Antivirové společnosti, odborníci na informační bezpečnost a prostě nadšenci umísťují na internet systémy honeypot, aby „chytili“ novou variantu viru nebo identifikovali neobvyklé hackerské taktiky. Honeypoty jsou tak běžné, že si kyberzločinci vytvořili určitou imunitu: rychle zjistí, že jsou před pastí, a jednoduše ji ignorují. Abychom prozkoumali taktiky moderních hackerů, vytvořili jsme realistický honeypot, který žil na internetu sedm měsíců a přitahoval různé útoky. Mluvili jsme o tom, jak se to stalo v naší studii “" Některá fakta ze studie jsou v tomto příspěvku.
Vývoj medové nádoby: kontrolní seznam
Hlavním úkolem při vytváření naší superpasti bylo zabránit tomu, abychom byli odhaleni hackery, kteří o to projevili zájem. To vyžadovalo hodně práce:
- Vytvořte realistickou legendu o společnosti, včetně celých jmen a fotografií zaměstnanců, telefonních čísel a e-mailů.
- Vymyslet a implementovat model průmyslové infrastruktury, který odpovídá legendě o činnosti naší společnosti.
- Rozhodněte se, které síťové služby budou přístupné zvenčí, ale nenechte se unést otevíráním zranitelných portů, aby to nevypadalo jako past na savce.
- Uspořádejte viditelnost úniků informací o zranitelném systému a distribuujte tyto informace mezi potenciální útočníky.
- Implementujte diskrétní monitorování aktivit hackerů v infrastruktuře honeypotů.
A teď o všem v pořádku.
Vytvoření legendy
Kyberzločinci jsou již zvyklí setkávat se s mnoha honeypoty, takže jejich nejpokročilejší část provádí hloubkové vyšetřování každého zranitelného systému, aby se ujistila, že nejde o past. Ze stejného důvodu jsme usilovali o to, aby honeypot byl nejen realistický po designové a technické stránce, ale aby také vytvářel podobu skutečné firmy.
Vžili jsme se do kůže hypotetického cool hackera a vyvinuli jsme ověřovací algoritmus, který by odlišil skutečný systém od pasti. Zahrnovalo vyhledávání firemních IP adres v reputačních systémech, zpětný průzkum historie IP adres, hledání jmen a klíčových slov souvisejících s firmou, ale i jejími protistranami a mnoho dalších věcí. Ve výsledku se legenda ukázala jako docela přesvědčivá a atraktivní.
Rozhodli jsme se umístit továrnu na návnady jako malý průmyslový prototypový butik pracující pro velmi velké anonymní klienty v segmentu armády a letectví. Tím jsme se zbavili právních komplikací spojených s používáním existující značky.
Dále jsme museli vymyslet vizi, poslání a název organizace. Rozhodli jsme se, že naše společnost bude startup s malým počtem zaměstnanců, z nichž každý je zakladatelem. To dodalo na důvěryhodnosti příběhu specializovaného charakteru našeho podnikání, který mu umožňuje řešit citlivé projekty pro velké a významné klienty. Chtěli jsme, aby se naše společnost jevila jako slabá z pohledu kybernetické bezpečnosti, ale zároveň bylo zřejmé, že pracujeme s důležitými aktivy na cílových systémech.
Snímek obrazovky webu MeTech honeypot. Zdroj: Trend Micro
Jako název společnosti jsme zvolili slovo MeTech. Stránka byla vytvořena na základě bezplatné šablony. Snímky byly pořízeny z fotobank, přičemž byly použity ty neoblíbenější a upraveny tak, aby byly méně rozpoznatelné.
Chtěli jsme, aby společnost vypadala reálně, takže jsme potřebovali přidat zaměstnance s odbornými dovednostmi, které odpovídají profilu činnosti. Vymýšleli jsme jim jména a osobnosti a následně zkoušeli vybírat snímky z fotobank podle etnicity.
Snímek obrazovky webu MeTech honeypot. Zdroj: Trend Micro
Abychom nebyli odhaleni, hledali jsme kvalitní skupinové fotografie, ze kterých jsme si mohli vybrat tváře, které jsme potřebovali. Poté jsme však tuto možnost opustili, protože případný hacker by mohl použít reverzní vyhledávání obrázků a zjistit, že naši „zaměstnanci“ žijí pouze ve fotobankách. Nakonec jsme použili fotografie neexistujících lidí vytvořené pomocí neuronových sítí.
Profily zaměstnanců zveřejněné na webu obsahovaly důležité informace o jejich technických dovednostech, ale vyhnuli jsme se identifikaci konkrétních škol nebo měst.
K vytvoření poštovních schránek jsme použili server poskytovatele hostingu a poté jsme si pronajali několik telefonních čísel ve Spojených státech a spojili je do virtuální PBX s hlasovým menu a záznamníkem.
