Mae cwmnïau gwrthfeirws, arbenigwyr diogelwch gwybodaeth, a dim ond selogion yn datgelu systemau pot mêl ar y Rhyngrwyd er mwyn “dal abwyd byw” amrywiaeth ffres o firws neu ddatgelu tactegau haciwr anarferol. Mae potiau mêl mor gyffredin fel bod seiberdroseddwyr wedi datblygu math o imiwnedd: maen nhw'n nodi'n gyflym bod trap o'u blaenau ac yn ei anwybyddu. Er mwyn archwilio tactegau hacwyr modern, fe wnaethom greu pot mêl realistig a fu'n byw ar y Rhyngrwyd am saith mis, gan ddenu amrywiaeth o ymosodiadau. Sut yr oedd, fe ddywedon ni yn ein hastudiaeth "" . Mae rhai ffeithiau o'r astudiaeth yn y swydd hon.
Datblygu Pot Mêl: Rhestr Wirio
Y brif dasg wrth greu ein supertrap oedd peidio â chaniatáu i ni gael ein dinoethi gan hacwyr a ddangosodd ddiddordeb ynddo. Cymerodd lawer o waith i wneud hyn:
- Creu chwedl realistig am y cwmni, gan gynnwys enw llawn a llun gweithwyr, rhifau ffôn ac e-byst.
- Dyfeisio a gweithredu model seilwaith diwydiannol sy'n cyd-fynd â chwedl gweithgareddau ein cwmni.
- Penderfynwch pa wasanaethau rhwydwaith fydd ar gael o'r tu allan, ond peidiwch â chael eich cario i ffwrdd ag agor porthladdoedd bregus fel nad yw'n edrych fel trap ar gyfer simsiau.
- Trefnu ymddangosiad gollyngiadau gwybodaeth am system sy'n agored i niwed a lledaenu'r wybodaeth hon ymhlith ymosodwyr posibl.
- Gweithredu monitro cynnil o weithredoedd hacwyr yn seilwaith y trap.
Ac yn awr am bopeth mewn trefn.
Creu chwedl
Mae seiberdroseddwyr eisoes yn gyfarwydd â gweld llawer o botiau mêl, felly mae'r rhan fwyaf datblygedig ohonynt yn cynnal astudiaeth fanwl o bob system sy'n agored i niwed i wneud yn siŵr nad yw hyn yn fagl. Am yr un rheswm, roeddem am wneud y pot mêl nid yn unig yn realistig o ran agweddau dylunio a thechnegol, ond hefyd i greu ymddangosiad cwmni go iawn.
Gan roi ein hunain yn lle cŵl-haciwr damcaniaethol, fe wnaethom ddatblygu algorithm dilysu a fyddai'n caniatáu inni wahaniaethu rhwng system go iawn a thrap. Roedd yn cynnwys edrych i fyny cyfeiriadau IP y cwmni mewn systemau enw da, cefn ymchwilio i hanes cyfeiriadau IP, chwilio am enwau a geiriau allweddol yn ymwneud â'r cwmni, yn ogystal â'i wrthbartion, a llawer o bethau eraill. O ganlyniad, trodd y chwedl yn eithaf argyhoeddiadol a deniadol.
Fe wnaethom benderfynu gosod y ffatri trap fel bwtîc prototeipio diwydiannol bach, gan weithio i gleientiaid dienw mawr iawn o'r segment milwrol a hedfan. Arbedodd hyn ni rhag y cymhlethdodau cyfreithiol sy'n gysylltiedig â defnyddio brand sy'n bodoli eisoes.
Nesaf, roedd yn rhaid i ni ddod o hyd i weledigaeth, cenhadaeth ac enw ar gyfer y sefydliad. Fe wnaethom benderfynu y byddai ein cwmni yn fusnes cychwynnol gyda nifer fach o weithwyr, pob un ohonynt yn sylfaenydd. Ychwanegodd hyn hygrededd at chwedl arbenigedd ein busnes, sy'n caniatáu iddo weithio gyda phrosiectau cain ar gyfer cwsmeriaid mawr a phwysig. Roeddem am wneud i’n cwmni edrych yn wan o ran seiberddiogelwch, ond ar yr un pryd roedd yn amlwg ein bod yn gweithio gydag asedau pwysig yn y systemau targed.
