga Phobos. Ang hacker nga nag-instalar niini migugol ug usa ka oras sa pag-browse sa honeypot file system ug pag-scan sa network, ug sa kataposan gi-install ang ransomware.
Ang ikatulo nga pag-atake sa ransomware nahimo nga peke. Usa ka wala mailhi nga "hacker" nag-download sa haha.bat nga file sa among sistema, pagkahuman nagtan-aw kami sa makadiyot samtang gisulayan niya kini nga molihok. One of the attempts is to rename haha.bat to haha.rnsmwr.
Ang "hacker" nagdugang sa kadaot sa bat file pinaagi sa pagbag-o sa extension niini ngadto sa .rnsmwr. Tinubdan: Trend Micro
Sa diha nga ang batch file sa katapusan nagsugod sa pagdagan, ang "hacker" nag-edit niini, nagdugang sa lukat gikan sa $200 ngadto sa $750. Pagkahuman niana, "gi-encrypt" niya ang tanan nga mga file, nagbilin usa ka mensahe sa pagpangilkil sa desktop ug nawala, gibag-o ang mga password sa among VNC.
Pipila ka adlaw ang milabay, ang hacker mibalik ug, sa pagpahinumdom sa iyang kaugalingon, naglunsad og usa ka batch file nga nag-abli sa daghang mga bintana nga adunay porn site. Dayag, niining paagiha naningkamot siya sa pagdani sa pagtagad sa iyang gipangayo.
Mga resulta
Atol sa pagtuon, nahimo nga sa diha nga ang kasayuran bahin sa pagkahuyang gipatik, ang honeypot nakadani sa atensyon, nga adunay kalihokan nga nagtubo adlaw-adlaw. Aron makuha ang atensyon sa lit-ag, ang among tinumotumo nga kompanya kinahanglan nga mag-antus sa daghang mga paglapas sa seguridad. Ikasubo, kini nga sitwasyon dili kasagaran sa daghang mga tinuod nga kompanya nga walay full-time nga IT ug mga empleyado sa seguridad sa impormasyon.
Sa kinatibuk-an, kinahanglan nga gamiton sa mga organisasyon ang prinsipyo nga labing gamay nga pribilehiyo, samtang gipatuman namon ang eksaktong kaatbang niini aron madani ang mga tig-atake. Ug sa kadugay nga among gitan-aw ang mga pag-atake, labi ka labi ka sopistikado kung itandi sa naandan nga mga pamaagi sa pagsulay sa pagsulod.
Ug ang labing hinungdanon, ang tanan nga kini nga mga pag-atake mapakyas kung adunay igo nga mga lakang sa seguridad nga gipatuman sa pag-set up sa network. Kinahanglang sigurohon sa mga organisasyon nga ang ilang mga ekipo ug mga sangkap sa imprastraktura sa industriya dili ma-access gikan sa Internet, sama sa espesipikong gihimo sa among lit-ag.
Bisan kung wala kami natala nga usa ka pag-atake sa workstation sa usa ka engineer, bisan pa sa paggamit sa parehas nga password sa lokal nga tagdumala sa tanan nga mga kompyuter, kini nga praktis kinahanglan likayan aron maminusan ang posibilidad sa mga pagsulod. Human sa tanan, ang huyang nga seguridad nagsilbi nga usa ka dugang nga pagdapit sa pag-atake sa mga sistema sa industriya, nga dugay na nga interesado sa mga cybercriminals.
Source: www.habr.com