Antiviren-Unternehmen, Informationssicherheitsexperten und einfach Enthusiasten stellen Honeypot-Systeme ins Internet, um eine neue Variante des Virus zu „fangen“ oder ungewöhnliche Hackertaktiken zu erkennen. Honeypots sind so verbreitet, dass Cyberkriminelle eine Art Immunität entwickelt haben: Sie erkennen schnell, dass sie vor einer Falle stehen und ignorieren diese einfach. Um die Taktiken moderner Hacker zu erforschen, haben wir einen realistischen Honeypot erstellt, der sieben Monate lang im Internet lebte und eine Vielzahl von Angriffen anzog. Wir haben in unserer Studie darüber gesprochen, wie das passiert ist." Einige Fakten aus der Studie finden Sie in diesem Beitrag.
Honeypot-Entwicklung: Checkliste
Die Hauptaufgabe bei der Erstellung unserer Superfalle bestand darin, zu verhindern, dass wir von Hackern entlarvt werden, die Interesse daran zeigten. Das erforderte viel Arbeit:
- Erstellen Sie eine realistische Legende über das Unternehmen, einschließlich vollständiger Namen und Fotos der Mitarbeiter, Telefonnummern und E-Mails.
- Ein Modell der industriellen Infrastruktur zu entwickeln und umzusetzen, das der Legende über die Aktivitäten unseres Unternehmens entspricht.
- Entscheiden Sie, welche Netzwerkdienste von außen zugänglich sein sollen, aber lassen Sie sich nicht dazu hinreißen, anfällige Ports zu öffnen, damit es nicht wie eine Falle für Trottel aussieht.
- Organisieren Sie die Sichtbarkeit von Informationslecks über ein anfälliges System und verteilen Sie diese Informationen an potenzielle Angreifer.
- Implementieren Sie eine diskrete Überwachung von Hackeraktivitäten in der Honeypot-Infrastruktur.
Und jetzt über alles in Ordnung.
Eine Legende erstellen
Da Cyberkriminelle es bereits gewohnt sind, auf viele Honeypots zu stoßen, führt der fortschrittlichste Teil von ihnen eine eingehende Untersuchung jedes anfälligen Systems durch, um sicherzustellen, dass es sich nicht um eine Falle handelt. Aus dem gleichen Grund wollten wir sicherstellen, dass der Honeypot nicht nur in Bezug auf Design und technische Aspekte realistisch ist, sondern auch den Anschein eines echten Unternehmens erwecken soll.
Wir versetzten uns in die Lage eines hypothetischen coolen Hackers und entwickelten einen Verifizierungsalgorithmus, der ein echtes System von einer Falle unterscheiden würde. Dazu gehörte die Suche nach IP-Adressen von Unternehmen in Reputationssystemen, die umgekehrte Recherche in der Geschichte von IP-Adressen, die Suche nach Namen und Schlüsselwörtern, die sich auf das Unternehmen und seine Gegenparteien beziehen, und viele andere Dinge. Dadurch erwies sich die Legende als recht überzeugend und attraktiv.
Wir beschlossen, die Täuschkörperfabrik als kleine Boutique für die Herstellung industrieller Prototypen zu positionieren, die für sehr große anonyme Kunden im Militär- und Luftfahrtbereich arbeitet. Dies befreite uns von den rechtlichen Komplikationen, die mit der Verwendung einer bestehenden Marke verbunden sind.
Als nächstes mussten wir eine Vision, Mission und einen Namen für die Organisation entwickeln. Wir beschlossen, dass unser Unternehmen ein Startup mit einer kleinen Anzahl von Mitarbeitern sein sollte, von denen jeder ein Gründer ist. Dadurch wurde die Glaubwürdigkeit der Spezialisierung unseres Unternehmens gestärkt, die es ihm ermöglicht, sensible Projekte für große und wichtige Kunden abzuwickeln. Wir wollten, dass unser Unternehmen aus Sicht der Cybersicherheit schwach erscheint, aber gleichzeitig war klar, dass wir mit wichtigen Vermögenswerten auf Zielsystemen arbeiteten.
Screenshot der MeTech-Honeypot-Website. Quelle: Trend Micro
Als Firmennamen haben wir das Wort MeTech gewählt. Die Seite wurde auf Basis einer kostenlosen Vorlage erstellt. Die Bilder stammen aus Fotobanken, wobei die unbeliebtesten verwendet und modifiziert wurden, um sie weniger erkennbar zu machen.
