Birusen aurkako enpresek, informazioaren segurtasuneko adituek eta besterik gabe zaleek honeypot sistemak jartzen dituzte Interneten, birusaren aldaera berri bat "harrapatzeko" edo ezohiko hacker taktikak identifikatzeko. Honeypot-ak hain dira ohikoak, non ziber-kriminalek immunitate moduko bat garatu dutela: azkar identifikatzen dute tranpa baten aurrean daudela eta besterik gabe ez diote jaramonik egiten. Hacker modernoen taktikak aztertzeko, Interneten zazpi hilabetez bizi izan zen honeypot errealista bat sortu genuen, hainbat eraso erakarriz. Hau nola gertatu den hitz egin dugu gure azterketan "
Honeypot garapena: kontrol-zerrenda
Gure supertranpa sortzeko zeregin nagusia izan zen gu interesa erakusten zuten hackerrek agerian ez geratzea. Honek lan asko eskatzen zuen:
- Sortu enpresari buruzko kondaira errealista bat, langileen izen-abizenak eta argazkiak, telefono-zenbakiak eta mezu elektronikoak barne.
- Gure enpresaren jarduerei buruzko kondairarekin bat datorren industria azpiegitura eredu bat asmatu eta ezartzea.
- Erabaki zein sare-zerbitzu izango diren kanpotik eskuragarri, baina ez utzi portuak ahulak irekitzeaz, zurrupatzaileentzako tranpa bat ez izan dadin.
- Antolatu sistema zaurgarri bati buruzko informazio-filtrazioen ikusgarritasuna eta banatu informazio hori balizko erasotzaileen artean.
- Ezar ezazu hacker jardueren monitorizazio diskretua honeypot azpiegituran.
Eta orain dena ordenan.
Kondaira bat sortzea
Ziberkriminalak dagoeneko ohituta daude honeypot askorekin topo egitera, eta, beraz, haien zatirik aurreratuenak ikerketa sakona egiten du sistema ahulen bakoitzaren inguruan, tranpa bat ez dela ziurtatzeko. Arrazoi beragatik, honeypot-a diseinuari eta alderdi teknikoei dagokienez errealista izateaz gain, benetako enpresa baten itxura sortzea ere bilatu genuen.
Hacker cool hipotetiko baten larruan jarriz, benetako sistema bat tranpa batetik bereiztuko zuen egiaztapen-algoritmo bat garatu genuen. Ospe-sistemetan konpainiaren IP helbideak bilatzea, IP helbideen historiaren alderantzizko ikerketa, konpainiarekin lotutako izenak eta gako-hitzak bilatzea, baita bere kontrakoena, eta beste hainbat gauza ere barne hartzen zituen. Ondorioz, kondaira nahiko sinesgarria eta erakargarria izan zen.
Decoy fabrika prototipo industrialaren denda txiki gisa kokatzea erabaki genuen, bezero anonimo oso handientzat lan militarraren eta hegazkinaren segmentuan. Horrek lehendik zegoen marka bat erabiltzearekin lotutako lege-konplikazioetatik libratu gintuen.
Ondoren, erakundearen ikuspegia, misioa eta izen bat asmatu behar genuen. Erabaki genuen gure enpresa startup bat izango zela langile kopuru txiki batekin, eta horietako bakoitza sortzailea da. Horrek sinesgarritasuna gehitu dio gure negozioaren izaera espezializatuaren istorioari, bezero handi eta garrantzitsuentzako proiektu sentikorrak kudeatzeko aukera ematen diona. Gure enpresa zibersegurtasunaren ikuspegitik ahula agertzea nahi genuen, baina, aldi berean, begi-bistakoa zen helburu-sistemetan aktibo garrantzitsuekin lanean ari ginela.
MeTech honeypot webgunearen pantaila-argazkia. Iturria: Trend Micro
MeTech hitza aukeratu dugu enpresaren izen gisa. Gunea doako txantiloi batean oinarrituta egin zen. Irudiak argazki-bankuetatik atera dira, ezagunenak ez direnak erabiliz eta horiek aldatuz, ezezagunak izan daitezen.
Enpresak benetako itxura izatea nahi genuen, beraz, jardueraren profilarekin bat datozen gaitasun profesionalak dituzten langileak gehitu behar genituen. Haientzako izenak eta nortasunak asmatu genituen eta ondoren argazki-bankuetako irudiak etniaren arabera hautatzen saiatu ginen.
