Antivirusvirksomheder, informationssikkerhedseksperter og simpelthen entusiaster sætter honeypot-systemer på internettet for at "fange" en ny variant af virussen eller identificere usædvanlige hackertaktikker. Honeypots er så almindelige, at cyberkriminelle har udviklet en slags immunitet: de identificerer hurtigt, at de er foran en fælde og ignorerer den simpelthen. For at udforske moderne hackers taktik skabte vi en realistisk honningpotte, der levede på internettet i syv måneder og tiltrak en række angreb. Vi talte om, hvordan dette skete i vores undersøgelse "" Nogle fakta fra undersøgelsen er i dette indlæg.
Honeypot udvikling: tjekliste
Hovedopgaven med at skabe vores superfælde var at forhindre os i at blive afsløret af hackere, der viste interesse for det. Dette krævede meget arbejde:
- Skab en realistisk legende om virksomheden, herunder fulde navne og billeder af medarbejdere, telefonnumre og e-mails.
- At komme med og implementere en model af industriel infrastruktur, der svarer til legenden om vores virksomheds aktiviteter.
- Beslut hvilke netværkstjenester der vil være tilgængelige udefra, men lad dig ikke rive med af at åbne sårbare porte, så det ikke ligner en fælde for suckers.
- Organiser synligheden af informationslækager om et sårbart system og distribuer disse oplysninger blandt potentielle angribere.
- Implementer diskret overvågning af hackeraktiviteter i honeypot-infrastrukturen.
Og nu om alt i orden.
At skabe en legende
Cyberkriminelle er allerede vant til at støde på en masse honeypots, så den mest avancerede del af dem foretager en dybdegående undersøgelse af hvert sårbart system for at sikre sig, at det ikke er en fælde. Af samme grund søgte vi at sikre, at honningpotten ikke kun var realistisk med hensyn til design og tekniske aspekter, men også for at skabe udseendet af en rigtig virksomhed.
Idet vi satte os selv i en hypotetisk cool hackers sted, udviklede vi en verifikationsalgoritme, der kunne skelne et rigtigt system fra en fælde. Det omfattede søgning efter virksomhedens IP-adresser i omdømmesystemer, omvendt forskning i IP-adressernes historie, søgning efter navne og nøgleord relateret til virksomheden, såvel som dens modparter, og mange andre ting. Som et resultat viste legenden sig at være ret overbevisende og attraktiv.
Vi besluttede at positionere lokkefabrikken som en lille industriel prototypebutik, der arbejder for meget store anonyme kunder i militær- og luftfartssegmentet. Dette frigjorde os fra de juridiske komplikationer forbundet med at bruge et eksisterende mærke.
Dernæst skulle vi komme med en vision, mission og navn til organisationen. Vi besluttede, at vores virksomhed skulle være en startup med et lille antal ansatte, som hver især er en grundlægger. Dette tilføjede troværdighed til historien om vores virksomheds specialiserede karakter, som gør det muligt for den at håndtere følsomme projekter for store og vigtige kunder. Vi ønskede, at vores virksomhed skulle fremstå svag ud fra et cybersikkerhedsperspektiv, men samtidig var det tydeligt, at vi arbejdede med vigtige aktiver på målsystemer.
Skærmbillede af MeTech honeypot-webstedet. Kilde: Trend Micro
Vi valgte ordet MeTech som firmanavn. Siden er lavet ud fra en gratis skabelon. Billederne blev taget fra fotobanker, hvor de mest upopulære blev brugt og modificeret dem for at gøre dem mindre genkendelige.
Vi ønskede, at virksomheden skulle se ægte ud, så vi var nødt til at tilføje medarbejdere med faglige kompetencer, der matcher aktivitetens profil. Vi fandt på navne og personligheder til dem og forsøgte derefter at vælge billeder fra fotobanker efter etnicitet.
Skærmbillede af MeTech honeypot-webstedet. Kilde: Trend Micro
For at undgå at blive opdaget ledte vi efter gruppebilleder af god kvalitet, hvorfra vi kunne vælge de ansigter, vi havde brug for. Vi forlod dog denne mulighed, da en potentiel hacker kunne bruge omvendt billedsøgning og opdage, at vores "medarbejdere" kun bor i fotobanker. Til sidst brugte vi fotografier af ikke-eksisterende mennesker skabt ved hjælp af neurale netværk.
Medarbejderprofiler opslået på webstedet indeholdt vigtige oplysninger om deres tekniske færdigheder, men vi undgik at identificere specifikke skoler eller byer.
Til at oprette postkasser brugte vi en hostingudbyders server og lejede derefter flere telefonnumre i USA og kombinerede dem til en virtuel PBX med en stemmemenu og en telefonsvarer.
