Antivirusaj kompanioj, fakuloj pri informa sekureco kaj simple entuziasmuloj metas mielpotajn sistemojn en la Interreton por "kapti" novan varianton de la viruso aŭ identigi nekutimajn piratajn taktikojn. Mielpotoj estas tiel oftaj, ke ciberkrimuloj evoluigis specon de imuneco: ili rapide identigas, ke ili estas antaŭ kaptilo kaj simple ignoras ĝin. Por esplori la taktikojn de modernaj piratoj, ni kreis realisman mielpoton, kiu vivis en la Interreto dum sep monatoj, altirante diversajn atakojn. Ni parolis pri kiel tio okazis en nia studo "" Iuj faktoj de la studo estas en ĉi tiu afiŝo.
Honeypot-evoluo: kontrola listo
La ĉefa tasko en kreado de nia superkaptilo estis malhelpi nin esti elmontritaj de retpiratoj kiuj montris intereson pri ĝi. Ĉi tio postulis multe da laboro:
- Kreu realisman legendon pri la kompanio, inkluzive de plenaj nomoj kaj fotoj de dungitoj, telefonnumeroj kaj retpoŝtoj.
- Elpensi kaj efektivigi modelon de industria infrastrukturo, kiu respondas al la legendo pri la agadoj de nia kompanio.
- Decidu, kiuj retservoj estos alireblaj de ekstere, sed ne forportiĝu per malfermado de vundeblaj havenoj por ke ĝi ne aspektu kiel kaptilo por suĉuloj.
- Organizu la videblecon de informoj pri vundebla sistemo kaj distribuu ĉi tiujn informojn inter eblaj atakantoj.
- Efektivigu diskretan monitoradon de pirataj agadoj en la mielpota infrastrukturo.
Kaj nun unue unue.
Kreante legendon
Ciberkrimuloj jam kutimas renkonti multajn mielpotojn, do la plej progresinta parto de ili faras profundan esploron de ĉiu vundebla sistemo por certigi, ke ĝi ne estas kaptilo. Pro la sama kialo, ni serĉis certigi, ke la mielpoto ne nur estas realisma laŭ dezajno kaj teknikaj aspektoj, sed ankaŭ krei la aspekton de vera kompanio.
Metante nin en la ŝuojn de hipoteza malvarmeta retpirato, ni evoluigis konfirman algoritmon, kiu distingus realan sistemon de kaptilo. Ĝi inkludis serĉadon de firmaaj IP-adresoj en reputaciaj sistemoj, inversan esploradon en la historion de IP-adresoj, serĉado de nomoj kaj ŝlosilvortoj rilataj al la firmao, same kiel ĝiaj kontraŭpartioj, kaj multaj aliaj aferoj. Kiel rezulto, la legendo montriĝis sufiĉe konvinka kaj alloga.
Ni decidis poziciigi la forlogaĵfabrikon kiel malgrandan industrian prototipan butikon laborantan por tre grandaj anonimaj klientoj en la milita kaj aviada segmento. Ĉi tio liberigis nin de la laŭleĝaj komplikaĵoj asociitaj kun uzado de ekzistanta marko.
Poste ni devis elpensi vizion, mision kaj nomon por la organizo. Ni decidis, ke nia kompanio estos noventrepreno kun malgranda nombro da dungitoj, ĉiu el kiuj estas fondinto. Ĉi tio aldonis kredindecon al la rakonto pri la speciala naturo de nia komerco, kio permesas al ĝi trakti sentemajn projektojn por grandaj kaj gravaj klientoj. Ni volis, ke nia kompanio aspektu malforta el cibersekureca perspektivo, sed samtempe estis evidente, ke ni laboras kun gravaj valoraĵoj pri celsistemoj.
Ekrankopio de la retejo de MeTech honeypot. Fonto: Trend Micro
Ni elektis la vorton MeTech kiel la firmaonomon. La retejo estis farita surbaze de senpaga ŝablono. La bildoj estis prenitaj el fotobankoj, uzante la plej nepopularajn kaj modifante ilin por igi ilin malpli rekoneblaj.