MeTech honeypot webgunearen pantaila-argazkia. Iturria: Trend Micro
Deskubritzea saihesteko, kalitate oneko talde-argazkiak bilatu ditugu, zeinen artean behar genituen aurpegiak aukeratzeko. Hala ere, aukera hori utzi genuen gero, hacker potentzial batek alderantzizko irudien bilaketa erabil zezakeelako eta gure "langileak" argazki-bankuetan soilik bizi direla deskubritu zezakeelako. Azkenean, sare neuronalak erabiliz sortutako existitzen ez diren pertsonen argazkiak erabili ditugu.
Gunean argitaratutako langileen profilek haien gaitasun teknikoei buruzko informazio garrantzitsua zuten, baina saihestu genuen ikastetxe edo hiri zehatzak identifikatzea.
Postontziak sortzeko, ostalaritza-hornitzaile baten zerbitzaria erabili genuen, eta, ondoren, Estatu Batuetako hainbat telefono-zenbaki alokatu eta ahots-menu batekin eta erantzungailuarekin PBX birtual batean konbinatu genituen.
Honeypot azpiegitura
Esposizioa saihesteko, benetako hardware industrialaren, ordenagailu fisikoen eta makina birtual seguruen konbinazioa erabiltzea erabaki genuen. Aurrera begira, Shodan bilatzailea erabiliz egindako ahaleginen emaitza egiaztatu dugula esango dugu, eta honeypotak benetako sistema industrial baten itxura duela erakutsi du.
Shodan erabiliz honeypot bat eskaneatzearen emaitza. Iturria: Trend Micro
Lau PLC erabili ditugu gure tranparako hardware gisa:
- Siemens S7-1200,
- bi AllenBradley MicroLogix 1100,
- Omron CP1L.
PLC hauek kontrol sistema globalaren merkatuan duten ospeagatik hautatu ziren. Eta kontrolagailu horietako bakoitzak bere protokolo propioa erabiltzen du, eta horri esker egiaztatu ahal izan dugu PLC-etatik zeintzuk erasotuko ziren maizago eta printzipioz inori interesatuko zitzaion.
Gure βfabrikaβ-tranpa ekipamendua. Iturria: Trend Micro
Ez dugu hardwarea instalatu eta Internetera konektatu. Kontrolagailu bakoitza zereginak egiteko programatu genuen, besteak beste
- nahastea,
- erregailu eta uhal garraiatzaileen kontrola,
- manipulagailu robotizatu baten bidez paletizatu.
Eta ekoizpen-prozesua errealista izan dadin, logika programatu dugu feedback-parametroak ausaz aldatzeko, motorrak abiarazteko eta gelditzeko eta erregailuak piztu eta itzaltzeko simulatzeko.
Gure fabrikak hiru ordenagailu birtual eta fisiko bat zituen. Ordenagailu birtualak planta bat kontrolatzeko, robot paletizatu bat eta PLC software-ingeniari baten lan-estazio gisa erabiltzen ziren. Ordenagailu fisikoak fitxategi zerbitzari gisa funtzionatzen zuen.
PLCen aurkako erasoak monitorizatzeaz gain, gure gailuetan kargatutako programen egoera kontrolatu nahi izan dugu. Horretarako, gure eragile birtualen eta instalazioen egoerak nola aldatu ziren azkar zehazteko aukera ematen zuen interfaze bat sortu genuen. Dagoeneko plangintza-fasean, konturatu ginen askoz errazagoa dela hori kontrol-programa baten bidez ezartzea kontrolagailu-logikaren programazio zuzenaren bidez baino. Pasahitzik gabe gure honeypot-eko gailuak kudeatzeko interfazera sarbidea ireki genuen VNC bidez.
Robot industrialak fabrikazio adimendun modernoaren funtsezko osagaiak dira. Ildo horretan, gure tranpa fabrikako ekipoetan kontrolatzeko robot bat eta lantokia automatizatu bat gehitzea erabaki genuen. "Fabrica" ββerrealistagoa izan dadin, benetako softwarea instalatu dugu kontrol-lanpostuan, ingeniariek robotaren logika grafikoki programatzeko erabiltzen dutena. Bada, robot industrialak barne sare isolatu batean kokatu ohi direnez, VNC bidez babesik gabeko sarbidea kontrol-estaziorako soilik uztea erabaki genuen.
