L'imprese antivirus, l'esperti in securità di l'infurmazioni è i simplici entusiastici mettenu sistemi di honeypot in Internet per "catturà" una nova variante di u virus o identificà tattiche di pirate inusuali. Honeypots sò cusì cumuni chì i cibercriminali anu sviluppatu un tipu d'immunità: identificanu rapidamente ch'elli sò davanti à una trappula è solu ignoranu. Per scopra e tattiche di i pirate muderni, avemu creatu un honeypot realistu chì hà campatu in Internet per sette mesi, attraendu una varietà di attacchi. Avemu parlatu di cumu questu hè accadutu in u nostru studiu "" Certi fatti da u studiu sò in questu post.
Sviluppu di Honeypot: lista di cuntrollu
U compitu principale in a creazione di u nostru supertrap era di impedisce di esse esposti da i pirate chì anu manifestatu interessu in questu. Questu hà bisognu di assai travagliu:
- Crea una legenda realistica nantu à a cumpagnia, cumpresi nomi completi è foto di l'impiegati, numeri di telefunu è email.
- Per vene è implementà un mudellu di infrastruttura industriale chì currisponde à a legenda nantu à l'attività di a nostra cumpagnia.
- Decide chì i servizii di rete seranu accessibili da l'esternu, ma ùn lasciate micca purtatu cù l'apertura di i porti vulnerabili in modu chì ùn pare micca una trappula per i suckers.
- Organizà a visibilità di e fughe d'infurmazioni nantu à un sistema vulnerabile è distribuisce sta informazione trà i putenziali attaccanti.
- Implementa un monitoraghju discretu di l'attività di pirate in l'infrastruttura di honeypot.
È avà prima cosa prima.
Crià una legenda
I cibercriminali sò digià abituati à scontru assai honeypots, cusì a parte più avanzata di elli conduce una investigazione approfondita di ogni sistema vulnerabile per assicurà chì ùn hè micca una trappula. Per a listessa ragione, avemu cercatu di assicurà chì u honeypot ùn era micca solu realistu in quantu à u disignu è l'aspettu tecnicu, ma ancu per creà l'apparenza di una vera cumpagnia.
Mettendu in i scarpi di un pirate ipoteticu cool, avemu sviluppatu un algoritmu di verificazione chì distingue un sistema veru da una trappula. Hè inclusu a ricerca di l'indirizzi IP di l'impresa in i sistemi di reputazione, a ricerca inversa in a storia di l'indirizzi IP, a ricerca di nomi è e parolle chjave ligati à a cumpagnia, è ancu i so contrapartiti, è parechje altre cose. In u risultatu, a legenda hè stata cunvinta è attrattiva.
Avemu decisu di pusà a fabbrica di decoy cum'è una piccula boutique di prototipu industriale chì travaglia per i clienti anonimi assai grandi in u segmentu militare è aviazione. Questu ci hà liberatu da e cumplicazioni legali assuciate cù l'usu di una marca esistente.
In seguitu avemu avutu cun una visione, missione è nome per l'urganizazione. Avemu decisu chì a nostra cumpagnia seria una startup cù un picculu numeru di impiegati, ognunu di i quali hè un fundatore. Questa credibilità aghjunta à a storia di a natura specializata di a nostra attività, chì permette di gestisce prughjetti sensibili per i clienti grandi è impurtanti. Vulemu chì a nostra sucietà pareva debule da una perspettiva di cibersecurità, ma à u stessu tempu era evidenti chì avemu travagliatu cù assi impurtanti nantu à i sistemi di destinazione.
Screenshot di u situ web di MeTech Honeypot. Fonte: Trend Micro
Avemu sceltu a parolla MeTech cum'è u nome di a cumpagnia. U situ hè statu fattu basatu annantu à un mudellu gratuitu. L'imaghjini sò stati pigliati da i banche di foto, aduprendu i più impopularii è mudificate per fà elli menu ricunnisciuti.
Vulemu chì l'impresa paressi reale, cusì avemu bisognu di aghjunghje impiegati cù cumpetenze prufessiunali chì currispondenu à u prufilu di l'attività. Avemu ghjuntu cù nomi è persunalità per elli è dopu pruvatu à selezziunà l'imaghjini da i banche di foto secondu l'etnia.
