جذابیت ناگفته: چگونه یک هانی پات درست کردیم که قابل افشا نیست

شرکت‌های آنتی‌ویروس، کارشناسان امنیت اطلاعات و علاقه‌مندان به سادگی، سیستم‌های هانی‌پات را روی اینترنت قرار می‌دهند تا نوع جدیدی از ویروس را «گرفتن» یا تاکتیک‌های غیرمعمول هکرها را شناسایی کنند. هانی پات ها آنقدر رایج هستند که مجرمان سایبری نوعی مصونیت ایجاد کرده اند: آنها به سرعت تشخیص می دهند که در مقابل یک تله قرار دارند و به سادگی آن را نادیده می گیرند. برای کشف تاکتیک‌های هکرهای مدرن، یک هانی‌پات واقع‌گرایانه ایجاد کردیم که به مدت هفت ماه در اینترنت زندگی می‌کرد و حملات مختلفی را به خود جذب می‌کرد. ما در مورد چگونگی این اتفاق در مطالعه خود صحبت کردیم "گرفتار در عمل: اجرای یک هانی پات واقعی کارخانه برای گرفتن تهدیدهای واقعی" برخی از حقایق حاصل از این مطالعه در این پست آمده است.

توسعه Honeypot: چک لیست

وظیفه اصلی در ایجاد ابر تله ما جلوگیری از افشای ما توسط هکرهایی بود که به آن علاقه نشان دادند. این کار نیاز به کار زیادی داشت:

1. یک افسانه واقع بینانه در مورد شرکت ایجاد کنید، از جمله نام کامل و عکس کارمندان، شماره تلفن و ایمیل.
2. برای ارائه و پیاده سازی مدلی از زیرساخت های صنعتی که مطابق با افسانه فعالیت های شرکت ما باشد.
3. تصمیم بگیرید که کدام سرویس‌های شبکه از بیرون قابل دسترسی هستند، اما با باز کردن پورت‌های آسیب‌پذیر غافل نشوید تا مانند تله‌ای برای مکنده‌ها به نظر نرسد.
4. قابلیت مشاهده نشت اطلاعات در مورد یک سیستم آسیب پذیر را سازماندهی کنید و این اطلاعات را بین مهاجمان بالقوه توزیع کنید.
5. اجرای نظارت محتاطانه بر فعالیت های هکرها در زیرساخت هانی پات.

و حالا در مورد همه چیز به ترتیب.

ایجاد یک افسانه

مجرمان سایبری قبلاً به مواجهه با هانی پات‌های زیادی عادت کرده‌اند، بنابراین پیشرفته‌ترین بخش آن‌ها تحقیقات عمیقی را در مورد هر سیستم آسیب‌پذیر انجام می‌دهد تا مطمئن شود که یک تله نیست. به همین دلیل، ما به دنبال این بودیم که هانی پات نه تنها از نظر طراحی و جنبه های فنی واقع بینانه باشد، بلکه ظاهر یک شرکت واقعی را نیز ایجاد کنیم.

با قرار دادن خودمان به جای یک هکر فرضی باحال، یک الگوریتم راستی‌آزمایی ایجاد کردیم که یک سیستم واقعی را از یک تله متمایز می‌کند. این شامل جستجوی آدرس‌های IP شرکت در سیستم‌های شهرت، تحقیق معکوس در تاریخچه آدرس‌های IP، جستجوی نام‌ها و کلمات کلیدی مرتبط با شرکت و همچنین طرف‌های مقابل آن و بسیاری موارد دیگر بود. در نتیجه، افسانه کاملاً قانع کننده و جذاب بود.

ما تصمیم گرفتیم کارخانه فریب‌کاری را به عنوان یک بوتیک نمونه‌سازی صنعتی کوچک قرار دهیم که برای مشتریان ناشناس بسیار بزرگ در بخش نظامی و هوانوردی کار می‌کند. این ما را از پیچیدگی های قانونی مرتبط با استفاده از یک برند موجود رها کرد.