Ciplun o wefan pot mêl MeTech. Ffynhonnell: Trend Micro
Rydym wedi dewis y gair MeTech fel enw'r cwmni. Gwnaethpwyd y wefan ar sail templed rhad ac am ddim. Tynnwyd y delweddau o fanciau lluniau, gan ddefnyddio'r rhai mwyaf amhoblogaidd a'u haddasu i'w gwneud yn llai adnabyddadwy.
Roeddem am i'r cwmni edrych yn real, felly roedd angen i ni ychwanegu gweithwyr â sgiliau proffesiynol sy'n cyd-fynd â phroffil y gweithgaredd. Fe wnaethon ni lunio enwau a hunaniaeth ar eu cyfer, ac yna ceisio dewis delweddau o fanciau lluniau yn ôl ethnigrwydd.
Ciplun o wefan pot mêl MeTech. Ffynhonnell: Trend Micro
Er mwyn peidio â chael ein darganfod, fe wnaethom edrych am luniau grŵp o ansawdd da y gallem ddewis yr wynebau yr oedd eu hangen arnom. Fodd bynnag, fe wnaethom roi'r gorau i'r opsiwn hwn yn ddiweddarach, oherwydd gallai haciwr posibl ddefnyddio chwiliad delwedd gwrthdro a chanfod bod ein “gweithwyr” yn byw mewn banciau lluniau yn unig. Yn y diwedd, fe wnaethom ddefnyddio lluniau o bobl nad oeddent yn bodoli a grëwyd gan ddefnyddio rhwydweithiau niwral.
Roedd proffiliau gweithwyr a gyhoeddwyd ar y wefan yn cynnwys gwybodaeth bwysig am eu sgiliau technegol, ond gwnaethom osgoi nodi sefydliadau addysgol a dinasoedd penodol.
I greu blychau post, fe wnaethom ddefnyddio gweinydd darparwr cynnal, ac yna rhentu sawl rhif ffôn yn yr Unol Daleithiau a'u cyfuno i mewn i PBX rhithwir gyda dewislen llais a pheiriant ateb.
Seilwaith pot mêl
Er mwyn osgoi amlygiad, penderfynasom ddefnyddio cyfuniad o galedwedd diwydiannol go iawn, cyfrifiaduron corfforol, a pheiriannau rhithwir diogel. Wrth edrych ymlaen, gwnaethom wirio canlyniad ein hymdrechion gan ddefnyddio peiriant chwilio Shodan, a dangosodd fod y pot mêl yn edrych fel system ddiwydiannol go iawn.
Canlyniad sganio pot mêl gyda Shodan. Ffynhonnell: Trend Micro
Fe ddefnyddion ni bedwar CDP fel y caledwedd ar gyfer ein trap:
- Siemens S7-1200,
- dau Allen- Bradley MicroLogix 1100s,
- Omron CP1L.
Dewiswyd y CDPau hyn oherwydd eu poblogrwydd yn y farchnad systemau rheoli byd-eang. Ac mae pob un o'r rheolwyr hyn yn defnyddio ei brotocol ei hun, a oedd yn caniatáu i ni wirio pa rai o'r CDPau yr ymosodir arnynt yn amlach ac a fyddent o ddiddordeb i unrhyw un mewn egwyddor.
Mae offer ein "ffatri" yn fagl. Ffynhonnell: Trend Micro
Nid gosod darnau o haearn yn unig a wnaethom a'u cysylltu â'r Rhyngrwyd. Fe wnaethon ni raglennu pob rheolydd i gyflawni tasgau, ymhlith y rhain roedd
- cymysgu,
- rheolydd llosgwr a chludfelt,
- palletizing gan ddefnyddio braich robotig.
Ac i wneud y broses gynhyrchu yn realistig, fe wnaethom raglennu rhesymeg i newid y paramedrau adborth ar hap, efelychu moduron cychwyn a stopio, troi'r llosgwr ymlaen ac i ffwrdd.