Infrastruktura Honeypot
Abychom se vyhnuli odhalení, rozhodli jsme se použít kombinaci skutečného průmyslového hardwaru, fyzických počítačů a zabezpečených virtuálních strojů. Při pohledu do budoucna řekneme, že jsme výsledek našeho snažení zkontrolovali pomocí vyhledávače Shodan a ukázalo se, že honeypot vypadá jako skutečný průmyslový systém.
Výsledek skenování honeypotu pomocí Shodan. Zdroj: Trend Micro
Jako hardware pro naši past jsme použili čtyři PLC:
- Siemens S7-1200,
- dva AllenBradley MicroLogix 1100,
- Omron CP1L.
Tyto PLC byly vybrány pro svou popularitu na globálním trhu řídicích systémů. A každý z těchto řadičů používá svůj protokol, což nám umožnilo zkontrolovat, které z PLC bude častěji napadáno a zda by v zásadě někoho zajímalo.
Vybavení naší „tovární“ pasti. Zdroj: Trend Micro
Neinstalovali jsme pouze hardware a připojili jej k internetu. Každý ovladač jsme naprogramovali tak, aby vykonával úkoly, včetně
- míchání,
- ovládání hořáku a dopravníkového pásu,
- paletizace pomocí robotického manipulátoru.
A aby byl výrobní proces realistický, naprogramovali jsme logiku tak, aby náhodně měnila parametry zpětné vazby, simulovala spouštění a zastavování motorů a zapínání a vypínání hořáků.
Naše továrna měla tři virtuální počítače a jeden fyzický. Virtuální počítače byly použity k řízení závodu, paletizačního robota a jako pracovní stanice pro softwarového inženýra PLC. Fyzický počítač fungoval jako souborový server.
Kromě sledování útoků na PLC jsme chtěli sledovat stav programů nahraných na našich zařízeních. Za tímto účelem jsme vytvořili rozhraní, které nám umožnilo rychle určit, jak byly modifikovány stavy našich virtuálních aktuátorů a instalací. Již ve fázi plánování jsme zjistili, že je mnohem jednodušší to implementovat pomocí řídicího programu než přímým programováním logiky regulátoru. Otevřeli jsme přístup k rozhraní správy zařízení našeho honeypotu přes VNC bez hesla.
Průmyslové roboty jsou klíčovou součástí moderní chytré výroby. V tomto ohledu jsme se rozhodli přidat do vybavení naší továrny na pasti robota a automatizované pracoviště pro jeho ovládání. Aby byla „továrna“ realističtější, nainstalovali jsme na řídicí pracovní stanici skutečný software, který inženýři používají ke grafickému programování logiky robota. Protože jsou průmyslové roboty obvykle umístěny v izolované vnitřní síti, rozhodli jsme se ponechat nechráněný přístup přes VNC pouze řídicí pracovní stanici.
Prostředí RobotStudio s 3D modelem našeho robota. Zdroj: Trend Micro
Nainstalovali jsme programovací prostředí RobotStudio od ABB Robotics na virtuální stroj s pracovní stanicí pro řízení robota. Po nakonfigurování RobotStudia jsme otevřeli simulační soubor s naším robotem, takže jeho 3D obraz byl viditelný na obrazovce. Výsledkem je, že Shodan a další vyhledávače po detekci nezabezpečeného serveru VNC uchopí tento obrázek na obrazovce a zobrazí jej těm, kteří hledají průmyslové roboty s otevřeným přístupem k ovládání.
Smyslem této pozornosti k detailu bylo vytvořit atraktivní a realistický cíl pro útočníky, kteří se k němu, jakmile ho najdou, znovu a znovu vracejí.
Inženýrské pracoviště
Pro programování PLC logiky jsme do infrastruktury přidali inženýrský počítač. Byl na něm nainstalován průmyslový software pro programování PLC:
- Portál TIA pro Siemens,
- MicroLogix pro řadič Allen-Bradley,
- CX-One pro Omron.
Rozhodli jsme se, že inženýrské pracoviště nebude přístupné mimo síť. Místo toho jsme pro účet správce nastavili stejné heslo jako na pracovní stanici řízení robota a pracovní stanici řízení továrny přístupné z internetu. Tato konfigurace je v mnoha společnostech zcela běžná.
Bohužel, přes veškerou naši snahu se k inženýrově pracovní stanici nedostal ani jeden útočník.
Souborový server
Potřebovali jsme to jako návnadu pro útočníky a jako prostředek k zálohování naší vlastní „práce“ v továrně na návnady. To nám umožnilo sdílet soubory s naším honeypotem pomocí zařízení USB bez zanechání stopy v síti honeypot. Nainstalovali jsme Windows 7 Pro jako OS pro souborový server, ve kterém jsme vytvořili sdílenou složku, kterou může číst a zapisovat kdokoli.
