Viirusetõrjefirmad, infoturbeeksperdid ja lihtsalt entusiastid panevad meepotisüsteeme internetti, et viiruse uut varianti “püüda” või tuvastada ebatavalisi häkkerite taktikaid. Honeypots on nii levinud, et küberkurjategijatel on tekkinud omamoodi puutumatus: nad tuvastavad kiiresti, et on lõksu ees, ja lihtsalt ignoreerivad seda. Kaasaegsete häkkerite taktika uurimiseks lõime realistliku meepoti, mis elas Internetis seitse kuud ja meelitas ligi erinevaid rünnakuid. Rääkisime sellest, kuidas see juhtus meie uuringus "" Mõned faktid uuringust on selles postituses.
Honeypoti arendus: kontrollnimekiri
Peamine ülesanne meie superlõksu loomisel oli takistada meid paljastamast häkkerite poolt, kes selle vastu huvi üles näitasid. See nõudis palju tööd:
- Looge ettevõtte kohta realistlik legend, sealhulgas töötajate täisnimed ja fotod, telefoninumbrid ja e-posti aadressid.
- Mõelda välja ja rakendada tööstustaristu mudel, mis vastab meie ettevõtte tegevuse legendile.
- Otsustage, millised võrguteenused on väljastpoolt ligipääsetavad, kuid ärge laske end lahti haavatavate portide avamisest, et see ei näeks välja nagu ibude lõks.
- Korraldage haavatava süsteemi teabelekete nähtavus ja levitage seda teavet potentsiaalsete ründajate vahel.
- Rakendage häkkerite tegevuse diskreetset jälgimist meepoti infrastruktuuris.
Ja nüüd kõigest korras.
Legendi loomine
Küberkurjategijad on juba harjunud paljude meepottidega kokku puutuma, nii et kõige arenenum osa neist uurib iga haavatavat süsteemi põhjalikult, et veenduda, et tegemist pole lõksuga. Samal põhjusel püüdsime tagada, et meepott ei oleks mitte ainult disaini ja tehniliste aspektide poolest realistlik, vaid looks ka tõelise ettevõtte välimuse.
Pannes end hüpoteetilise laheda häkkeri olukorda, töötasime välja kontrollialgoritmi, mis eristaks reaalset süsteemi lõksust. See hõlmas ettevõtte IP-aadresside otsimist mainesüsteemides, IP-aadresside ajaloo pöörduuringut, ettevõtte, aga ka selle vastaspooltega seotud nimede ja märksõnade otsimist ning palju muud. Selle tulemusena osutus legend üsna veenvaks ja atraktiivseks.
Otsustasime positsioneerida peibutustehase väikese tööstusliku prototüüpide butiigina, mis töötab väga suurte anonüümsete klientide jaoks sõjaväe- ja lennundussegmendis. See vabastas meid juriidilistest komplikatsioonidest, mis on seotud olemasoleva kaubamärgi kasutamisega.
Edasi tuli välja mõelda organisatsiooni visioon, missioon ja nimi. Otsustasime, et meie ettevõttest saab idufirma, millel on vähe töötajaid, kellest igaüks on asutaja. See lisas usaldusväärsust loole meie ettevõtte eripärast, mis võimaldab tal käsitleda tundlikke projekte suurte ja oluliste klientide jaoks. Tahtsime, et meie ettevõte näiks küberturvalisuse vaatenurgast nõrk, kuid samal ajal oli ilmne, et töötame sihtsüsteemides oluliste varadega.
MeTech honeypoti veebisaidi ekraanipilt. Allikas: Trend Micro
Ettevõtte nimeks valisime sõna MeTech. Sait tehti tasuta malli alusel. Pildid on võetud fotopankadest, kasutades kõige ebapopulaarsemaid ja muutes neid vähem äratuntavaks.
Tahtsime, et ettevõte näeks välja ehtne, mistõttu oli vaja lisada töötajaid, kelle erialased oskused vastavad tegevuse profiilile. Mõtlesime neile välja nimed ja isiksused ning proovisime seejärel fotopankadest pilte valida rahvuse järgi.