Roedd gan ein ffatri dri chyfrifiadur rhithwir ac un corfforol. Defnyddiwyd peiriannau rhithwir i reoli'r planhigyn, y robot palletizer ac fel gweithfan y peiriannydd meddalwedd PLC. Roedd y cyfrifiadur ffisegol yn gweithio fel gweinydd ffeiliau.
Yn ogystal â monitro ymosodiadau ar CDPau, roeddem am fonitro statws rhaglenni sy'n cael eu lawrlwytho i'n dyfeisiau. I wneud hyn, fe wnaethon ni greu rhyngwyneb a oedd yn caniatáu inni benderfynu'n gyflym sut yr addaswyd cyflwr ein hactiwyddion a'n gosodiadau rhithwir. Eisoes yn y cam cynllunio, canfuom ei bod yn llawer haws gweithredu hyn gyda rhaglen reoli na thrwy raglennu rhesymeg y rheolydd yn uniongyrchol. Fe wnaethom agor mynediad i ryngwyneb rheoli dyfeisiau ein pot mêl trwy VNC heb gyfrinair.
Mae robotiaid diwydiannol yn elfen allweddol o weithgynhyrchu smart modern. Yn hyn o beth, penderfynasom ychwanegu robot a gweithfan i'w reoli i offer ein ffatri trap. Er mwyn gwneud y "ffatri" yn fwy realistig, fe wnaethom osod meddalwedd go iawn ar y weithfan reoli, y mae peirianwyr yn ei ddefnyddio ar gyfer rhaglennu graffigol o resymeg y robot. Wel, gan fod robotiaid diwydiannol fel arfer wedi'u lleoli mewn rhwydwaith mewnol ynysig, fe wnaethom benderfynu gadael mynediad heb ei ddiogelu trwy VNC i'r weithfan reoli yn unig.
Amgylchedd RobotStudio gyda model 3D o'n robot. Ffynhonnell: Trend Micro
Ar beiriant rhithwir gyda gweithfan rheoli robotiaid, fe wnaethom osod amgylchedd rhaglennu RobotStudio gan ABB Robotics. Ar ôl sefydlu RobotStudio, fe wnaethom agor y ffeil efelychu gyda'n robot ynddo fel bod ei ddelwedd 3D i'w gweld ar y sgrin. O ganlyniad, bydd Shodan a pheiriannau chwilio eraill, pan fyddant yn dod o hyd i weinydd VNC ansicr, yn cael y ddelwedd sgrin hon a'i dangos i'r rhai sy'n chwilio am robotiaid diwydiannol sydd â mynediad agored i reolaeth.
Pwynt y sylw hwn i fanylion oedd creu targed deniadol ac mor realistig â phosibl ar gyfer ymosodwyr a fyddai, ar ôl dod o hyd iddo, yn dychwelyd ato dro ar ôl tro.
Gweithfan peiriannydd
Er mwyn rhaglennu'r rhesymeg PLC, fe wnaethom ychwanegu cyfrifiadur peirianneg at y seilwaith. Gosodwyd meddalwedd diwydiannol ar gyfer rhaglennu PLC arno:
- Porth TIA ar gyfer Siemens,
- MicroLogix ar gyfer rheolwr Allen-Bradley,
- CX-Un ar gyfer Omron.
Rydym wedi penderfynu na fydd y gweithle peirianneg ar gael y tu allan i'r rhwydwaith. Yn lle hynny, fe wnaethom osod yr un cyfrinair ar gyfer y cyfrif gweinyddwr arno ag ar y weithfan rheoli robotiaid sy'n hygyrch i'r Rhyngrwyd a gweithfan rheoli ffatri. Mae'r cyfluniad hwn yn eithaf cyffredin mewn llawer o gwmnïau.
Yn anffodus, er gwaethaf ein holl ymdrechion, ni chyrhaeddodd un ymosodwr weithfan y peiriannydd.
Gweinydd Ffeil
Roedd ei angen arnom fel abwyd ar gyfer tresmaswyr ac fel ffordd o gefnogi ein "gwaith" ein hunain yn y ffatri drapiau. Roedd hyn yn ein galluogi i rannu ffeiliau gyda'n pot mêl gan ddefnyddio dyfeisiau USB heb adael olion ar y rhwydwaith trap. Fel OS ar gyfer y gweinydd ffeiliau, fe wnaethom osod Windows 7 Pro, lle gwnaethom sicrhau bod ffolder a rennir ar gael i'w ddarllen ac ysgrifennu i unrhyw un.