Zpočátku jsme nevytvářeli žádnou hierarchii složek a dokumentů na souborovém serveru. Později jsme však zjistili, že útočníci tuto složku aktivně studovali, a tak jsme se rozhodli ji zaplnit různými soubory. Za tímto účelem jsme napsali python skript, který vytvořil soubor náhodné velikosti s jednou z daných přípon tvořící název na základě slovníku.
Skript pro generování atraktivních názvů souborů. Zdroj: Trend Micro
Po spuštění skriptu jsme dostali požadovaný výsledek v podobě složky naplněné soubory s velmi zajímavými názvy.
Výsledek scénáře. Zdroj: Trend Micro
Monitorovací prostředí
Když jsme vynaložili tolik úsilí na vytvoření realistické společnosti, prostě jsme si nemohli dovolit selhat v prostředí pro monitorování našich „návštěvníků“. Potřebovali jsme získat všechna data v reálném čase, aniž by si útočníci uvědomili, že jsou sledováni.
Implementovali jsme to pomocí čtyř adaptérů USB na Ethernet, čtyř ethernetových odbočovačů SharkTap, Raspberry Pi 3 a velkého externího disku. Náš síťový diagram vypadal takto:
Schéma sítě Honeypot s monitorovacím zařízením. Zdroj: Trend Micro
Tři odbočky SharkTap jsme umístili tak, abychom monitorovali veškerý externí provoz do PLC, přístupný pouze z vnitřní sítě. Čtvrtý SharkTap monitoroval provoz hostů zranitelného virtuálního stroje.
SharkTap Ethernet Tap a Sierra Wireless AirLink RV50 Router. Zdroj: Trend Micro
Raspberry Pi provádělo denní zachycení provozu. K internetu jsme se připojili pomocí mobilního routeru Sierra Wireless AirLink RV50, často používaného v průmyslových podnicích.
Tento router nám bohužel neumožnil selektivně blokovat útoky, které neodpovídaly našim plánům, a tak jsme do sítě přidali firewall Cisco ASA 5505 v transparentním režimu, abychom prováděli blokování s minimálním dopadem na síť.
Analýza provozu
Tshark a tcpdump jsou vhodné pro rychlé řešení aktuálních problémů, ale v našem případě jejich schopnosti nestačily, protože jsme měli mnoho gigabajtů provozu, který analyzovalo několik lidí. Použili jsme open-source analyzátor Moloch vyvinutý společností AOL. Funkčností je srovnatelný s Wiresharkem, ale má více možností pro spolupráci, popisování a označování balíčků, export a další úkoly.
Protože jsme nechtěli nasbíraná data zpracovávat na počítačích honeypot, byly PCAP skládky exportovány každý den do úložiště AWS, odkud jsme je již importovali na stroj Moloch.
Záznam obrazovky
Abychom zdokumentovali počínání hackerů v našem honeypotu, napsali jsme skript, který v daném intervalu pořizoval screenshoty virtuálního stroje a porovnáním s předchozím screenshotem určil, zda se tam něco děje nebo ne. Když byla zjištěna aktivita, skript zahrnoval záznam obrazovky. Tento přístup se ukázal jako nejúčinnější. Pokusili jsme se také analyzovat provoz VNC z výpisu PCAP, abychom pochopili, jaké změny v systému nastaly, ale nakonec se ukázalo, že záznam obrazovky, který jsme implementovali, byl jednodušší a vizuálnější.
Sledování relací VNC
K tomu jsme použili Chaosreader a VNCLogger. Oba nástroje extrahují úhozy z výpisu PCAP, ale VNCLogger zpracovává klávesy jako Backspace, Enter, Ctrl správněji.
VNCLogger má dvě nevýhody. Za prvé: dokáže extrahovat klíče pouze „nasloucháním“ provozu na rozhraní, takže jsme pro něj museli simulovat relaci VNC pomocí tcpreplay. Druhá nevýhoda VNCLoggeru je společná s Chaosreaderem: oba nezobrazují obsah schránky. K tomu jsem musel použít Wireshark.
Lákáme hackery
Vytvořili jsme honeypot, abychom byli napadeni. Abychom toho dosáhli, zinscenovali jsme únik informací, abychom přilákali pozornost potenciálních útočníků. Na honeypotu byly otevřeny následující porty:
Port RDP musel být uzavřen krátce po uvedení do provozu, protože obrovské množství skenovacího provozu v naší síti způsobovalo problémy s výkonem.