Ni volis, ke la kompanio aspektu reala, do ni bezonis aldoni dungitojn kun profesiaj kapabloj, kiuj kongruas kun la profilo de la agado. Ni elpensis nomojn kaj personecojn por ili kaj poste provis elekti bildojn el fotobankoj laŭ etneco.
Ekrankopio de la retejo de MeTech honeypot. Fonto: Trend Micro
Por eviti esti malkovritaj, ni serĉis bonkvalitajn grupfotojn el kiuj ni povus elekti la vizaĝojn, kiujn ni bezonis. Tamen ni tiam forlasis ĉi tiun opcion, ĉar ebla retpirato povus uzi inversan bildserĉon kaj malkovri, ke niaj "dungitoj" loĝas nur en fotobankoj. Fine ni uzis fotojn de neekzistantaj homoj kreitaj per neŭralaj retoj.
Profiloj de dungitoj publikigitaj en la retejo enhavis gravajn informojn pri siaj teknikaj kapabloj, sed ni evitis identigi specifajn lernejojn aŭ urbojn.
Por krei leterkestojn, ni uzis servilon de gastiga provizanto, kaj poste luis plurajn telefonnumerojn en Usono kaj kombinis ilin en virtualan PBX kun voĉmenuo kaj respondilo.
Honeypot infrastrukturo
Por eviti malkovron, ni decidis uzi kombinaĵon de reala industria aparataro, fizikaj komputiloj kaj sekuraj virtualaj maŝinoj. Rigardante antaŭen, ni diros, ke ni kontrolis la rezulton de niaj klopodoj uzante la serĉilon Shodan, kaj ĝi montris, ke la mielpoto aspektas kiel vera industria sistemo.
La rezulto de skanado de mielpoto uzante Shodan. Fonto: Trend Micro
Ni uzis kvar PLCojn kiel aparataron por nia kaptilo:
- Siemens S7-1200,
- du AllenBradley MicroLogix 1100,
- Omron CP1L.
Ĉi tiuj PLCoj estis elektitaj pro sia populareco en la tutmonda kontrolsistemmerkato. Kaj ĉiu el ĉi tiuj regiloj uzas sian propran protokolon, kio permesis al ni kontroli, kiuj el la PLC-oj estus atakitaj pli ofte kaj ĉu ili principe interesus iun ajn.
Ekipaĵo de nia "fabriko"-kaptilo. Fonto: Trend Micro
Ni ne nur instalis aparataron kaj konektis ĝin al Interreto. Ni programis ĉiun regilon por plenumi taskojn, inkluzive
- miksado,
- kontrolo de brulilo kaj transportbendo,
- paletigado per robotmanipulanto.
Kaj por igi la produktadprocezon realisma, ni programis logikon por hazarde ŝanĝi respondajn parametrojn, simuli motorojn ekfunkciantajn kaj haltante, kaj brulilojn ŝaltante kaj malŝalti.
Nia fabriko havis tri virtualajn komputilojn kaj unu fizikan. Virtualaj komputiloj kutimis kontroli planton, paletizilroboton, kaj kiel laborstacio por PLC softvarinĝeniero. La fizika komputilo funkciis kiel dosierservilo.
Krom monitorado de atakoj sur PLCoj, ni volis kontroli la staton de programoj ŝarĝitaj sur niaj aparatoj. Por fari tion, ni kreis interfacon, kiu permesis al ni rapide determini kiel la statoj de niaj virtualaj aktuarioj kaj instalaĵoj estis modifitaj. Jam en la planadstadio, ni malkovris, ke estas multe pli facile efektivigi ĉi tion uzante kontrolprogramon ol per rekta programado de la regila logiko. Ni malfermis aliron al la aparato-administra interfaco de nia mielpoto per VNC sen pasvorto.
Industriaj robotoj estas ŝlosila komponanto de moderna inteligenta fabrikado. Ĉi-rilate, ni decidis aldoni roboton kaj aŭtomatigitan laborejon por kontroli ĝin al la ekipaĵo de nia kaptilfabriko. Por fari la "fabrikon" pli realisma, ni instalis veran programaron sur la kontrolstacio, kiun inĝenieroj uzas por grafike programi la logikon de la roboto. Nu, ĉar industriaj robotoj kutime troviĝas en izolita interna reto, ni decidis lasi senprotektan aliron per VNC nur al la kontrola laborstacio.