Honeypot infrastruktur
For at undgå eksponering besluttede vi at bruge en kombination af ægte industriel hardware, fysiske computere og sikre virtuelle maskiner. Ser vi fremad, vil vi sige, at vi tjekkede resultatet af vores indsats ved hjælp af Shodan-søgemaskinen, og det viste, at honningpotten ligner et rigtigt industrielt system.
Resultatet af scanning af en honningpotte ved hjælp af Shodan. Kilde: Trend Micro
Vi brugte fire PLC'er som hardware til vores fælde:
- Siemens S7-1200,
- to AllenBradley MicroLogix 1100,
- Omron CP1L.
Disse PLC'er blev udvalgt for deres popularitet på det globale kontrolsystemmarked. Og hver af disse controllere bruger sin egen protokol, som gjorde det muligt for os at kontrollere, hvilke af PLC'erne der ville blive angrebet oftere, og om de ville interessere nogen i princippet.
Udstyr til vores "fabriks"-fælde. Kilde: Trend Micro
Vi installerede ikke bare hardware og sluttede det til internettet. Vi programmerede hver controller til at udføre opgaver, herunder
- blanding,
- styring af brænder og transportbånd,
- palletering ved hjælp af en robotmanipulator.
Og for at gøre produktionsprocessen realistisk, programmerede vi logik til tilfældigt at ændre feedback-parametre, simulere motorer, der starter og stopper, og brændere, der tænder og slukker.
Vores fabrik havde tre virtuelle computere og en fysisk. Virtuelle computere blev brugt til at styre et anlæg, en palleteringsrobot og som en arbejdsstation for en PLC-softwareingeniør. Den fysiske computer fungerede som filserver.
Ud over at overvåge angreb på PLC'er ønskede vi at overvåge status for programmer indlæst på vores enheder. For at gøre dette oprettede vi en grænseflade, der gjorde det muligt for os hurtigt at bestemme, hvordan tilstandene for vores virtuelle aktuatorer og installationer blev ændret. Allerede på planlægningsstadiet opdagede vi, at det er meget nemmere at implementere dette ved hjælp af et styreprogram end ved direkte programmering af controllerlogikken. Vi åbnede adgang til enhedsadministrationsgrænsefladen i vores honeypot via VNC uden adgangskode.
Industrielle robotter er en nøglekomponent i moderne smart fremstilling. I den forbindelse besluttede vi at tilføje en robot og en automatiseret arbejdsplads til at styre den til udstyret på vores fældefabrik. For at gøre "fabrikken" mere realistisk installerede vi ægte software på kontrolarbejdsstationen, som ingeniører bruger til grafisk at programmere robottens logik. Nå, da industrirobotter normalt er placeret i et isoleret internt netværk, besluttede vi kun at efterlade ubeskyttet adgang via VNC til kontrolarbejdsstationen.
RobotStudio-miljø med en 3D-model af vores robot. Kilde: Trend Micro
Vi installerede RobotStudio-programmeringsmiljøet fra ABB Robotics på en virtuel maskine med en robotkontrolarbejdsstation. Efter at have konfigureret RobotStudio åbnede vi en simuleringsfil med vores robot i, så dens 3D-billede var synligt på skærmen. Som et resultat vil Shodan og andre søgemaskiner, efter at have opdaget en usikret VNC-server, gribe dette skærmbillede og vise det til dem, der leder efter industrirobotter med åben adgang til kontrol.
Pointen med denne opmærksomhed på detaljer var at skabe et attraktivt og realistisk mål for angribere, som, når de først fandt det, ville vende tilbage til det igen og igen.
Ingeniørens arbejdsstation
For at programmere PLC-logikken tilføjede vi en ingeniørcomputer til infrastrukturen. Industriel software til PLC-programmering blev installeret på den:
- TIA Portal til Siemens,
- MicroLogix til Allen-Bradley controller,
- CX-One til Omron.
Vi besluttede, at det tekniske arbejdsområde ikke ville være tilgængeligt uden for netværket. I stedet sætter vi den samme adgangskode til administratorkontoen som på robotkontrolarbejdsstationen og fabrikskontrolarbejdsstationen, der er tilgængelig fra internettet. Denne konfiguration er ret almindelig i mange virksomheder.
Desværre, trods alle vores anstrengelser, nåede ikke en eneste angriber ingeniørens arbejdsstation.
Filserver
Vi havde brug for det som lokkemad for angribere og som et middel til at bakke op om vores eget "arbejde" i lokkefabrikken. Dette gjorde det muligt for os at dele filer med vores honeypot ved hjælp af USB-enheder uden at efterlade spor på honeypot-netværket. Vi installerede Windows 7 Pro som OS for filserveren, hvor vi oprettede en delt mappe, der kan læses og skrives af alle.