MeTech honeypoti veebisaidi ekraanipilt. Allikas: Trend Micro
Avastamise vältimiseks otsisime hea kvaliteediga grupifotosid, mille hulgast saime valida endale vajalikud näod. Seejärel aga loobusime sellest võimalusest, kuna potentsiaalne häkker võis kasutada pöördpildiotsingut ja avastada, et meie “töötajad” elavad ainult fotopankades. Lõppkokkuvõttes kasutasime olematute inimeste fotosid, mis on tehtud närvivõrkude abil.
Saidil avaldatud töötajate profiilid sisaldasid olulist teavet nende tehniliste oskuste kohta, kuid vältisime konkreetsete koolide või linnade tuvastamist.
Postkastide loomiseks kasutasime hostingu pakkuja serverit ning seejärel rentisime USA-s mitu telefoninumbrit ning ühendasime need virtuaalseks PBX-iks koos häälmenüü ja automaatvastajaga.
Honeypoti infrastruktuur
Kokkupuute vältimiseks otsustasime kasutada päris tööstusliku riistvara, füüsiliste arvutite ja turvaliste virtuaalmasinate kombinatsiooni. Tulevikku vaadates ütleme, et kontrollisime oma jõupingutuste tulemusi Shodani otsingumootori abil ja see näitas, et meepott näeb välja nagu tõeline tööstussüsteem.
Shodani abil meepoti skannimise tulemus. Allikas: Trend Micro
Kasutasime oma lõksu riistvarana nelja PLC-d:
- Siemens S7-1200,
- kaks AllenBradley MicroLogix 1100,
- Omron CP1L.
Need PLC-d valiti välja nende populaarsuse järgi ülemaailmsel juhtimissüsteemide turul. Ja igaüks neist kontrolleritest kasutab oma protokolli, mis võimaldas meil kontrollida, milliseid PLC-sid rünnataks sagedamini ja kas need pakuvad kellelegi põhimõtteliselt huvi.
Meie “tehase”-lõksu varustus. Allikas: Trend Micro
Me ei installinud lihtsalt riistvara ega ühendanud seda Internetti. Programmeerisime iga kontrolleri ülesandeid täitma, sh
- segamine,
- põleti ja konveierilindi juhtimine,
- kaubaaluste pakkimine robotmanipulaatori abil.
Tootmisprotsessi realistlikuks muutmiseks programmeerisime loogika, et muuta juhuslikult tagasiside parameetreid, simuleerida mootorite käivitumist ja seiskamist ning põletite sisse- ja väljalülitamist.
Meie tehases oli kolm virtuaalset arvutit ja üks füüsiline. Virtuaalseid arvuteid kasutati tehase juhtimiseks, palletiseerija roboti ja PLC tarkvarainseneri tööjaamana. Füüsiline arvuti töötas failiserverina.
Lisaks PLC-de rünnakute jälgimisele soovisime jälgida ka meie seadmetesse laaditud programmide olekut. Selleks lõime liidese, mis võimaldas meil kiiresti kindlaks teha, kuidas meie virtuaalsete täiturmehhanismide ja installatsioonide olekuid muudeti. Juba planeerimisetapis avastasime, et seda on palju lihtsam teostada juhtprogrammi abil kui kontrolleri loogika otsese programmeerimisega. Avasime juurdepääsu meie honeypoti seadmehaldusliidesele VNC kaudu ilma paroolita.
Tööstusrobotid on kaasaegse nutika tootmise võtmekomponent. Sellega seoses otsustasime oma lõksutehase seadmetesse lisada roboti ja selle juhtimiseks automatiseeritud töökoha. “Tehase” realistlikumaks muutmiseks paigaldasime juhtimistööjaama reaalse tarkvara, mida insenerid kasutavad roboti loogika graafiliseks programmeerimiseks. Noh, kuna tööstusrobotid asuvad tavaliselt isoleeritud sisevõrgus, otsustasime jätta VNC kaudu kaitsmata juurdepääsu ainult juhtimistööjaamale.