در مرحله بعد باید چشم انداز، مأموریت و نامی برای سازمان ارائه می کردیم. ما تصمیم گرفتیم که شرکت ما یک استارتاپ با تعداد کمی کارمند باشد که هر کدام یک موسس هستند. این اعتبار به داستان ماهیت تخصصی کسب و کار ما اضافه کرد، که به آن اجازه می دهد پروژه های حساس را برای مشتریان بزرگ و مهم انجام دهد. ما می خواستیم شرکت ما از منظر امنیت سایبری ضعیف به نظر برسد، اما در عین حال واضح بود که با دارایی های مهم روی سیستم های هدف کار می کردیم.

اسکرین شات از وب سایت هانی پات MeTech. منبع: Trend Micro

ما کلمه MeTech را به عنوان نام شرکت انتخاب کردیم. این سایت بر اساس یک قالب رایگان ساخته شده است. این تصاویر از بانک های عکس گرفته شده و از نامحبوب ترین ها استفاده کرده و آنها را تغییر داده تا کمتر قابل تشخیص باشند.

ما می‌خواستیم شرکت واقعی به نظر برسد، بنابراین باید کارمندانی با مهارت‌های حرفه‌ای که با نمایه فعالیت مطابقت دارند اضافه کنیم. برای آنها اسامی و شخصیت‌هایی در نظر گرفتیم و سپس سعی کردیم با توجه به قومیت، تصاویر را از بانک‌های عکس انتخاب کنیم.

اسکرین شات از وب سایت هانی پات MeTech. منبع: Trend Micro

برای جلوگیری از کشف شدن، به دنبال عکس های گروهی با کیفیت خوب بودیم که بتوانیم چهره های مورد نیاز خود را از بین آنها انتخاب کنیم. با این حال، ما این گزینه را کنار گذاشتیم، زیرا یک هکر بالقوه می‌تواند از جستجوی عکس معکوس استفاده کند و کشف کند که «کارمندان» ما فقط در بانک‌های عکس زندگی می‌کنند. در پایان از عکس‌های افراد موجود که با استفاده از شبکه‌های عصبی ایجاد شده‌اند استفاده کردیم.

پروفایل کارمندان منتشر شده در سایت حاوی اطلاعات مهمی در مورد مهارت های فنی آنها بود، اما ما از شناسایی مدارس یا شهرهای خاص اجتناب کردیم.
برای ایجاد صندوق های پستی، از سرور یک ارائه دهنده هاست استفاده کردیم و سپس چندین شماره تلفن را در ایالات متحده اجاره کردیم و آنها را در یک PBX مجازی با منوی صوتی و یک منشی تلفنی ترکیب کردیم.

زیرساخت هانی پات

برای جلوگیری از قرار گرفتن در معرض، تصمیم گرفتیم از ترکیبی از سخت افزار صنعتی واقعی، رایانه های فیزیکی و ماشین های مجازی امن استفاده کنیم. با نگاهی به آینده، خواهیم گفت که نتیجه تلاش خود را با استفاده از موتور جستجوی شدان بررسی کردیم و نشان داد که هانی پات شبیه یک سیستم صنعتی واقعی است.

نتیجه اسکن هانی پات با استفاده از Shodan. منبع: Trend Micro

ما از چهار PLC به عنوان سخت افزار برای تله خود استفاده کردیم:

• زیمنس S7-1200،
• دو عدد AllenBradley MicroLogix 1100،
• Omron CP1L.

این PLC ها به دلیل محبوبیتشان در بازار جهانی سیستم های کنترل انتخاب شدند. و هر یک از این کنترل‌کننده‌ها از پروتکل مخصوص به خود استفاده می‌کنند، که به ما امکان می‌دهد بررسی کنیم که کدام یک از PLC‌ها بیشتر مورد حمله قرار می‌گیرند و آیا اصولاً به کسی علاقه دارند یا خیر.