RobotStudio-medio kun 3D-modelo de nia roboto. Fonto: Trend Micro
Ni instalis la programan medion RobotStudio de ABB Robotics sur virtuala maŝino kun robota kontrola stacidomo. Agordinte RobotStudion, ni malfermis simulan dosieron kun nia roboto en ĝi, por ke ĝia 3D-bildo estu videbla sur la ekrano. Kiel rezulto, Shodan kaj aliaj serĉiloj, post detektado de nesekurigita VNC-servilo, kaptos ĉi tiun ekranbildon kaj montros ĝin al tiuj, kiuj serĉas industriajn robotojn kun libera aliro al kontrolo.
La punkto de ĉi tiu atento al detaloj estis krei allogan kaj realisman celon por atakantoj kiuj, post kiam ili trovis ĝin, revenus al ĝi denove kaj denove.
Laborejo de inĝeniero
Por programi la PLC-logikon, ni aldonis inĝenieran komputilon al la infrastrukturo. Industria softvaro por PLC-programado estis instalita sur ĝi:
- TIA Portalo por Siemens,
- MicroLogix por Allen-Bradley-regilo,
- CX-One por Omron.
Ni decidis, ke la inĝenieristika laborejo ne estos alirebla ekster la reto. Anstataŭe, ni agordas la saman pasvorton por la administranta konto kiel ĉe la robota kontrolstacio kaj la fabrika kontrolstacio alirebla de la Interreto. Ĉi tiu agordo estas sufiĉe ofta en multaj kompanioj.
Bedaŭrinde, malgraŭ ĉiuj niaj klopodoj, eĉ ne unu atakanto atingis la laborstacion de la inĝeniero.
Dosierservilo
Ni bezonis ĝin kiel logilon por atakantoj kaj kiel rimedon por subteni nian propran "laboron" en la forlogaĵfabriko. Ĉi tio permesis al ni dividi dosierojn kun nia mielpoto uzante USB-aparatojn sen lasi spuron en la mielpoto-reto. Ni instalis Windows 7 Pro kiel la OS por la dosierservilo, en kiu ni kreis komunan dosierujon, kiu povas esti legita kaj skribita de iu ajn.
Komence ni ne kreis ajnan hierarkion de dosierujoj kaj dokumentoj sur la dosierservilo. Tamen ni poste malkovris, ke atakantoj aktive studas ĉi tiun dosierujon, do ni decidis plenigi ĝin per diversaj dosieroj. Por fari tion, ni skribis python-skripton, kiu kreis dosieron de hazarda grandeco kun unu el la donitaj etendoj, formante nomon bazitan sur la vortaro.
Skripto por generi allogajn dosiernomojn. Fonto: Trend Micro
Post rulado de la skripto, ni ricevis la deziratan rezulton en formo de dosierujo plenigita de dosieroj kun tre interesaj nomoj.
La rezulto de la skripto. Fonto: Trend Micro
Monitora medio
Pasiginte tiom da penado krei realisman kompanion, ni simple ne povis pagi malsukcesi pri la medio por monitorado de niaj "vizitantoj". Ni bezonis akiri ĉiujn datumojn en reala tempo sen ke la atakantoj rimarku, ke ili estas rigardataj.
Ni efektivigis ĉi tion uzante kvar USB-al Ethernet-adaptilojn, kvar SharkTap Ethernet-frapetojn, Raspberry Pi 3 kaj grandan eksteran stiradon. Nia retdiagramo aspektis jene:
Honeypot retdiagramo kun monitora ekipaĵo. Fonto: Trend Micro
Ni poziciigis tri SharkTap-frapojn por kontroli la tutan eksteran trafikon al la PLC, alirebla nur de la interna reto. La kvara SharkTap monitoris la trafikon de gastoj de vundebla virtuala maŝino.
SharkTap Ethernet Tap kaj Sierra Wireless AirLink RV50 Router. Fonto: Trend Micro
Raspberry Pi faris ĉiutagan trafikan kapton. Ni konektis al la Interreto per ĉela enkursigilo Sierra Wireless AirLink RV50, ofte uzata en industriaj entreprenoj.