RobotStudio ingurunea gure robotaren 3D eredu batekin. Iturria: Trend Micro
ABB Robotics-en RobotStudio programazio-ingurunea robot kontrol-estazio batekin makina birtual batean instalatu dugu. RobotStudio konfiguratu ondoren, simulazio fitxategi bat ireki genuen bertan gure robotarekin, bere 3D irudia pantailan ikus zedin. Ondorioz, Shodan eta beste bilatzaile batzuek, VNC zerbitzari segurua detektatzean, pantailako irudi hau hartuko dute eta kontrolerako sarbide irekia duten robot industrialen bila dabiltzanei erakutsiko diete.
Xehetasun arreta horren helburua erasotzaileentzat helburu erakargarri eta errealista sortzea zen, behin aurkitu eta gero bertara itzuliko zirenak.
Ingeniariaren lantokia
PLC logika programatzeko, azpiegiturari ingeniaritza-ordenagailu bat gehitu diogu. PLC programaziorako software industriala instalatu zen bertan:
- Siemensentzako TIA Portal,
- MicroLogix Allen-Bradley kontrolagailurako,
- CX-One Omronentzat.
Erabaki genuen ingeniaritza laneko eremua ez zela saretik kanpo atzitu. Horren ordez, robotaren kontroleko lan-estazioko administratzaile-konturako eta Internetetik eskura daitekeen fabrika-kontroleko lantokian dagoen pasahitz bera ezarri dugu. Konfigurazio hau nahiko ohikoa da enpresa askotan.
Zoritxarrez, ahalegin guztiak egin arren, erasotzaile bakar bat ere ez zen iritsi ingeniariaren lantokira.
Fitxategi zerbitzaria
Erasotzaileentzako amu gisa eta geure βlanaβ babesteko baliabide gisa behar genuen dekoratzaileen fabrikan. Horri esker, fitxategiak gure honeypot-ekin partekatu genituen USB gailuak erabiliz honeypot sarean arrastorik utzi gabe. Windows 7 Pro instalatu dugu fitxategi zerbitzarirako OS gisa, eta bertan edonork irakurri eta idatzi dezakeen karpeta partekatu bat sortu dugu.
Hasieran ez genuen fitxategien zerbitzarian karpeta eta dokumentuen hierarkiarik sortu. Hala ere, geroago aurkitu genuen erasotzaileak aktiboki karpeta hau aztertzen ari zirela, horregatik hainbat fitxategiz betetzea erabaki genuen. Horretarako, emandako luzapenetako batekin ausazko tamainako fitxategi bat sortu zuen python script bat idatzi genuen, hiztegian oinarritutako izen bat osatuz.
Fitxategi-izen erakargarriak sortzeko scripta. Iturria: Trend Micro
Gidoia exekutatu ondoren, nahi den emaitza lortu dugu izen oso interesgarriak dituzten fitxategiz betetako karpeta baten moduan.
Gidoiaren emaitza. Iturria: Trend Micro
Jarraipen ingurunea
Enpresa errealista bat sortzen hainbeste esfortzua egin ondoren, ezin genuen ingurumenari huts egin gure "bisitariak" kontrolatzeko. Datu guztiak denbora errealean lortu behar genituen, erasotzaileak ikusten ari zirela konturatu gabe.
Hau inplementatu dugu lau USB-era Ethernet egokitzaile, lau SharkTap Ethernet txorrota, Raspberry Pi 3 bat eta kanpoko disko handi bat erabiliz. Gure sare-diagrama honelakoa zen:
Honeypot sarearen diagrama monitorizazio ekipoarekin. Iturria: Trend Micro
Hiru SharkTap txorrota jarri genituen PLCra kanpoko trafiko guztia kontrolatzeko, barne saretik soilik eskuragarria. Laugarren SharkTap-ek makina birtual zaurgarri bateko gonbidatuen trafikoa kontrolatu zuen.
SharkTap Ethernet Tap eta Sierra Wireless AirLink RV50 bideratzailea. Iturria: Trend Micro
Raspberry Pi-k egunero trafikoa harrapatzen zuen. Internetera konektatu ginen Sierra Wireless AirLink RV50 bideratzaile mugikorra erabiliz, industria-enpresetan askotan erabiltzen dena.