تجهیزات تله "کارخانه" ما. منبع: Trend Micro

ما فقط سخت افزار را نصب و به اینترنت وصل نکردیم. ما هر کنترلر را برای انجام وظایف از جمله برنامه ریزی کردیم

• مخلوط کردن،
• کنترل مشعل و تسمه نقاله،
• پالت سازی با استفاده از دستکاری رباتیک

و برای واقع بینانه ساختن فرآیند تولید، منطق را برای تغییر تصادفی پارامترهای بازخورد، شبیه سازی شروع و توقف موتورها و روشن و خاموش شدن مشعل ها برنامه ریزی کردیم.

کارخانه ما سه کامپیوتر مجازی و یک کامپیوتر فیزیکی داشت. کامپیوترهای مجازی برای کنترل یک کارخانه، یک ربات پالت ساز و به عنوان ایستگاه کاری برای یک مهندس نرم افزار PLC مورد استفاده قرار گرفتند. کامپیوتر فیزیکی به عنوان یک سرور فایل کار می کرد.

علاوه بر نظارت بر حملات بر روی PLC ها، ما می خواستیم وضعیت برنامه های بارگذاری شده بر روی دستگاه های خود را نظارت کنیم. برای انجام این کار، ما یک رابط ایجاد کردیم که به ما این امکان را می‌دهد تا به سرعت تعیین کنیم که چگونه حالت‌های محرک‌ها و نصب‌های مجازی ما تغییر کرده است. در حال حاضر در مرحله برنامه ریزی، ما متوجه شدیم که اجرای این امر با استفاده از یک برنامه کنترلی بسیار ساده تر از برنامه ریزی مستقیم منطق کنترلر است. ما دسترسی به رابط مدیریت دستگاه هانی پات خود را از طریق VNC بدون رمز عبور باز کردیم.

روبات های صنعتی جزء کلیدی تولید هوشمند مدرن هستند. در همین راستا تصمیم گرفتیم یک ربات و یک محل کار خودکار برای کنترل آن به تجهیزات کارخانه تله خود اضافه کنیم. برای واقعی‌تر کردن «کارخانه»، نرم‌افزار واقعی را روی ایستگاه کاری کنترل نصب کردیم که مهندسان از آن برای برنامه‌ریزی گرافیکی منطق ربات استفاده می‌کنند. خوب، از آنجایی که روبات‌های صنعتی معمولاً در یک شبکه داخلی مجزا قرار دارند، تصمیم گرفتیم دسترسی محافظت نشده از طریق VNC را فقط به ایستگاه کاری کنترل واگذار کنیم.

محیط RobotStudio با مدل سه بعدی ربات ما. منبع: Trend Micro

ما محیط برنامه نویسی RobotStudio را از ABB Robotics روی یک ماشین مجازی با ایستگاه کاری کنترل ربات نصب کردیم. با پیکربندی RobotStudio، یک فایل شبیه سازی را با ربات خود در آن باز کردیم تا تصویر سه بعدی آن روی صفحه قابل مشاهده باشد. در نتیجه، Shodan و سایر موتورهای جستجو، با شناسایی سرور VNC ناامن، این تصویر صفحه را گرفته و به کسانی که به دنبال روبات‌های صنعتی با دسترسی باز برای کنترل هستند، نشان می‌دهند.

هدف از این توجه به جزئیات، ایجاد یک هدف جذاب و واقع بینانه برای مهاجمانی بود که پس از یافتن آن، بارها و بارها به آن باز می گردند.

ایستگاه کاری مهندس

برای برنامه ریزی منطق PLC، یک کامپیوتر مهندسی به زیرساخت اضافه کردیم. نرم افزار صنعتی برنامه نویسی PLC بر روی آن نصب شد:

• پورتال TIA برای زیمنس،
• MicroLogix برای کنترل کننده آلن برادلی،
• CX-One برای Omron.