RobotStudio keskkond meie roboti 3D mudeliga. Allikas: Trend Micro
Paigaldasime robotijuhtimistöökohaga virtuaalmasinasse RobotStudio programmeerimiskeskkonna ABB Roboticsilt. Pärast RobotStudio seadistamist avasime oma robotiga simulatsioonifaili, nii et selle 3D-pilt oli ekraanil nähtav. Selle tulemusena haaravad Shodan ja teised otsingumootorid turvamata VNC-serveri tuvastamisel selle ekraanipildi ja näitavad seda neile, kes otsivad avatud juhtimisega tööstusroboteid.
Selle detailidele tähelepanu pööramise eesmärk oli luua ründajatele atraktiivne ja realistlik sihtmärk, kes pärast selle leidmist selle juurde ikka ja jälle tagasi pöörduks.
Inseneri tööjaam
PLC loogika programmeerimiseks lisasime infrastruktuuri inseneriarvuti. Sellele installiti PLC programmeerimiseks mõeldud tööstustarkvara:
- Siemensi TIA portaal,
- MicroLogix Allen-Bradley kontrollerile,
- CX-One Omronile.
Otsustasime, et inseneritööruumi ei pääse väljaspool võrku. Selle asemel määrame administraatori kontole sama parooli, mis robotijuhtimistöökohal ja internetist ligipääsetavas tehasejuhtimistööjaamas. See konfiguratsioon on paljudes ettevõtetes üsna tavaline.
Kahjuks ei jõudnud kõigist meie pingutustest hoolimata inseneri tööjaama mitte ükski ründaja.
Failiserver
Meil oli seda vaja söödana ründajatele ja vahendina omaenda “töö” toetamiseks peibutustehases. See võimaldas meil USB-seadmete abil faile oma meepotiga jagada, jätmata meepoti võrku jälgi. Failiserveri operatsioonisüsteemiks installisime Windows 7 Pro, millesse lõime jagatud kausta, mida saab lugeda ja kirjutada igaüks.
Alguses ei loonud me failiserveris kaustade ja dokumentide hierarhiat. Hiljem avastasime aga, et ründajad uurisid seda kausta aktiivselt, mistõttu otsustasime selle erinevate failidega täita. Selleks kirjutasime pythoni skripti, mis lõi juhusliku suurusega faili ühe etteantud laiendiga, moodustades sõnastiku põhjal nime.
Skript atraktiivsete failinimede genereerimiseks. Allikas: Trend Micro
Pärast skripti käivitamist saime soovitud tulemuse kausta kujul, mis oli täidetud väga huvitavate nimedega failidega.
Skripti tulemus. Allikas: Trend Micro
Seirekeskkond
Olles kulutanud nii palju pingutusi realistliku ettevõtte loomisel, ei saanud me lihtsalt lubada endale "külastajate" jälgimise keskkonnas ebaõnnestumist. Meil oli vaja saada kõik andmed reaalajas, ilma et ründajad mõistaksid, et neid jälgitakse.
Rakendasime selle nelja USB-Ethernet-adapteri, nelja SharkTap Etherneti kraani, Raspberry Pi 3 ja suure välise draivi abil. Meie võrguskeem nägi välja selline:
Honeypoti võrguskeem koos seireseadmetega. Allikas: Trend Micro
Positsioneerisime kolm SharkTapi kraani nii, et jälgida kogu PLC-le suunatavat välist liiklust, millele pääseb juurde ainult sisevõrgust. Neljas SharkTap jälgis haavatava virtuaalmasina külaliste liiklust.
SharkTap Ethernet Tap ja Sierra Wireless AirLink RV50 ruuter. Allikas: Trend Micro
Raspberry Pi teostas igapäevast liikluse jäädvustamist. Interneti-ühenduse lõime Sierra Wireless AirLink RV50 mobiilse ruuteri abil, mida sageli kasutatakse tööstusettevõtetes.