Terminály VNC nejprve fungovaly v režimu pouze pro prohlížení bez hesla a poté jsme je „omylem“ přepnuli do režimu plného přístupu.
Abychom přilákali útočníky, zveřejnili jsme dva příspěvky s uniklými informacemi o dostupném průmyslovém systému na PasteBin.
Jeden z příspěvků zveřejněných na PasteBin s cílem přilákat útoky. Zdroj: Trend Micro
Útoky
Honeypot žil online asi sedm měsíců. K prvnímu útoku došlo měsíc poté, co byl honeypot online.
Skenery
Velký provoz byl ze skenerů známých společností - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye a dalších. Bylo jich tolik, že jsme museli jejich IP adresy z analýzy vyloučit: 610 z 9452 neboli 6,45 % všech unikátních IP adres patřilo zcela legitimním skenerům.
Podvodníci
Jedním z největších rizik, kterým jsme čelili, je použití našeho systému pro kriminální účely: nákup chytrých telefonů prostřednictvím předplatitelského účtu, vyplácení mílí leteckých společností pomocí dárkových karet a další typy podvodů.
Horníci
Jedním z prvních návštěvníků našeho systému se ukázal být horník. Stáhl si do něj těžební software Monero. Kvůli nízké produktivitě by na našem konkrétním systému nebyl schopen vydělat mnoho peněz. Pokud však spojíme úsilí několika desítek či dokonce stovek takových systémů, mohlo by to dopadnout docela dobře.
Ransomware
Během práce honeypotu jsme se se skutečnými ransomwarovými viry setkali hned dvakrát. V prvním případě to byla Crysis. Jeho operátoři se do systému přihlásili přes VNC, poté ale nainstalovali TeamViewer a použili jej k provádění dalších akcí. Poté, co jsme čekali na vyděračskou zprávu požadující výkupné 10 6 $ v BTC, vstoupili jsme do korespondence se zločinci a požádali jsme je, aby nám dešifrovali jeden ze souborů. Žádosti vyhověli a požadavek na výkupné zopakovali. Podařilo se nám vyjednat až XNUMX tisíc dolarů, poté jsme systém jednoduše znovu nahráli na virtuální počítač, protože jsme obdrželi všechny potřebné informace.
Druhý ransomware se ukázal být Phobos. Hacker, který jej nainstaloval, strávil hodinu procházením souborového systému honeypotu a skenováním sítě a nakonec ransomware nainstaloval.
Třetí ransomwarový útok se ukázal jako falešný. Neznámý „hacker“ stáhl do našeho systému soubor haha.bat, načež jsme chvíli sledovali, jak se jej snaží uvést do provozu. Jedním z pokusů bylo přejmenování haha.bat na haha.rnsmwr.
„Hacker“ zvyšuje škodlivost souboru bat změnou jeho přípony na .rnsmwr. Zdroj: Trend Micro
Když se dávkový soubor konečně začal spouštět, „hacker“ jej upravil a zvýšil výkupné z 200 $ na 750 $. Poté „zašifroval“ všechny soubory, nechal na ploše vyděračskou zprávu a zmizel a změnil hesla na našem VNC.
O několik dní později se hacker vrátil a, aby si připomněl, spustil dávkový soubor, který otevřel mnoho oken s porno stránkou. Zřejmě se tímto způsobem snažil upozornit na svůj požadavek.
Výsledky
Během studie se ukázalo, že jakmile byly zveřejněny informace o zranitelnosti, honeypot vzbudil pozornost a aktivita rostla den ode dne. Aby past získala pozornost, naše fiktivní společnost musela utrpět několik narušení bezpečnosti. Bohužel tato situace není mezi mnoha skutečnými společnostmi, které nemají zaměstnance IT a informační bezpečnosti na plný úvazek, zdaleka neobvyklá.
Obecně by organizace měly používat princip nejmenšího privilegia, zatímco my jsme zavedli jeho přesný opak, abychom přilákali útočníky. A čím déle jsme útoky sledovali, tím byly sofistikovanější ve srovnání se standardními metodami penetračního testování.
A co je nejdůležitější, všechny tyto útoky by selhaly, pokud by byla při nastavování sítě implementována adekvátní bezpečnostní opatření. Organizace musí zajistit, aby jejich vybavení a součásti průmyslové infrastruktury nebyly přístupné z internetu, jak jsme to konkrétně udělali v naší pasti.
Přestože jsme nezaznamenali jediný útok na pracovní stanici inženýra, přestože jsme na všech počítačích používali stejné heslo místního správce, je třeba se této praxi vyhnout, aby se minimalizovala možnost narušení. Ostatně slabé zabezpečení slouží jako další výzva k útokům na průmyslové systémy, o které se kyberzločinci již dlouho zajímají.
Zdroj: www.habr.com