ما تصمیم گرفتیم که فضای کاری مهندسی خارج از شبکه قابل دسترسی نباشد. در عوض، رمز عبور یکسانی را برای اکانت مدیر که در ایستگاه کاری کنترل ربات و ایستگاه کاری کنترل کارخانه قابل دسترسی از اینترنت است، تنظیم می کنیم. این پیکربندی در بسیاری از شرکت ها بسیار رایج است.
متأسفانه، با وجود تمام تلاش‌های ما، حتی یک مهاجم به ایستگاه کاری مهندس نرسید.

سرور فایل

ما به آن به‌عنوان طعمه‌ای برای مهاجمان و به‌عنوان وسیله‌ای برای پشتیبان‌گیری از «کار» خود در کارخانه فریب نیاز داشتیم. این به ما این امکان را می‌دهد تا با استفاده از دستگاه‌های USB، فایل‌ها را با هانی‌پات خود به اشتراک بگذاریم بدون اینکه ردی در شبکه هانی‌پات باقی بگذاریم. ما ویندوز 7 پرو را به عنوان سیستم عامل فایل سرور نصب کردیم که در آن یک پوشه مشترک ایجاد کردیم که توسط هر کسی قابل خواندن و نوشتن است.

در ابتدا هیچ سلسله مراتبی از پوشه ها و اسناد روی سرور فایل ایجاد نکردیم. با این حال، بعداً متوجه شدیم که مهاجمان به طور فعال در حال مطالعه این پوشه هستند، بنابراین تصمیم گرفتیم آن را با فایل های مختلف پر کنیم. برای انجام این کار، ما یک اسکریپت پایتون نوشتیم که یک فایل با اندازه تصادفی با یکی از پسوندهای داده شده ایجاد می کند و نامی را بر اساس فرهنگ لغت تشکیل می دهد.

اسکریپتی برای تولید نام فایل های جذاب. منبع: Trend Micro

پس از اجرای اسکریپت، نتیجه دلخواه را در قالب پوشه ای پر از فایل هایی با نام های بسیار جالب به دست آوردیم.

نتیجه فیلمنامه. منبع: Trend Micro

محیط نظارت

با صرف تلاش بسیار برای ایجاد یک شرکت واقع بینانه، ما به سادگی نمی توانیم در مورد محیط نظارت بر "بازدید کنندگان" خود شکست بخوریم. ما نیاز داشتیم که تمام داده‌ها را در زمان واقعی دریافت کنیم، بدون اینکه مهاجمان متوجه شوند که تحت نظر هستند.

ما این را با استفاده از چهار آداپتور USB به اترنت، چهار تپ اترنت SharkTap، یک Raspberry Pi 3 و یک درایو خارجی بزرگ اجرا کردیم. نمودار شبکه ما به این شکل بود:

نمودار شبکه Honeypot با تجهیزات مانیتورینگ. منبع: Trend Micro

ما سه شیر SharkTap را قرار دادیم تا تمام ترافیک خارجی به PLC را که فقط از شبکه داخلی قابل دسترسی است، نظارت کنیم. چهارمین SharkTap ترافیک مهمانان یک ماشین مجازی آسیب پذیر را کنترل کرد.

شیر اترنت SharkTap و روتر Sierra Wireless AirLink RV50. منبع: Trend Micro

Raspberry Pi ضبط روزانه ترافیک را انجام داد. ما با استفاده از روتر سلولی Sierra Wireless AirLink RV50 به اینترنت متصل شدیم که اغلب در شرکت های صنعتی استفاده می شود.

متأسفانه، این روتر به ما اجازه نمی داد حملاتی را که با برنامه های ما مطابقت نداشتند، به طور انتخابی مسدود کنیم، بنابراین ما یک فایروال Cisco ASA 5505 را در حالت شفاف به شبکه اضافه کردیم تا با کمترین تأثیر روی شبکه، مسدودسازی را انجام دهیم.