Ar y dechrau, ni wnaethom greu unrhyw hierarchaeth o ffolderi a dogfennau ar y gweinydd ffeiliau. Fodd bynnag, yn ddiweddarach daeth i'r amlwg bod yr ymosodwyr wrthi'n astudio'r ffolder hon, felly fe benderfynon ni ei llenwi â ffeiliau amrywiol. I wneud hyn, fe wnaethon ni ysgrifennu sgript python a greodd ffeil o faint ar hap gydag un o'r estyniadau a roddwyd, gan ffurfio enw yn seiliedig ar eiriadur.
Sgript i gynhyrchu enwau ffeiliau deniadol. Ffynhonnell: Trend Micro
Ar ôl rhedeg y sgript, cawsom y canlyniad a ddymunir ar ffurf ffolder wedi'i llenwi â ffeiliau gydag enwau diddorol iawn.
Canlyniad y sgript. Ffynhonnell: Trend Micro
Amgylchedd monitro
Ar ôl rhoi cymaint o ymdrech i greu cwmni realistig, ni allem fforddio mynd i'r afael â'r amgylchedd ar gyfer monitro ein "ymwelwyr". Roedd angen i ni gael yr holl ddata mewn amser real yn y fath fodd fel na fyddai'r ymosodwyr yn sylwi eu bod yn cael eu gwylio.
Gwnaethom hyn gan ddefnyddio pedwar addasydd USB i Ethernet, pedwar tap SharkTap Ethernet, Raspberry Pi 3, a gyriant allanol mawr. Roedd ein diagram rhwydwaith yn edrych fel hyn:
Diagram rhwydwaith pot mêl gydag offer monitro. Ffynhonnell: Trend Micro
Gosodwyd y tri thap SharkTap mewn ffordd sy'n monitro'r holl draffig allanol i'r PLC, sy'n hygyrch o'r rhwydwaith mewnol yn unig. Roedd y pedwerydd SharkTap yn olrhain traffig gwesteion y peiriant rhithwir bregus.
Tap Ethernet SharkTap a llwybrydd Sierra Wireless AirLink RV50. Ffynhonnell: Trend Micro
Perfformiodd Raspberry Pi dal traffig dyddiol. Fe wnaethon ni gysylltu â'r Rhyngrwyd gan ddefnyddio llwybrydd cellog Sierra Wireless AirLink RV50, a ddefnyddir yn aml mewn mentrau diwydiannol.
Yn anffodus, nid oedd y llwybrydd hwn yn caniatáu inni rwystro ymosodiadau nad oeddent yn cyd-fynd â'n cynlluniau yn ddetholus, felly fe wnaethom ychwanegu wal dân Cisco ASA 5505 i'r rhwydwaith mewn modd tryloyw er mwyn rhwystro gydag effaith fach iawn ar y rhwydwaith.
Dadansoddiad traffig
Mae Tshark a tcpdump yn briodol ar gyfer datrys problemau cyfredol yn gyflym, ond yn ein hachos ni nid oedd eu galluoedd yn ddigon, gan fod gennym lawer o gigabeit o draffig, a ddadansoddwyd gan nifer o bobl. Defnyddiwyd y dadansoddwr Moloch ffynhonnell agored a ddatblygwyd gan AOL. O ran ymarferoldeb, mae'n debyg i Wireshark, ond mae ganddo fwy o opsiynau ar gyfer cydweithredu, disgrifio a thagio pecynnau, allforio, a thasgau eraill.
Gan nad oeddem am brosesu'r data a gasglwyd ar y peiriannau pot mêl, roedd y tomenni PCAP yn cael eu hallforio bob dydd i storfa AWS, lle'r oeddem eisoes yn eu mewnforio i'r peiriant Moloch.