Kahjuks ei võimaldanud see ruuter meil valikuliselt blokeerida rünnakuid, mis ei vastanud meie plaanidele, mistõttu lisasime võrku Cisco ASA 5505 tulemüüri läbipaistvas režiimis, et teostada blokeerimist minimaalse mõjuga võrku.
Liiklusanalüüs
Tshark ja tcpdump sobivad praeguste probleemide kiireks lahendamiseks, kuid meie puhul nende võimalustest ei piisanud, kuna meil oli palju gigabaite liiklust, mida analüüsisid mitmed inimesed. Kasutasime AOL-i välja töötatud avatud lähtekoodiga Molochi analüsaatorit. Funktsionaalsuselt on see võrreldav Wiresharkiga, kuid sellel on rohkem võimalusi koostööks, pakettide kirjeldamiseks ja märgistamiseks, eksportimiseks ja muudeks ülesanneteks.
Kuna me ei soovinud kogutud andmeid meepoti arvutites töödelda, eksporditi PCAP prügimäed iga päev AWS salvestusruumi, kust need juba Molochi masinasse importisime.
Ekraani salvestamine
Häkkerite tegevuse dokumenteerimiseks meie meepotis kirjutasime skripti, mis tegi virtuaalmasinast teatud intervalliga ekraanipilte ja tegi seda eelmise ekraanipildiga võrreldes kindlaks, kas seal midagi toimub või mitte. Kui tegevus tuvastati, sisaldas skript ekraanisalvestust. See lähenemisviis osutus kõige tõhusamaks. Püüdsime analüüsida ka PCAP-i prügikastist pärit VNC-liiklust, et mõista, millised muudatused süsteemis on toimunud, kuid lõpuks osutus meie rakendatud ekraanisalvestus lihtsamaks ja visuaalsemaks.
VNC seansside jälgimine
Selleks kasutasime Chaosreaderit ja VNCLoggerit. Mõlemad utiliidid ekstraheerivad klahvivajutused PCAP-i prügikastist, kuid VNCLogger käsitleb klahve nagu Backspace, Enter, Ctrl õigemini.
VNCLoggeril on kaks puudust. Esiteks: see saab võtmeid ekstraheerida ainult liidese liiklust kuulates, seega pidime simuleerima selle jaoks VNC-seanssi, kasutades tcpreplay. VNCLoggeri teine puudus on Chaosreaderi puhul tavaline: need mõlemad ei näita lõikepuhvri sisu. Selleks pidin kasutama Wiresharki.
Me meelitame häkkereid
Lõime meepoti, et meid rünnata. Selle saavutamiseks korraldasime potentsiaalsete ründajate tähelepanu äratamiseks teabelekke. Meepotil avati järgmised pordid:
RDP-port tuli sulgeda varsti pärast otseülekande algust, kuna meie võrgu tohutu skannimisliiklus põhjustas jõudlusprobleeme.
VNC-terminalid töötasid esmalt ainult vaatamisrežiimis ilma paroolita ja seejärel lülitasime need "kogemata" täieliku juurdepääsu režiimi.
Ründajate meelitamiseks postitasime PasteBinis kaks postitust lekkinud teabega saadaoleva tööstussüsteemi kohta.
Üks PasteBinis postitatud postitustest rünnakute meelitamiseks. Allikas: Trend Micro
Rünnakud
Honeypot elas võrgus umbes seitse kuud. Esimene rünnak leidis aset kuu aega pärast honeypoti võrku jõudmist.
Skannerid
Palju liiklust oli tuntud firmade skanneritelt - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye jt. Neid oli nii palju, et pidime nende IP-aadressid analüüsist välja jätma: 610 9452-st ehk 6,45% kõigist unikaalsetest IP-aadressidest kuulusid täiesti legitiimsetele skanneritele.
Petturid
Üks suurimaid riske, millega oleme silmitsi seisnud, on meie süsteemi kasutamine kriminaalsetel eesmärkidel: abonendi konto kaudu nutitelefonide ostmine, kinkekaartide abil lennukilomeetrite väljamaksmine ja muud tüüpi pettused.