Screenshot di u situ web di MeTech Honeypot. Fonte: Trend Micro
Per ùn esse scupertu, avemu cercatu ritratti di gruppu di bona qualità da quale pudemu sceglie e facci chì avemu bisognu. In ogni casu, avemu abbandunatu sta opzione, postu chì un pirate potenziale puderia usà a ricerca inversa di l'imaghjini è scopre chì i nostri "impiegati" campanu solu in banche di foto. À a fine, avemu usatu ritratti di persone inesistenti create cù e rete neurali.
I profili di l'impiegati pubblicati in u situ includenu infurmazioni impurtanti nantu à e so cumpetenze tecniche, ma avemu evitatu di identificà scole o cità specifiche.
Per creà mailboxes, avemu utilizatu un servitore di u fornitore di hosting, è dopu allughjatu parechji numeri di telefuni in i Stati Uniti è cumminati in un PBX virtuale cù un menu di voce è una risposta.
Infrastruttura Honeypot
Per evità l'esposizione, avemu decisu d'utilizà una cumminazione di hardware industriale reale, computer fisici è macchine virtuali sicure. Fighjendu avanti, diceremu chì avemu verificatu u risultatu di i nostri sforzi cù u mutore di ricerca Shodan, è hà dimustratu chì u honeypot s'assumiglia à un veru sistema industriale.
U risultatu di scanning un honeypot cù Shodan. Fonte: Trend Micro
Avemu usatu quattru PLC cum'è hardware per a nostra trappula:
- Siemens S7-1200,
- dui AllenBradley MicroLogix 1100,
- Omron CP1L.
Questi PLC sò stati scelti per a so popularità in u mercatu globale di sistemi di cuntrollu. È ognunu di sti cuntrolli utilizeghja u so propiu protokollu, chì ci hà permessu di verificà quale di i PLC seranu attaccati più spessu è s'ellu interessanu à qualchissia in principiu.
Equipamentu di a nostra "fabbrica"-trappula. Fonte: Trend Micro
Ùn avemu micca solu installatu hardware è cunnette à Internet. Avemu programatu ogni controller per fà e so attività, cumprese
- mischjà,
- cuntrollu di bruciatore è cinturione trasportatore,
- palletizing cù un manipulatore roboticu.
È per fà u prucessu di produzzione realisticu, avemu programatu una logica per cambià in modu aleatoriu i paràmetri di feedback, simulà i mutori chì partenu è si fermanu, è i bruciatori accendenu è spegnenu.
A nostra fabbrica avia trè computer virtuale è unu fisicu. L'urdinatori virtuali sò stati utilizati per cuntrullà una pianta, un robot paletizer, è cum'è una stazione di travagliu per un ingegnere di software PLC. L'urdinatore fisicu hà travagliatu cum'è un servitore di file.
In più di monitorà l'attacchi à i PLC, avemu vulutu monitorizà u statutu di i prugrammi caricati nantu à i nostri dispositi. Per fà questu, avemu creatu una interfaccia chì ci hà permessu di determinà rapidamente cumu i stati di i nostri attuatori virtuali è paràmetri sò stati mudificati. Dighjà in u stadiu di pianificazione, avemu scupertu chì hè assai più faciule per implementà questu utilizendu un prugramma di cuntrollu cà attraversu a prugrammazione diretta di a logica di u controller. Avemu apertu l'accessu à l'interfaccia di gestione di u dispositivu di u nostru honeypot via VNC senza password.
I robot industriali sò un cumpunente chjave di a fabricazione intelligente muderna. In questu sensu, avemu decisu di aghjunghje un robot è un locu di travagliu automatizatu per cuntrullà à l'equipaggiu di a nostra fabbrica di trappule. Per fà a "fabbrica" più realistica, avemu stallatu un veru software in a stazione di travagliu di cuntrollu, chì l'ingegneri utilizanu per programà graficamente a logica di u robot. Ebbè, postu chì i robot industriali sò generalmente situati in una reta interna isolata, avemu decisu di lascià l'accessu senza prutezzione via VNC solu à a stazione di travagliu di cuntrollu.