Wir wollten, dass das Unternehmen real aussieht, also mussten wir Mitarbeiter mit beruflichen Fähigkeiten einstellen, die zum Profil der Tätigkeit passen. Wir haben uns Namen und Persönlichkeiten für sie ausgedacht und dann versucht, Bilder aus Fotodatenbanken nach ethnischer Zugehörigkeit auszuwählen.
Screenshot der MeTech-Honeypot-Website. Quelle: Trend Micro
Um nicht entdeckt zu werden, suchten wir nach Gruppenfotos in guter Qualität, aus denen wir die Gesichter auswählen konnten, die wir brauchten. Von dieser Option haben wir dann jedoch Abstand genommen, da ein potenzieller Hacker mithilfe der umgekehrten Bildersuche feststellen könnte, dass unsere „Mitarbeiter“ nur in Fotobanken leben. Am Ende haben wir Fotos von nicht existierenden Menschen verwendet, die mithilfe neuronaler Netze erstellt wurden.
Die auf der Website veröffentlichten Mitarbeiterprofile enthielten wichtige Informationen zu ihren technischen Fähigkeiten, wir haben es jedoch vermieden, bestimmte Schulen oder Städte zu nennen.
Um Postfächer zu erstellen, nutzten wir den Server eines Hosting-Anbieters, mieteten dann mehrere Telefonnummern in den USA und kombinierten diese zu einer virtuellen Telefonanlage mit Sprachmenü und Anrufbeantworter.
Honeypot-Infrastruktur
Um eine Gefährdung zu vermeiden, haben wir uns für den Einsatz einer Kombination aus echter Industriehardware, physischen Computern und sicheren virtuellen Maschinen entschieden. Mit Blick auf die Zukunft können wir sagen, dass wir das Ergebnis unserer Bemühungen mithilfe der Shodan-Suchmaschine überprüft haben und festgestellt haben, dass der Honeypot wie ein echtes Industriesystem aussieht.
Das Ergebnis des Scannens eines Honeypots mit Shodan. Quelle: Trend Micro
Als Hardware für unsere Falle verwendeten wir vier SPS:
- Siemens S7-1200,
- zwei AllenBradley MicroLogix 1100,
- Omron CP1L.
Diese SPS wurden aufgrund ihrer Beliebtheit auf dem globalen Markt für Steuerungssysteme ausgewählt. Und jeder dieser Controller verwendet ein eigenes Protokoll, wodurch wir prüfen konnten, welche der SPS häufiger angegriffen würden und ob sie grundsätzlich jemanden interessieren würden.
Ausstattung unserer „Fabrik“-Falle. Quelle: Trend Micro
Wir haben nicht nur Hardware installiert und mit dem Internet verbunden. Wir haben jeden Controller so programmiert, dass er Aufgaben ausführt, einschließlich
- mischen,
- Brenner- und Förderbandsteuerung,
- Palettieren mit einem Robotermanipulator.
Und um den Produktionsprozess realistisch zu gestalten, haben wir eine Logik programmiert, die Feedback-Parameter nach dem Zufallsprinzip ändert, das Starten und Stoppen von Motoren sowie das Ein- und Ausschalten von Brennern simuliert.
Unsere Fabrik verfügte über drei virtuelle Computer und einen physischen. Virtuelle Computer wurden zur Steuerung einer Anlage, eines Palettierroboters und als Arbeitsplatz für einen SPS-Softwareentwickler eingesetzt. Der physische Computer fungierte als Dateiserver.
Neben der Überwachung von Angriffen auf SPS wollten wir auch den Status der auf unseren Geräten geladenen Programme überwachen. Dazu haben wir eine Schnittstelle erstellt, die es uns ermöglicht, schnell zu ermitteln, wie sich die Zustände unserer virtuellen Aktoren und Anlagen verändert haben. Bereits in der Planungsphase haben wir festgestellt, dass sich dies deutlich einfacher mit einem Steuerungsprogramm umsetzen lässt als durch die direkte Programmierung der Steuerungslogik. Wir haben den Zugriff auf die Geräteverwaltungsoberfläche unseres Honeypots über VNC ohne Passwort geöffnet.
Industrieroboter sind eine Schlüsselkomponente der modernen intelligenten Fertigung. In diesem Zusammenhang haben wir beschlossen, die Ausrüstung unserer Fallenfabrik um einen Roboter und einen automatisierten Arbeitsplatz zu seiner Steuerung zu erweitern. Um die „Fabrik“ realistischer zu gestalten, haben wir auf dem Steuerungsarbeitsplatz eine echte Software installiert, mit der Ingenieure die Logik des Roboters grafisch programmieren. Da sich Industrieroboter in der Regel in einem isolierten internen Netzwerk befinden, haben wir uns entschieden, den ungeschützten Zugriff per VNC nur dem Steuerungsarbeitsplatz zu überlassen.