Recordiad sgrin
Er mwyn dogfennu gweithredoedd hacwyr yn ein pot mêl, fe wnaethom ysgrifennu sgript a gymerodd sgrinluniau o'r peiriant rhithwir ar gyfnod penodol ac, o gymharu â'r sgrin flaenorol, penderfynwyd a oedd rhywbeth yn digwydd yno ai peidio. Pan ganfuwyd gweithgaredd, trodd y sgript y recordiad sgrin ymlaen. Profodd y dull hwn i fod y mwyaf effeithiol. Fe wnaethom hefyd geisio dadansoddi'r traffig VNC o'r domen PCAP i ddeall pa newidiadau oedd wedi digwydd yn y system, ond yn y diwedd, roedd y recordiad sgrin a weithredwyd gennym yn symlach ac yn fwy gweledol.
Monitro sesiynau VNC
Ar gyfer hyn fe wnaethom ddefnyddio Chaosreader a VNCLogger. Mae'r ddau gyfleust yn tynnu trawiadau bysell o'r domen PCAP, ond mae VNCLogger yn trin allweddi fel Backspace, Enter, Ctrl yn fwy cywir.
Mae gan VNCLogger ddau anfantais. Yn gyntaf, dim ond trwy "wrando" ar draffig ar y rhyngwyneb y gall adfer allweddi, felly bu'n rhaid i ni efelychu sesiwn VNC ar ei gyfer gan ddefnyddio tcpreplay. Mae ail anfantais VNCLogger yn gyffredin â Chaosreader: nid yw'r ddau ohonynt yn dangos cynnwys y clipfwrdd. Ar gyfer hyn roedd yn rhaid i mi ddefnyddio Wireshark.
Rydym yn denu hacwyr
Fe wnaethon ni greu pot mêl i ymosod arno. Er mwyn cyflawni hyn, gwnaethom lwyfannu gollyngiad gwybodaeth a gynlluniwyd i ddenu sylw hacwyr posibl. Mae'r porthladdoedd canlynol wedi'u hagor ar y pot mêl:
Bu'n rhaid cau'r porthladd RDP yn fuan ar ôl dechrau'r gwaith, oherwydd oherwydd y swm enfawr o draffig sganio ar ein rhwydwaith, roedd problemau perfformiad.
Gweithiodd terfynellau VNC i ddechrau yn y modd "gweld yn unig" heb gyfrinair, ac yna fe wnaethon ni "drwy gamgymeriad" eu newid i fodd mynediad llawn.
Er mwyn denu'r ymosodwyr, fe wnaethom bostio dau bost gyda gwybodaeth "wedi gollwng" am y system ddiwydiannol sydd ar gael ar PasteBin.
Un o'r swyddi a bostiwyd ar PasteBin i ddenu ymosodiadau. Ffynhonnell: Trend Micro
ymosodiadau
Bu Honeypot yn byw ar-lein am tua saith mis. Digwyddodd yr ymosodiad cyntaf fis ar ôl i'r pot mêl fynd ar-lein.
Sganwyr
Roedd yna lawer o draffig gan sganwyr cwmnïau adnabyddus - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye ac eraill. Roedd cymaint ohonynt fel bod yn rhaid i ni eithrio eu cyfeiriadau IP o'r dadansoddiad: roedd 610 allan o 9452 neu 6,45% o'r holl gyfeiriadau IP unigryw yn perthyn i sganwyr cwbl gyfreithlon.
Sgamwyr
Un o’r risgiau mwyaf yr ydym wedi’i hwynebu yw’r defnydd o’n system at ddibenion troseddol: i brynu ffonau clyfar drwy gyfrif tanysgrifiwr, cyfnewid milltiroedd cwmnïau hedfan gan ddefnyddio cardiau rhodd a mathau eraill o dwyll.
Glowyr
Daeth un o'r ymwelwyr cyntaf â'n system i fod yn löwr. Fe'i llwythodd gyda meddalwedd mwyngloddio Monero. Ni fyddai wedi gallu ennill llawer ar ein system benodol oherwydd perfformiad isel. Fodd bynnag, os byddwn yn cyfuno ymdrechion sawl degau neu hyd yn oed gannoedd o systemau o'r fath, gallai fod yn eithaf da.