Zoritxarrez, bideratzaile honek ez zigun gure planekin bat ez zetozen erasoak selektiboki blokeatzen utzi, beraz, Cisco ASA 5505 suebaki bat gehitu genuen sarera modu gardenean blokeoak egiteko sarean eragin minimoarekin.
Trafikoaren azterketa
Tshark eta tcpdump egokiak dira egungo arazoak azkar konpontzeko, baina gure kasuan haien gaitasunak ez ziren nahikoak, gigabyte asko baikenuen trafikoa, hainbat pertsonek aztertu baitzituzten. AOL-ek garatutako kode irekiko Moloch analizatzailea erabili dugu. Wireshark-en funtzionalitatearen parekoa da, baina lankidetzarako, paketeak deskribatzeko eta etiketatzeko, esportatzeko eta bestelako zereginetarako gaitasun gehiago ditu.
Bildutako datuak honeypot-eko ordenagailuetan prozesatu nahi ez genituenez, PCAP zabortegiak egunero esportatzen ziren AWS biltegira, eta handik Moloch makinara inportatzen genituen.
Pantaila grabaketa
Gure honeypot-eko hackerren ekintzak dokumentatzeko, tarte jakin batean makina birtualeko pantaila-argazkiak hartzen zituen script bat idatzi genuen eta, aurreko pantaila-argazkiarekin alderatuz, han zerbait gertatzen ari zen ala ez zehazten zuen. Jarduera detektatu zenean, gidoiak pantaila grabatzea barne hartzen zuen. Planteamendu hau eraginkorrena izan zen. PCAP zabortegi batetik VNC trafikoa aztertzen ere saiatu ginen sisteman zer aldaketa gertatu ziren ulertzeko, baina azkenean inplementatutako pantaila-grabaketa sinpleagoa eta bisualagoa izan zen.
VNC saioak kontrolatzea
Horretarako Chaosreader eta VNCLogger erabili ditugu. Bi utilitateek PCAP iraulketa batetik tekla sakatzeak ateratzen dituzte, baina VNCLogger-ek Atzera atzerapena, Sartu, Ctrl bezalako teklak zuzenago kudeatzen ditu.
VNCLogger-ek bi desabantaila ditu. Lehena: interfazeko trafikoa "entzutean" bakarrik atera ditzake gakoak, beraz, horretarako VNC saio bat simulatu behar izan dugu tcpreplay erabiliz. VNCLogger-en bigarren desabantaila ohikoa da Chaosreader-ekin: biek ez dute arbeleko edukia erakusten. Horretarako Wireshark erabili behar izan nuen.
Hackerrak erakartzen ditugu
Honeypot sortu genuen erasoa izateko. Hori lortzeko, informazio-filtrazio bat antolatu dugu, balizko erasotzaileen arreta erakartzeko. Honeypot-en ondoko portu hauek ireki ziren:
RDP ataka itxi egin behar izan genuen zuzenean jarri ginenetik gutxira, gure sareko eskaneatu trafiko kopuru handiak errendimendu arazoak eragiten zituelako.
VNC terminalek pasahitzik gabe ikusteko moduan funtzionatzen zuten lehenik, eta gero "akatsez" sarbide osoko modura aldatu genituen.
Erasotzaileak erakartzeko, eskuragarri dagoen sistema industrialari buruz filtratutako informazioa duten bi mezu argitaratu ditugu PasteBin-en.
Erasoak erakartzeko PasteBin-en argitaratutako mezuetako bat. Iturria: Trend Micro
erasoak
Honeypot sarean bizi izan zen zazpi hilabete inguru. Honeypot sarean sartu eta hilabetera gertatu zen lehen erasoa.
Eskanerrak
Trafiko handia zegoen konpainia ezagunen eskanerrek - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye eta beste batzuk. Hainbeste ziren, non haien IP helbideak analisitik kanpo utzi behar izan genituen: 610tik 9452 edo IP helbide esklusibo guztien % 6,45 guztiz zilegizko eskanerrenak ziren.
iruzurgileak
Aurre egin dugun arrisku handienetako bat gure sistema helburu kriminaletarako erabiltzea da: telefonoak harpidedun baten kontuaren bidez erostea, aire konpainiako miliak kobratzea opari txartelak erabiliz eta beste iruzurre mota batzuk.