Ambiente RobotStudio cù un mudellu 3D di u nostru robot. Fonte: Trend Micro
Avemu installatu l'ambiente di prugrammazione RobotStudio da ABB Robotics in una macchina virtuale cù una stazione di travagliu di cuntrollu di robot. Dopu avè cunfiguratu RobotStudio, avemu apertu un schedariu di simulazione cù u nostru robot in questu in modu chì a so maghjina 3D era visibile nantu à u screnu. In u risultatu, Shodan è altri motori di ricerca, dopu avè rilevatu un servitore VNC micca assicuratu, catturà sta maghjina di schermu è a mostra à quelli chì cercanu robot industriali cù accessu apertu à u cuntrollu.
U puntu di questa attenzione à i dettagli era di creà un mira attraente è realistu per l'attaccanti chì, una volta chì l'anu trovu, tornanu à ellu una volta è una volta.
Postu di travagliu di l'ingegnere
Per programà a logica PLC, avemu aghjustatu un computer di ingegneria à l'infrastruttura. U software industriale per a prugrammazione PLC hè statu installatu nantu à questu:
- TIA Portal per Siemens,
- MicroLogix per u controller Allen-Bradley,
- CX-One per Omron.
Avemu decisu chì u spaziu di travagliu di l'ingenieria ùn saria micca accessibile fora di a reta. Invece, avemu stabilitu a stessa password per u contu amministratore cum'è nantu à a stazione di travagliu di cuntrollu di robot è a stazione di travagliu di cuntrollu di fabbrica accessibile da Internet. Sta cunfigurazione hè abbastanza cumuna in parechje cumpagnie.
Sfurtunatamente, malgradu tutti i nostri sforzi, micca un solu attaccante hà ghjuntu à a stazione di travagliu di l'ingegnere.
Servitore di file
Avemu bisognu cum'è un esca per l'attaccanti è cum'è un mezzu di salvezza di u nostru propiu "travagliu" in a fabbrica di decoy. Questu ci hà permessu di sparte i fugliali cù u nostru honeypot cù i dispositi USB senza lascià una traccia nantu à a reta di honeypot. Avemu stallatu Windows 7 Pro cum'è OS per u servitore di schedari, in quale avemu creatu un cartulare spartutu chì pò esse lettu è scrittu da qualcunu.
À u principiu ùn avemu micca creatu alcuna gerarchia di cartulare è documenti nantu à u servitore di schedari. Tuttavia, dopu avemu scupertu chì l'attaccanti studiavanu attivamente stu cartulare, cusì avemu decisu di riempillu cù diversi schedari. Per fà questu, avemu scrittu un script python chì hà creatu un schedariu di dimensione aleatoria cù una di l'estensioni datu, furmendu un nome basatu annantu à u dizziunariu.
Script per generà nomi di file attraenti. Fonte: Trend Micro
Dopu avè eseguitu u script, avemu u risultatu desideratu in a forma di un cartulare pienu di schedari cù nomi assai interessanti.
U risultatu di u script. Fonte: Trend Micro
Ambiente di monitoraghju
Dopu avè passatu tantu sforzu per creà una cumpagnia realistica, ùn pudemu micca permette di fallu in l'ambiente per u monitoraghju di i nostri "visitatori". Avemu bisognu di ottene tutte e dati in tempu reale senza chì l'attaccanti capiscenu chì eranu stati guardati.
Avemu implementatu questu utilizendu quattru adattatori USB à Ethernet, quattru taps Ethernet SharkTap, un Raspberry Pi 3, è un grande discu esternu. U nostru diagramma di rete pareva cusì:
Diagramma di a rete Honeypot cù l'equipaggiu di monitoraghju. Fonte: Trend Micro
Avemu posizionatu trè taps SharkTap in modu di monitorà tuttu u trafficu esternu à u PLC, accessibile solu da a reta interna. U quartu SharkTap hà monitoratu u trafficu di l'invitati di una macchina virtuale vulnerabile.
SharkTap Ethernet Tap è Sierra Wireless AirLink RV50 Router. Fonte: Trend Micro
Raspberry Pi hà realizatu a cattura di trafficu ogni ghjornu. Avemu cunnessu à Internet utilizendu un router cellulare Sierra Wireless AirLink RV50, spessu usatu in imprese industriali.