Ransomware
Yn ystod gweithrediad y pot mêl, daethom ar draws firysau ransomware go iawn ddwywaith. Yn yr achos cyntaf, Crysis ydoedd. Fe wnaeth ei weithredwyr fewngofnodi i'r system trwy VNC, ond yna gosododd TeamViewer a'i ddefnyddio i gyflawni gweithredoedd pellach. Ar ôl aros am neges afresymol yn mynnu pridwerth o $10 yn BTC, fe wnaethom ohebu â'r troseddwyr, yn gofyn iddynt ddadgryptio un o'r ffeiliau i ni. Cydymffurfiwyd â'r cais ac ailadrodd y galw am bridwerth. Llwyddom i fargeinio hyd at 6 mil o ddoleri, ac ar ôl hynny fe wnaethom lwytho'r system i fyny i beiriant rhithwir, gan inni dderbyn yr holl wybodaeth angenrheidiol.
Yr ail ransomware oedd Phobos. Aeth yr haciwr a'i gosododd trwy system ffeiliau'r pot mêl a sganio'r rhwydwaith am awr, ac yna gosododd y ransomware.
Trodd y trydydd ymosodiad ransomware yn ffug. Dadlwythodd "haciwr" anhysbys y ffeil haha.bat i'n system, ac ar ôl hynny fe wnaethom wylio am ychydig wrth iddo geisio gwneud iddo weithio. Un ymgais oedd ailenwi haha.bat i haha.rnsmwr.
Mae "Hacker" yn cynyddu maleisusrwydd y ffeil ystlumod trwy newid ei estyniad i .rnsmwr. Ffynhonnell: Trend Micro
Pan ddechreuodd y ffeil swp redeg o'r diwedd, fe wnaeth y "haciwr" ei olygu, gan gynyddu'r pridwerth o $200 i $750. Ar ôl hynny, fe "amgryptio" yr holl ffeiliau, gadawodd neges afresymol ar y bwrdd gwaith a diflannu, gan newid y cyfrineiriau ar ein VNC.
Ychydig ddyddiau yn ddiweddarach, dychwelodd yr haciwr ac, i atgoffa ei hun, lansiodd ffeil swp a agorodd lawer o ffenestri gyda safle porn. Mae'n debyg, yn y modd hwn ceisiodd dynnu sylw at ei alw.
Canlyniadau
Yn ystod yr astudiaeth, cyn gynted ag y cyhoeddwyd y wybodaeth am y bregusrwydd, denodd y pot mêl sylw, a thyfodd gweithgaredd o ddydd i ddydd. Er mwyn i'r trap ddenu sylw, bu'n rhaid gwneud llawer o doriadau diogelwch ein cwmni ffug. Yn anffodus, mae'r sefyllfa hon ymhell o fod yn anghyffredin ymhlith llawer o gwmnïau go iawn nad oes ganddynt weithwyr TG a diogelwch gwybodaeth amser llawn.
Yn gyffredinol, dylai sefydliadau ddefnyddio egwyddor y fraint leiaf, tra ein bod wedi gweithredu'r gwrthwyneb llwyr i ddenu ymosodwyr. A pho hiraf y gwnaethom wylio'r ymosodiadau, y mwyaf soffistigedig y daethant o'i gymharu â dulliau profi treiddiad safonol.
Ac yn bwysicaf oll, byddai'r holl ymosodiadau hyn wedi methu pe bai mesurau diogelwch digonol wedi'u gweithredu yn ystod sefydlu'r rhwydwaith. Rhaid i sefydliadau sicrhau nad yw eu hoffer a'u cydrannau seilwaith diwydiannol yn hygyrch o'r Rhyngrwyd, fel y gwnaethom yn benodol yn ein trap.
Er nad ydym wedi cofnodi un ymosodiad ar weithfan y peiriannydd, er gwaethaf defnyddio'r un cyfrinair gweinyddwr lleol ar bob cyfrifiadur, dylid osgoi'r arfer hwn er mwyn lleihau'r posibilrwydd o ymwthiadau. Wedi'r cyfan, mae diogelwch gwan yn wahoddiad ychwanegol i ymosod ar systemau diwydiannol sydd wedi bod o ddiddordeb ers amser maith i seiberdroseddwyr.
Ffynhonnell: hab.com