Bedaŭrinde, ĉi tiu enkursigilo ne permesis al ni selekte bloki atakojn, kiuj ne kongruis kun niaj planoj, do ni aldonis Cisco ASA 5505 fajroŝirmilon al la reto en travidebla reĝimo por fari blokadon kun minimuma efiko sur la reto.
Analizo de trafiko
Tshark kaj tcpdump taŭgas por rapide solvi aktualajn problemojn, sed en nia kazo iliaj kapabloj ne sufiĉis, ĉar ni havis multajn gigabajtojn da trafiko, kiujn analizis pluraj homoj. Ni uzis la malfermfontan Moloch-analizilon evoluigitan de AOL. Ĝi estas komparebla laŭ funkcieco al Wireshark, sed havas pli da kapabloj por kunlaboro, priskribado kaj etikedado de pakaĵoj, eksporto kaj aliaj taskoj.
Ĉar ni ne volis prilabori la kolektitajn datumojn sur honeypot-komputiloj, PCAP-forĵetaĵoj estis eksportitaj ĉiutage al AWS-stokado, de kie ni jam importis ilin al la Moloch-maŝino.
Ekrana registrado
Por dokumenti la agojn de piratoj en nia mielpoto, ni skribis skripton, kiu prenis ekrankopiojn de la virtuala maŝino je difinita intervalo kaj, komparante ĝin kun la antaŭa ekrankopio, determinis ĉu io okazas tie aŭ ne. Kiam agado estis detektita, la skripto inkludis ekranregistradon. Ĉi tiu aliro montriĝis la plej efika. Ni ankaŭ provis analizi VNC-trafikon de PCAP-ruĝejo por kompreni kiajn ŝanĝojn okazis en la sistemo, sed finfine la ekranregistrado, kiun ni efektivigis, montriĝis pli simpla kaj pli vida.
Monitorado de VNC-sesioj
Por tio ni uzis Chaosreader kaj VNCLogger. Ambaŭ iloj ĉerpas klavpremojn el PCAP-ruĝejo, sed VNCLogger pritraktas klavojn kiel Backspace, Enter, Ctrl pli ĝuste.
VNCLogger havas du malavantaĝojn. Unue: ĝi povas nur ĉerpi ŝlosilojn per "aŭskultado" al trafiko sur la interfaco, do ni devis simuli VNC-sesion por ĝi uzante tcpreplay. La dua malavantaĝo de VNCLogger estas ofta ĉe Chaosreader: ili ambaŭ ne montras la enhavon de la tondujo. Por fari tion mi devis uzi Wireshark.
Ni allogas piratojn
Ni kreis mielpoton por esti atakataj. Por atingi ĉi tion, ni enscenigis informan likon por altiri la atenton de eblaj atakantoj. La sekvaj havenoj estis malfermitaj sur mielpoto:
La RDP-haveno devis esti fermita baldaŭ post kiam ni ekfunkciis ĉar la amasa kvanto da skanada trafiko en nia reto kaŭzis rendimentajn problemojn.
La VNC-terminaloj unue funkciis en nurvida reĝimo sen pasvorto, kaj poste ni "erare" ŝanĝis ilin al plena alirreĝimo.
Por altiri atakantojn, ni afiŝis du afiŝojn kun filtritaj informoj pri la disponebla industria sistemo sur PasteBin.
Unu el la afiŝoj afiŝitaj sur PasteBin por altiri atakojn. Fonto: Trend Micro
atakoj
Honeypot vivis rete dum proksimume sep monatoj. La unua atako okazis monaton post kiam mielpoto enretiĝis.
Skaniloj
Estis multe da trafiko de skaniloj de konataj kompanioj - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye kaj aliaj. Estis tiom da ili, ke ni devis ekskludi iliajn IP-adresojn de la analizo: 610 el 9452 aŭ 6,45% de ĉiuj unikaj IP-adresoj apartenis al tute legitimaj skaniloj.
Scammers
Unu el la plej grandaj riskoj, kiujn ni alfrontis, estas la uzo de nia sistemo por krimaj celoj: aĉeti saĝtelefonojn per konto de abonanto, enspezi flugmejlojn per donackartoj kaj aliaj specoj de fraŭdo.