Sfurtunatamente, stu router ùn ci hà micca permessu di bluccà selettivamente attacchi chì ùn currispondenu micca à i nostri piani, cusì avemu aghjustatu un Cisco ASA 5505 firewall à a reta in modu trasparente per eseguisce bluccatu cù un impattu minimu in a reta.
Analisi di u trafficu
Tshark è tcpdump sò adattati per risolve rapidamente i prublemi attuali, ma in u nostru casu e so capacità ùn eranu micca abbastanza, postu chì avemu avutu assai gigabytes di trafficu, chì anu analizatu da parechje persone. Avemu usatu l'analizzatore Moloch open-source sviluppatu da AOL. Hè paragunabile in funziunalità à Wireshark, ma hà più capacità per a cullaburazione, descrizzione è tagging pacchetti, esportazione è altre attività.
Siccomu ùn vuliamu micca processà e dati raccolti nantu à i computer honeypot, i dumps di PCAP sò stati esportati ogni ghjornu in u almacenamentu AWS, da induve l'avemu digià impurtatu nantu à a macchina Moloch.
Arregistramentu di u schermu
Per documentà l'azzioni di i pirate in u nostru honeypot, avemu scrittu un script chì hà pigliatu screenshots di a macchina virtuale à un intervallu determinatu è, paragunendu cù a screenshot precedente, hà determinatu s'ellu era qualcosa chì succede o micca. Quandu l'attività hè stata rilevata, u script includeva a registrazione di u screnu. Stu approcciu hè diventatu u più efficace. Avemu ancu pruvatu à analizà u trafficu VNC da un dump PCAP per capisce ciò chì i cambiamenti avianu accadutu in u sistema, ma à a fine a registrazione di u screnu chì avemu implementatu hè stata più simplice è visuale.
Monitoraghju di e sessioni VNC
Per questu avemu usatu Chaosreader è VNCLogger. E duie utilità estrae i tasti da un dump PCAP, ma VNCLogger gestisce i chjavi cum'è Backspace, Enter, Ctrl più currettamente.
VNCLogger hà dui svantaghji. Prima: pò esse estratti i chjavi solu "ascoltendu" u trafficu nantu à l'interfaccia, cusì avemu avutu a simulazione di una sessione VNC per questu utilizendu tcpreplay. U sicondu svantaghju di VNCLogger hè cumunu cù Chaosreader: tramindui ùn mostranu micca u cuntenutu di u clipboard. Per fà questu, aghju avutu aduprà Wireshark.
Attramu i pirate
Avemu creatu honeypot per esse attaccatu. Per ottene questu, avemu misu in scena una fuga d'infurmazioni per attruverà l'attenzione di i putenziali attaccanti. I porti seguenti sò stati aperti nantu à honeypot:
U portu RDP hà da esse chjusu pocu dopu chì andemu in diretta perchè a quantità massiva di u trafficu di scanning in a nostra reta causava prublemi di rendiment.
I terminali VNC prima travagliavanu in modu di vista solu senza password, è dopu avemu cambiatu "per errore" à u modu di accessu cumpletu.
Per attruverà l'attaccanti, avemu publicatu dui posti cù infurmazione filtrata nantu à u sistema industriale dispunibule nantu à PasteBin.
Unu di i posti publicati nantu à PasteBin per attruverà attacchi. Fonte: Trend Micro
attacchi
Honeypot hà campatu in linea per circa sette mesi. U primu attaccu hè accadutu un mesi dopu chì Honeypot hè andatu in linea.
Scanners
Ci era assai trafficu da scanners di cumpagnie famose - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye è altri. Ci era tanti di elli chì avemu avutu à escludiri i so indirizzi IP da l'analisi: 610 fora di 9452 o 6,45% di tutti l'indirizzi IP unichi appartenenu à scanners completamente legittimi.
Scammatori
Unu di i più grandi risichi chì avemu affruntatu hè l'usu di u nostru sistema per scopi criminali: per cumprà smartphones attraversu un contu di l'abbonatu, cash out miles airline using gift cards è altri tipi di frode.