RobotStudio-Umgebung mit einem 3D-Modell unseres Roboters. Quelle: Trend Micro
Wir haben die Programmierumgebung RobotStudio von ABB Robotics auf einer virtuellen Maschine mit Robotersteuerungsarbeitsplatz installiert. Nachdem wir RobotStudio konfiguriert hatten, öffneten wir eine Simulationsdatei mit unserem Roboter darin, sodass sein 3D-Bild auf dem Bildschirm sichtbar war. Wenn Shodan und andere Suchmaschinen einen ungesicherten VNC-Server erkennen, erfassen sie daher dieses Bildschirmbild und zeigen es denjenigen, die nach Industrierobotern mit offenem Steuerungszugriff suchen.
Ziel dieser Liebe zum Detail war es, ein attraktives und realistisches Ziel für Angreifer zu schaffen, die, sobald sie es gefunden hatten, immer wieder dorthin zurückkehren würden.
Arbeitsplatz des Ingenieurs
Um die SPS-Logik zu programmieren, haben wir die Infrastruktur um einen Engineering-Computer erweitert. Darauf wurde Industriesoftware zur SPS-Programmierung installiert:
- TIA-Portal für Siemens,
- MicroLogix für Allen-Bradley-Steuerung,
- CX-One für Omron.
Wir entschieden, dass der Engineering-Arbeitsbereich außerhalb des Netzwerks nicht zugänglich sein würde. Stattdessen legen wir für das Administratorkonto das gleiche Passwort fest wie auf dem Robotersteuerungsarbeitsplatz und dem über das Internet zugänglichen Werkssteuerungsarbeitsplatz. Diese Konfiguration ist in vielen Unternehmen durchaus üblich.
Leider erreichte trotz aller Bemühungen kein einziger Angreifer den Arbeitsplatz des Ingenieurs.
Dateiserver
Wir brauchten es als Köder für Angreifer und als Mittel zur Unterstützung unserer eigenen „Arbeit“ in der Lockvogelfabrik. Dadurch konnten wir Dateien über USB-Geräte mit unserem Honeypot teilen, ohne Spuren im Honeypot-Netzwerk zu hinterlassen. Als Betriebssystem für den Dateiserver haben wir Windows 7 Pro installiert, in dem wir einen freigegebenen Ordner erstellt haben, der von jedem gelesen und geschrieben werden kann.
Zunächst haben wir keine Hierarchie von Ordnern und Dokumenten auf dem Dateiserver angelegt. Später stellten wir jedoch fest, dass Angreifer diesen Ordner aktiv untersuchten, und beschlossen daher, ihn mit verschiedenen Dateien zu füllen. Zu diesem Zweck haben wir ein Python-Skript geschrieben, das eine Datei zufälliger Größe mit einer der angegebenen Erweiterungen erstellt und einen Namen basierend auf dem Wörterbuch bildet.
Skript zur Generierung attraktiver Dateinamen. Quelle: Trend Micro
Nachdem wir das Skript ausgeführt hatten, erhielten wir das gewünschte Ergebnis in Form eines Ordners voller Dateien mit sehr interessanten Namen.
Das Ergebnis des Skripts. Quelle: Trend Micro
Überwachungsumgebung
Nachdem wir so viel Mühe darauf verwendet hatten, ein realistisches Unternehmen zu schaffen, konnten wir es uns einfach nicht leisten, bei der Umgebung zur Überwachung unserer „Besucher“ zu versagen. Wir mussten alle Daten in Echtzeit abrufen, ohne dass die Angreifer merkten, dass sie beobachtet wurden.
Wir haben dies mithilfe von vier USB-zu-Ethernet-Adaptern, vier SharkTap-Ethernet-Taps, einem Raspberry Pi 3 und einem großen externen Laufwerk implementiert. Unser Netzwerkdiagramm sah so aus:
Honeypot-Netzwerkdiagramm mit Überwachungsgeräten. Quelle: Trend Micro
Wir haben drei SharkTap-Abzweige positioniert, um den gesamten externen Datenverkehr zur SPS zu überwachen, auf den nur über das interne Netzwerk zugegriffen werden kann. Der vierte SharkTap überwachte den Datenverkehr der Gäste einer anfälligen virtuellen Maschine.
SharkTap Ethernet Tap und Sierra Wireless AirLink RV50 Router. Quelle: Trend Micro
Raspberry Pi führte eine tägliche Verkehrserfassung durch. Wir haben uns über einen Sierra Wireless AirLink RV50-Mobilfunkrouter mit dem Internet verbunden, der häufig in Industrieunternehmen eingesetzt wird.