Ministoj
Unu el la unuaj vizitantoj al nia sistemo montriĝis ministo. Li elŝutis Monero-minadprogramaron sur ĝi. Li ne estus povinta gajni multe da mono per nia aparta sistemo pro malalta produktiveco. Tamen, se ni kombinas la klopodojn de kelkaj dekoj aŭ eĉ centoj da tiaj sistemoj, ĝi povus rezulti sufiĉe bone.
Ransomware
Dum la laboro de honeypot, ni renkontis realajn ransomware-virusojn dufoje. En la unua kazo ĝi estis Crysis. Ĝiaj funkciigistoj ensalutis en la sistemon per VNC, sed poste instalis TeamViewer kaj uzis ĝin por fari pliajn agojn. Post atendado de ĉantaĝo-mesaĝo postulanta elaĉeton de $10 en BTC, ni eniris korespondadon kun la krimuloj, petante ilin deĉifri unu el la dosieroj por ni. Ili plenumis la peton kaj ripetis la elaĉetomonon. Ni sukcesis negoci ĝis 6 mil dolaroj, post kio ni simple re-alŝutis la sistemon al virtuala maŝino, ĉar ni ricevis ĉiujn necesajn informojn.
La dua ransomware montriĝis por Fobos. La retpirato kiu instalis ĝin pasigis horon foliumi la honeypot-dosiersistemon kaj skanante la reton, kaj poste finfine instalis la ransomware.
La tria ransomware-atako montriĝis falsa. Nekonata "hakisto" elŝutis la dosieron haha.bat en nian sistemon, post kio ni rigardis dum iom da tempo, kiam li provis ĝin funkcii. Unu el la provoj estis renomi haha.bat al haha.rnsmwr.
La "hacker" pliigas la malutilon de la bat-dosiero ŝanĝante ĝian etendon al .rnsmwr. Fonto: Trend Micro
Kiam la bata dosiero finfine ekfunkciis, la "pirato" redaktis ĝin, pliigante la elaĉetomonon de $200 ĝis $750. Post tio, li "ĉifris" ĉiujn dosierojn, lasis ĉantaĝon mesaĝon sur la labortablo kaj malaperis, ŝanĝante la pasvortojn sur nia VNC.
Kelkajn tagojn poste, la retpirato revenis kaj, por memorigi sin, lanĉis grupan dosieron, kiu malfermis multajn fenestrojn kun pornejo. Ŝajne, tiamaniere li provis atentigi sian postulon.
Rezultoj
Dum la studo, montriĝis, ke tuj kiam informoj pri la vundebleco estis publikigita, mielpoto altiris atenton, kun agado kreskanta tago post tago. Por ke la kaptilo akiru atenton, nia fikcia firmao devis suferi plurajn sekurecrompojn. Bedaŭrinde, ĉi tiu situacio estas malofta inter multaj realaj kompanioj, kiuj ne havas plentempajn dungitojn pri IT kaj informa sekureco.
Ĝenerale, organizoj devus uzi la principon de malplej privilegio, dum ni efektivigis la ĝustan malon de ĝi por altiri atakantojn. Kaj ju pli longe ni observis la atakojn, des pli kompleksaj ili fariĝis kompare kun normaj penetraj testaj metodoj.
Kaj plej grave, ĉiuj ĉi tiuj atakoj malsukcesus se taŭgaj sekurecaj mezuroj estus efektivigitaj dum la agordo de la reto. Organizoj devas certigi, ke iliaj ekipaĵoj kaj industriaj infrastrukturaj komponantoj ne estas alireblaj de la Interreto, kiel ni specife faris en nia kaptilo.
Kvankam ni ne registris eĉ unu atakon kontraŭ laborstacio de inĝeniero, malgraŭ uzi la saman pasvorton de loka administranto en ĉiuj komputiloj, ĉi tiu praktiko devus esti evitita por minimumigi la eblecon de entrudiĝoj. Post ĉio, malforta sekureco servas kiel plia invito por ataki industriajn sistemojn, kiuj delonge interesas ciberkrimulojn.
fonto: www.habr.com