Meatzariak
Gure sistemara lehenengo bisitarietako bat meatzaria izan zen. Monero meatzaritzako softwarea deskargatu zuen bertan. Gure sistema partikularrean ezin izango zuen diru asko irabazi produktibitate baxuaren ondorioz. Hala ere, halako dozena edo ehunka sistemaren ahaleginak batzen baditugu, nahiko ondo atera liteke.
Ransomwarea
Honeypot-en lanean zehar, birritan topatu genituen benetako ransomware birusak. Lehenengo kasuan Crysis izan zen. Haren operadoreek sisteman saioa hasi zuten VNC bidez, baina gero TeamViewer instalatu zuten eta ekintza gehiago egiteko erabili zuten. BTCn 10 dolarreko erreskatea eskatzen zuen estortsio-mezu baten zain egon ondoren, gaizkileekin gutunean sartu ginen, fitxategietako bat deszifratzeko eskatu ziguten. Eskaria bete eta erreskate eskaera errepikatu zuten. Gehienez 6 mila dolar negoziatzea lortu genuen, eta, ondoren, sistema berriro kargatu genuen makina birtual batera, beharrezko informazio guztia jaso genuenez.
Bigarren ransomwarea Phobos izan zen. Instalatu zuen hackerrak ordubete eman zuen honeypot fitxategi-sistema arakatzen eta sarea eskaneatzen, eta azkenean ransomwarea instalatu zuen.
Hirugarren ransomware erasoa faltsua izan zen. "Hacker" ezezagun batek haha.bat fitxategia deskargatu zuen gure sistemara, eta ondoren pixka bat ikusi genuen hura funtzionatzen saiatzen zen bitartean. Saiakeretako bat haha.bat haha.rnsmwr izena aldatzea izan zen.
"Hacker"-ek bat fitxategiaren kaltegarritasuna areagotzen du bere luzapena .rnsmwr-era aldatuz. Iturria: Trend Micro
Batch fitxategia azkenean exekutatzen hasi zenean, "hacker"-ak editatu zuen, erreskatea 200 $-tik 750 $-ra handituz. Horren ostean, fitxategi guztiak "zifratu" zituen, estortsio mezu bat utzi zuen mahaigainean eta desagertu egin zen, gure VNCko pasahitzak aldatuz.
Egun pare bat geroago, hackerra itzuli zen eta, bere burua gogorarazteko, porno gune batekin leiho asko ireki zituen batch fitxategi bat abiarazi zuen. Antza denez, horrela bere eskakizunari arreta pizten saiatu zen.
Emaitzak
Azterketan zehar, ahultasunari buruzko informazioa argitaratu bezain laster, honeypot-ek arreta erakarri zuen, jarduera egunez egun hazten ari zela. Tranpak arreta irabazteko, gure fikziozko konpainiak segurtasun-hauste anitz jasan behar izan zituen. Zoritxarrez, egoera hori ez da ohikoa lanaldi osoko IT eta informazio segurtasuneko langilerik ez duten benetako enpresa askoren artean.
Oro har, erakundeek pribilegio txikienaren printzipioa erabili beharko lukete, guk horren guztiz kontrakoa ezarri genuen erasotzaileak erakartzeko. Eta zenbat eta denbora gehiago ikusi erasoak, orduan eta sofistikatuagoak bihurtu ziren sartze-proba metodo estandarrekin alderatuta.
Eta garrantzitsuena, eraso horiek guztiek huts egingo lukete sarea konfiguratzerakoan segurtasun neurri egokiak ezarri izan balira. Erakundeek bermatu behar dute beren ekipamenduak eta industria-azpiegituraren osagaiak ez direla Internetetik atzigarriak, gure tranpan zehazki egin genuen bezala.
Ingeniari baten lan-estazio batean eraso bakar bat ere erregistratu ez badugu ere, ordenagailu guztietan tokiko administratzaileen pasahitz bera erabili arren, praktika hau saihestu egin behar da, intrusioen aukera gutxitzeko. Azken finean, segurtasun ahulak industria-sistemak erasotzeko gonbidapen gehigarri gisa balio du, ziberkriminalentzat aspalditik interesatzen direnak.
Iturria: www.habr.com