Leider war es uns mit diesem Router nicht möglich, Angriffe, die nicht unseren Plänen entsprachen, selektiv zu blockieren. Deshalb haben wir dem Netzwerk eine Cisco ASA 5505-Firewall im transparenten Modus hinzugefügt, um die Blockierung mit minimalen Auswirkungen auf das Netzwerk durchzuführen.
Verkehrsanalyse
Tshark und tcpdump eignen sich zur schnellen Lösung aktueller Probleme, aber in unserem Fall reichten ihre Fähigkeiten nicht aus, da wir viele Gigabyte Datenverkehr hatten, die von mehreren Personen analysiert wurden. Wir haben den von AOL entwickelten Open-Source-Moloch-Analysator verwendet. Die Funktionalität ist mit Wireshark vergleichbar, verfügt jedoch über mehr Funktionen für die Zusammenarbeit, das Beschreiben und Markieren von Paketen, das Exportieren und andere Aufgaben.
Da wir die gesammelten Daten nicht auf Honeypot-Rechnern verarbeiten wollten, wurden täglich PCAP-Dumps in den AWS-Speicher exportiert, von wo wir sie bereits auf die Moloch-Maschine importierten.
Bildschirmaufnahme
Um die Aktionen von Hackern in unserem Honeypot zu dokumentieren, haben wir ein Skript geschrieben, das in bestimmten Abständen Screenshots der virtuellen Maschine erstellt und durch den Vergleich mit dem vorherigen Screenshot feststellt, ob dort etwas passiert oder nicht. Wenn Aktivität erkannt wurde, beinhaltete das Skript eine Bildschirmaufzeichnung. Dieser Ansatz erwies sich als der effektivste. Wir haben auch versucht, den VNC-Verkehr aus einem PCAP-Dump zu analysieren, um zu verstehen, welche Änderungen im System stattgefunden haben, aber am Ende erwies sich die von uns implementierte Bildschirmaufzeichnung als einfacher und visueller.
Überwachung von VNC-Sitzungen
Hierzu haben wir Chaosreader und VNCLogger verwendet. Beide Dienstprogramme extrahieren Tastenanschläge aus einem PCAP-Dump, aber VNCLogger verarbeitet Tasten wie Rücktaste, Eingabetaste und Strg korrekter.
VNCLogger hat zwei Nachteile. Erstens: Es kann Schlüssel nur extrahieren, indem es den Datenverkehr auf der Schnittstelle „abhört“, daher mussten wir mit tcpreplay eine VNC-Sitzung dafür simulieren. Der zweite Nachteil von VNCLogger ist dem Chaosreader gemeinsam: Beide zeigen den Inhalt der Zwischenablage nicht an. Dazu musste ich Wireshark verwenden.
Wir locken Hacker
Wir haben einen Honeypot erstellt, der angegriffen werden kann. Um dies zu erreichen, haben wir ein Informationsleck inszeniert, um die Aufmerksamkeit potenzieller Angreifer zu erregen. Die folgenden Ports wurden auf Honeypot geöffnet:
Der RDP-Port musste kurz nach der Inbetriebnahme geschlossen werden, da der enorme Scan-Verkehr in unserem Netzwerk zu Leistungsproblemen führte.
Die VNC-Terminals arbeiteten zunächst im Nur-Ansicht-Modus ohne Passwort, dann haben wir sie „versehentlich“ auf Vollzugriffsmodus umgestellt.
Um Angreifer anzulocken, haben wir zwei Beiträge mit durchgesickerten Informationen über das verfügbare Industriesystem auf PasteBin veröffentlicht.
Einer der auf PasteBin geposteten Beiträge, um Angriffe anzulocken. Quelle: Trend Micro
Anschläge
Honeypot lebte etwa sieben Monate lang online. Der erste Angriff erfolgte einen Monat, nachdem Honeypot online ging.
Scanner
Es gab viel Verkehr von Scannern bekannter Unternehmen – IP-IP, Rapid, Shadow Server, Shodan, ZoomEye und anderen. Es waren so viele davon, dass wir ihre IP-Adressen aus der Analyse ausschließen mussten: 610 von 9452 oder 6,45 % aller eindeutigen IP-Adressen gehörten zu völlig legitimen Scannern.
Betrüger
Eines der größten Risiken, denen wir ausgesetzt waren, ist die Nutzung unseres Systems für kriminelle Zwecke: der Kauf von Smartphones über das Konto eines Abonnenten, die Auszahlung von Flugmeilen mithilfe von Geschenkkarten und andere Arten von Betrug.