Minatori
Unu di i primi visitori à u nostru sistema hè diventatu un minatore. Hà scaricatu u software di mining Monero nantu à questu. Ùn avissi micca pussutu fà assai soldi nantu à u nostru sistema particulari per via di a produtividade bassa. Tuttavia, se unimu i sforzi di parechje decine o ancu centinaie di tali sistemi, puderia esse abbastanza bè.
Ransomware
Durante u travagliu di honeypot, avemu scontru veri virus ransomware duie volte. In u primu casu era Crysis. I so operatori anu logatu in u sistema via VNC, ma dopu installatu TeamViewer è l'utilizanu per fà più azzioni. Dopu aspittendu un missaghju d'estorsione chì esigeva un riscattu di $ 10 6 in BTC, avemu entratu in currispundenza cù i criminali, dumandendu à decrypt unu di i schedari per noi. Anu cumpostu cù a dumanda è ripetutu a dumanda di riscattu. Avemu riesciutu à negocià finu à XNUMX mila dollari, dopu à quale avemu solu ricaricatu u sistema à una macchina virtuale, postu chì avemu ricevutu tutte l'infurmazioni necessarii.
U sicondu ransomware hè diventatu Phobos. U pirate chì l'hà stallatu hà passatu una ora per navigà in u sistema di schedarii di honeypot è scannendu a reta, è infine hà stallatu u ransomware.
U terzu attaccu di ransomware hè statu falsu. Un "pirate" scunnisciutu hà telecaricatu u schedariu haha.bat nantu à u nostru sistema, dopu chì avemu vistu per un pezzu mentre pruvava à fà u travagliu. Unu di i tentativi era di rinominà haha.bat à haha.rnsmwr.
U "pirate" aumenta u dannusu di u schedariu bat da cambià a so estensione à .rnsmwr. Fonte: Trend Micro
Quandu u schedariu batch hà finalmente cuminciatu à curriri, u "pirate" l'hà editatu, aumentendu u riscattu da $ 200 à $ 750. Dopu questu, hà "cifratu" tutti i fugliali, lasciò un missaghju d'estorsione nantu à u desktop è sparì, cambiendu e password in u nostru VNC.
Un paru di ghjorni dopu, u pirate hà tornatu è, per ricurdà, hà lanciatu un schedariu batch chì hà apertu parechje finestri cù un situ porn. Apparentemente, in questu modu hà pruvatu à attirà l'attenzione à a so dumanda.
Risultati
Duranti u studiu, hè risultatu chì appena l'infurmazione nantu à a vulnerabilità hè stata publicata, honeypot hà attiratu l'attenzione, cù l'attività chì cresce ghjornu per ghjornu. Per chì a trappula guadagnà l'attenzione, a nostra sucietà fittizia hà da soffre parechje violazioni di sicurezza. Sfurtunatamente, sta situazione hè luntanu da esse pocu cumuni trà parechje cumpagnie reali chì ùn anu micca impiegati à tempu pienu di l'informatica è di a sicurità di l'infurmazioni.
In generale, l'urganisazione anu da aduprà u principiu di u minimu privilegiu, mentre chì avemu implementatu l'esattu oppostu per attruverà l'attaccanti. È più avemu fighjatu l'attacchi, più sò diventati sofisticati paragunati à i metudi di prova di penetrazione standard.
È più importantemente, tutti questi attacchi avarianu fiascatu s'ellu era statu implementatu e misure di sicurezza adeguate durante a stallazione di a reta. L'urganisazioni devenu assicurà chì i so equipaghji è i cumpunenti di l'infrastruttura industriale ùn sò micca accessibili da Internet, cum'è avemu fattu specificamente in a nostra trappula.
Ancu s'ellu ùn avemu micca registratu un unicu attaccu à a stazione di travagliu di l'ingegnere, malgradu l'usu di a stessa password di l'amministratore locale in tutti l'urdinatori, sta pratica deve esse evitata per minimizzà a pussibilità di intrusioni. Dopu tuttu, a sicurezza debule serve cum'è un invitu supplementu à attaccà i sistemi industriali, chì anu longu interessu à i cibercriminali.
Source: www.habr.com