Kaevurid
Üks esimesi meie süsteemi külastajaid osutus kaevuriks. Ta laadis sellele alla Monero kaevandustarkvara. Madala tootlikkuse tõttu poleks ta meie konkreetse süsteemiga palju raha teenida saanud. Kui aga kombineerida mitmekümne või isegi sadade selliste süsteemide jõupingutused, võib see päris hästi välja kukkuda.
Lunavara
Honeypoti töö käigus puutusime kahel korral kokku tõeliste lunavaraviirustega. Esimesel juhul oli see Crysis. Selle operaatorid logisid süsteemi sisse VNC kaudu, kuid installisid seejärel TeamVieweri ja kasutasid seda edasiste toimingute tegemiseks. Olles oodanud väljapressimisteate, milles nõuti BTC-s 10 6 dollari suurust lunaraha, alustasime kurjategijatega kirjavahetust, paludes neil üks fail meie eest dekrüpteerida. Nad täitsid palve ja kordasid lunarahanõuet. Meil õnnestus kaubelda kuni XNUMX tuhande dollarini, pärast mida laadisime süsteemi lihtsalt uuesti virtuaalmasinasse, kuna saime kogu vajaliku teabe.
Teiseks lunavaraks osutus Phobos. Selle paigaldanud häkker veetis tund aega honeypoti failisüsteemi sirvides ja võrku skaneerides ning lõpuks installis lunavara.
Kolmas lunavararünnak osutus võltsiks. Tundmatu "häkker" laadis faili haha.bat meie süsteemi alla, misjärel vaatasime mõnda aega, kuidas ta üritas seda tööle saada. Üks katsetest oli nimetada haha.bat ümber haha.rnsmwr-ks.
"Häkker" suurendab nahkhiirefaili kahjulikkust, muutes selle laiendiks .rnsmwr. Allikas: Trend Micro
Kui partiifail lõpuks tööle hakkas, muutis "häkker" seda, suurendades lunaraha 200 dollarilt 750 dollarile. Pärast seda "krüpteeris" kõik failid, jättis töölauale väljapressimisteate ja kadus, muutes meie VNC paroole.
Paar päeva hiljem naasis häkker ja käivitas endale meeldetuletuseks partiifaili, mis avas palju aknaid porno saidiga. Ilmselt püüdis ta sel moel oma nõudmisele tähelepanu juhtida.
Tulemused
Uuringu käigus selgus, et kohe, kui haavatavuse kohta info avaldati, tõmbas meepott tähelepanu, aktiivsus kasvas iga päevaga. Et lõks tähelepanu pälviks, pidi meie fiktiivne ettevõte kannatama mitme turvarikkumise all. Kahjuks pole selline olukord sugugi haruldane paljude reaalsete ettevõtete seas, kellel pole täiskohaga IT- ja infoturbe töötajaid.
Üldiselt peaksid organisatsioonid kasutama vähimate privileegide põhimõtet, samas kui meie rakendasime ründajate meelitamiseks sellele täpselt vastupidist. Ja mida kauem me rünnakuid vaatasime, seda keerukamaks need muutusid võrreldes tavaliste läbitungimise testimismeetoditega.
Ja mis kõige tähtsam, kõik need rünnakud oleksid ebaõnnestunud, kui võrgu seadistamisel oleks rakendatud piisavaid turvameetmeid. Organisatsioonid peavad tagama, et nende seadmed ja tööstustaristu komponendid ei oleks Internetist juurdepääsetavad, nagu me konkreetselt oma lõksus tegime.
Kuigi me pole registreerinud ühtegi rünnakut inseneri tööjaama vastu, hoolimata sellest, et kasutasime kõigis arvutites sama kohaliku administraatori parooli, tuleks seda praktikat vältida, et minimeerida sissetungimise võimalust. Nõrk turvalisus on ju lisakutse rünnata küberkurjategijaid juba pikka aega huvitanud tööstussüsteeme.
Allikas: www.habr.com