Først oprettede vi ikke noget hierarki af mapper og dokumenter på filserveren. Vi opdagede dog senere, at angribere aktivt studerede denne mappe, så vi besluttede at fylde den med forskellige filer. For at gøre dette skrev vi et python-script, der skabte en fil af tilfældig størrelse med en af de givne udvidelser, der dannede et navn baseret på ordbogen.
Script til at generere attraktive filnavne. Kilde: Trend Micro
Efter at have kørt scriptet fik vi det ønskede resultat i form af en mappe fyldt med filer med meget interessante navne.
Resultatet af scriptet. Kilde: Trend Micro
Overvågningsmiljø
Efter at have brugt så mange kræfter på at skabe en realistisk virksomhed, havde vi simpelthen ikke råd til at fejle miljøet for at overvåge vores "besøgende". Vi havde brug for at få alle data i realtid, uden at angriberne opdagede, at de blev overvåget.
Vi implementerede dette ved hjælp af fire USB til Ethernet-adaptere, fire SharkTap Ethernet-haner, en Raspberry Pi 3 og et stort eksternt drev. Vores netværksdiagram så således ud:
Honeypot netværksdiagram med overvågningsudstyr. Kilde: Trend Micro
Vi placerede tre SharkTap-haner for at overvåge al ekstern trafik til PLC'en, kun tilgængelig fra det interne netværk. Den fjerde SharkTap overvågede trafikken af gæster på en sårbar virtuel maskine.
SharkTap Ethernet Tap og Sierra Wireless AirLink RV50 Router. Kilde: Trend Micro
Raspberry Pi udførte daglig trafikoptagelse. Vi oprettede forbindelse til internettet ved hjælp af en Sierra Wireless AirLink RV50 cellulær router, der ofte bruges i industrielle virksomheder.
Desværre tillod denne router os ikke selektivt at blokere angreb, der ikke matchede vores planer, så vi tilføjede en Cisco ASA 5505 firewall til netværket i gennemsigtig tilstand for at udføre blokering med minimal indvirkning på netværket.
Trafikanalyse
Tshark og tcpdump er passende til hurtigt at løse aktuelle problemer, men i vores tilfælde var deres muligheder ikke nok, da vi havde mange gigabyte trafik, som blev analyseret af flere personer. Vi brugte open source Moloch-analysatoren udviklet af AOL. Den er sammenlignelig i funktionalitet med Wireshark, men har flere muligheder for samarbejde, beskrivelse og tagging af pakker, eksport og andre opgaver.
Da vi ikke ønskede at behandle de indsamlede data på honeypot-computere, blev PCAP-dumps eksporteret hver dag til AWS-lageret, hvorfra vi allerede importerede dem til Moloch-maskinen.
Skærmoptagelse
For at dokumentere hackernes handlinger i vores honeypot, skrev vi et script, der tog skærmbilleder af den virtuelle maskine med et givet interval, og sammenlignede det med det forrige skærmbillede, og afgjorde, om der skete noget der eller ej. Når aktivitet blev opdaget, inkluderede scriptet skærmoptagelse. Denne tilgang viste sig at være den mest effektive. Vi forsøgte også at analysere VNC-trafik fra et PCAP-dump for at forstå, hvilke ændringer der var sket i systemet, men i sidste ende viste skærmoptagelsen, vi implementerede, at være enklere og mere visuel.
Overvågning af VNC-sessioner
Til dette brugte vi Chaosreader og VNCLogger. Begge værktøjer uddrager tastetryk fra en PCAP-dump, men VNCLogger håndterer taster som Backspace, Enter, Ctrl mere korrekt.
VNCLogger har to ulemper. For det første: det kan kun udtrække nøgler ved at "lytte" til trafik på grænsefladen, så vi var nødt til at simulere en VNC-session for det ved hjælp af tcpreplay. Den anden ulempe ved VNCLogger er fælles med Chaosreader: de viser begge ikke indholdet af udklipsholderen. For at gøre dette var jeg nødt til at bruge Wireshark.
Vi lokker hackere
Vi skabte honeypot til at blive angrebet. For at opnå dette iscenesatte vi et informationslæk for at tiltrække potentielle angriberes opmærksomhed. Følgende porte blev åbnet på honeypot:
RDP-porten måtte lukkes kort efter, at vi gik live, fordi den enorme mængde scanningstrafik på vores netværk forårsagede ydeevneproblemer.