Bergleute
Einer der ersten Besucher unseres Systems war ein Bergmann. Er lud die Monero-Mining-Software darauf herunter. Aufgrund der geringen Produktivität hätte er mit unserem speziellen System nicht viel Geld verdienen können. Wenn wir jedoch die Anstrengungen mehrerer Dutzend oder sogar Hunderter solcher Systeme bündeln, könnte es ganz gut ausgehen.
Ransomware
Während der Arbeit von Honeypot sind wir zweimal auf echte Ransomware-Viren gestoßen. Im ersten Fall war es Crysis. Seine Bediener meldeten sich über VNC am System an, installierten dann aber TeamViewer und führten damit weitere Aktionen aus. Nachdem wir auf eine Erpressungsnachricht gewartet hatten, in der ein Lösegeld in Höhe von 10 US-Dollar in BTC gefordert wurde, nahmen wir Kontakt mit den Kriminellen auf und baten sie, eine der Dateien für uns zu entschlüsseln. Sie kamen der Aufforderung nach und wiederholten die Lösegeldforderung. Es gelang uns, bis zu 6 Dollar auszuhandeln, woraufhin wir das System einfach erneut auf eine virtuelle Maschine hochluden, da wir alle notwendigen Informationen erhalten hatten.
Es stellte sich heraus, dass es sich bei der zweiten Ransomware um Phobos handelte. Der Hacker, der die Ransomware installierte, verbrachte eine Stunde damit, das Honeypot-Dateisystem zu durchsuchen, das Netzwerk zu scannen und installierte dann schließlich die Ransomware.
Der dritte Ransomware-Angriff erwies sich als Fake. Ein unbekannter „Hacker“ lud die Datei haha.bat auf unser System herunter, woraufhin wir eine Weile zusahen, wie er versuchte, sie zum Laufen zu bringen. Einer der Versuche bestand darin, haha.bat in haha.rnsmwr umzubenennen.
Der „Hacker“ erhöht die Schädlichkeit der Bat-Datei, indem er deren Erweiterung in .rnsmwr ändert. Quelle: Trend Micro
Als die Batchdatei endlich ausgeführt wurde, bearbeitete der „Hacker“ sie und erhöhte das Lösegeld von 200 $ auf 750 $. Danach „verschlüsselte“ er alle Dateien, hinterließ eine Erpressungsnachricht auf dem Desktop und verschwand, indem er die Passwörter auf unserem VNC änderte.
Ein paar Tage später kehrte der Hacker zurück und startete, um sich daran zu erinnern, eine Batchdatei, die viele Fenster mit einer Pornoseite öffnete. Offenbar versuchte er auf diese Weise auf seine Forderung aufmerksam zu machen.
Ergebnisse
Während der Studie stellte sich heraus, dass Honeypot Aufmerksamkeit erregte, sobald Informationen über die Sicherheitslücke veröffentlicht wurden, und dass die Aktivität von Tag zu Tag zunahm. Damit die Falle Aufmerksamkeit erregte, musste unser fiktives Unternehmen mehrere Sicherheitsverletzungen erleiden. Leider ist diese Situation bei vielen echten Unternehmen, die keine Vollzeitmitarbeiter im Bereich IT und Informationssicherheit haben, keine Seltenheit.
Im Allgemeinen sollten Organisationen das Prinzip der geringsten Privilegien anwenden, während wir genau das Gegenteil davon implementiert haben, um Angreifer anzulocken. Und je länger wir die Angriffe beobachteten, desto ausgefeilter wurden sie im Vergleich zu Standardmethoden für Penetrationstests.
Und was am wichtigsten ist: Alle diese Angriffe wären fehlgeschlagen, wenn beim Aufbau des Netzwerks angemessene Sicherheitsmaßnahmen umgesetzt worden wären. Organisationen müssen sicherstellen, dass ihre Ausrüstung und industriellen Infrastrukturkomponenten nicht über das Internet zugänglich sind, wie wir es in unserer Falle ausdrücklich getan haben.
Obwohl wir keinen einzigen Angriff auf den Arbeitsplatz eines Ingenieurs registriert haben, obwohl auf allen Computern dasselbe lokale Administratorkennwort verwendet wurde, sollte diese Praxis vermieden werden, um die Möglichkeit von Einbrüchen zu minimieren. Denn schwache Sicherheit ist eine zusätzliche Einladung zum Angriff auf Industriesysteme, die schon lange für Cyberkriminelle interessant sind.
Source: habr.com