VNC-terminalerne fungerede først i visningstilstand uden adgangskode, og derefter skiftede vi "ved en fejltagelse" dem til fuld adgangstilstand.
For at tiltrække angribere postede vi to indlæg med lækket information om det tilgængelige industrielle system på PasteBin.
Et af indlæggene, der blev lagt på PasteBin for at tiltrække angreb. Kilde: Trend Micro
Angreb
Honeypot levede online i omkring syv måneder. Det første angreb fandt sted en måned efter, at honeypot gik online.
Scannere
Der var meget trafik fra scannere fra kendte firmaer – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye og andre. Der var så mange af dem, at vi måtte udelukke deres IP-adresser fra analysen: 610 ud af 9452 eller 6,45 % af alle unikke IP-adresser tilhørte helt legitime scannere.
svindlere
En af de største risici, vi har stået over for, er brugen af vores system til kriminelle formål: at købe smartphones via en abonnents konto, udbetale flyselskabs miles ved hjælp af gavekort og andre former for svindel.
Minearbejdere
En af de første besøgende på vores system viste sig at være en minearbejder. Han downloadede Monero-minesoftware til den. Han ville ikke have været i stand til at tjene mange penge på netop vores system på grund af lav produktivitet. Men hvis vi kombinerer indsatsen fra flere dusin eller endda hundredvis af sådanne systemer, kan det vise sig ganske godt.
Ransomware
Under arbejdet med honeypot stødte vi to gange på ægte ransomware-virus. I det første tilfælde var det Crysis. Dets operatører loggede ind på systemet via VNC, men installerede derefter TeamViewer og brugte det til at udføre yderligere handlinger. Efter at have ventet på en afpresningsmeddelelse, der krævede en løsesum på $10 i BTC, indgik vi korrespondance med de kriminelle og bad dem om at dekryptere en af filerne for os. De efterkom anmodningen og gentog kravet om løsesum. Vi formåede at forhandle op til 6 tusind dollars, hvorefter vi simpelthen gen-uploadede systemet til en virtuel maskine, da vi modtog alle de nødvendige oplysninger.
Den anden ransomware viste sig at være Phobos. Hackeren, der installerede det, brugte en time på at gennemse honeypot-filsystemet og scanne netværket og installerede derefter ransomwaren.
Det tredje ransomware-angreb viste sig at være falsk. En ukendt "hacker" downloadede haha.bat-filen til vores system, hvorefter vi i et stykke tid så han forsøgte at få den til at virke. Et af forsøgene var at omdøbe haha.bat til haha.rnsmwr.
"Hackeren" øger bat-filens skadelighed ved at ændre dens udvidelse til .rnsmwr. Kilde: Trend Micro
Da batchfilen endelig begyndte at køre, redigerede "hackeren" den og øgede løsesummen fra $200 til $750. Derefter "krypterede" han alle filerne, efterlod en afpresningsmeddelelse på skrivebordet og forsvandt og ændrede adgangskoderne på vores VNC.
Et par dage senere vendte hackeren tilbage og for at minde sig selv lancerede han en batchfil, der åbnede mange vinduer med et pornowebsted. Tilsyneladende forsøgte han på denne måde at gøre opmærksom på sit krav.
Resultaterne af
Under undersøgelsen viste det sig, at så snart information om sårbarheden blev offentliggjort, vakte honeypot opmærksomhed, hvor aktiviteten voksede dag for dag. For at fælden skulle få opmærksomhed, måtte vores fiktive virksomhed lide flere sikkerhedsbrud. Desværre er denne situation langt fra ualmindelig blandt mange rigtige virksomheder, som ikke har fuldtidsansatte i IT og informationssikkerhed.
Generelt bør organisationer bruge princippet om mindste privilegium, mens vi implementerede det stik modsatte af det for at tiltrække angribere. Og jo længere vi så angrebene, jo mere sofistikerede blev de sammenlignet med standard penetrationstestmetoder.
Og vigtigst af alt, alle disse angreb ville have mislykkedes, hvis tilstrækkelige sikkerhedsforanstaltninger var blevet implementeret, når netværket blev sat op. Organisationer skal sikre, at deres udstyr og industrielle infrastrukturkomponenter ikke er tilgængelige fra internettet, som vi specifikt gjorde i vores fælde.
Selvom vi ikke har registreret et eneste angreb på en ingeniørs arbejdsstation, på trods af at vi bruger den samme lokale administratoradgangskode på alle computere, bør denne praksis undgås for at minimere muligheden for indtrængen. Svag sikkerhed tjener trods alt som en ekstra invitation til at angribe industrielle systemer, som længe har været af interesse for cyberkriminelle.
Kilde: www.habr.com