تجزیه و تحلیل ترافیک

Tshark و tcpdump برای حل سریع مسائل فعلی مناسب هستند، اما در مورد ما قابلیت های آنها کافی نبود، زیرا ما تعداد زیادی گیگابایت ترافیک داشتیم که توسط چندین نفر تجزیه و تحلیل شد. ما از تحلیلگر منبع باز Moloch توسعه یافته توسط AOL استفاده کردیم. از نظر عملکرد با Wireshark قابل مقایسه است، اما قابلیت های بیشتری برای همکاری، توصیف و برچسب گذاری بسته ها، صادرات و سایر وظایف دارد.

از آنجایی که نمی‌خواستیم داده‌های جمع‌آوری‌شده را روی رایانه‌های هانی‌پات پردازش کنیم، زباله‌های PCAP هر روز به ذخیره‌سازی AWS صادر می‌شد، از آنجا که ما قبلاً آنها را به دستگاه Moloch وارد می‌کردیم.

ضبط صفحه

برای مستندسازی اقدامات هکرها در هانی پات خود، اسکریپتی نوشتیم که در یک بازه زمانی معین از ماشین مجازی اسکرین شات می گرفت و با مقایسه آن با اسکرین شات قبلی، مشخص می کرد که آیا چیزی در آنجا اتفاق می افتد یا خیر. وقتی فعالیت شناسایی شد، اسکریپت شامل ضبط صفحه بود. این رویکرد مؤثرترین بود. ما همچنین سعی کردیم ترافیک VNC را از یک زباله PCAP تجزیه و تحلیل کنیم تا بفهمیم چه تغییراتی در سیستم رخ داده است، اما در نهایت ضبط صفحه ای که اجرا کردیم ساده تر و بصری تر بود.

نظارت بر جلسات VNC

برای این کار از Chaosreader و VNCLogger استفاده کردیم. هر دو ابزار، کلیدها را از یک کمپرسی PCAP استخراج می‌کنند، اما VNCLogger کلیدهایی مانند Backspace، Enter، Ctrl را درست‌تر کنترل می‌کند.

VNCLogger دو نقطه ضعف دارد. اول: فقط با "گوش دادن" به ترافیک در رابط می تواند کلیدها را استخراج کند، بنابراین مجبور شدیم یک جلسه VNC را با استفاده از tcpreplay شبیه سازی کنیم. دومین نقطه ضعف VNCLogger در Chaosreader مشترک است: هر دوی آنها محتویات کلیپ بورد را نشان نمی دهند. برای این کار مجبور شدم از Wireshark استفاده کنم.

ما هکرها را فریب می دهیم

ما هانی پات را ایجاد کردیم تا مورد حمله قرار بگیریم. برای رسیدن به این هدف، ما یک نشت اطلاعات را برای جلب توجه مهاجمان احتمالی ترتیب دادیم. پورت های زیر در هانی پات باز شد:

پورت RDP باید مدت کوتاهی پس از پخش زنده بسته می‌شد زیرا حجم عظیم ترافیک اسکن در شبکه ما باعث ایجاد مشکلاتی در عملکرد می‌شد.
پایانه‌های VNC ابتدا در حالت فقط مشاهده بدون رمز عبور کار می‌کردند و سپس «به اشتباه» آنها را به حالت دسترسی کامل تغییر دادیم.

برای جذب مهاجمان، دو پست حاوی اطلاعات لو رفته در مورد سیستم صنعتی موجود در PasteBin ارسال کردیم.

یکی از پست های ارسال شده در PasteBin برای جذب حملات. منبع: Trend Micro

حملات

Honeypot حدود هفت ماه به صورت آنلاین زندگی کرد. اولین حمله یک ماه پس از آنلاین شدن هانی پات رخ داد.

اسکنر

ترافیک زیادی از اسکنرهای شرکت های معروف - ip-ip، Rapid، Shadow Server، Shodan، ZoomEye و دیگران وجود داشت. تعداد آنها بسیار زیاد بود که مجبور شدیم آدرس های IP آنها را از تجزیه و تحلیل حذف کنیم: 610 از 9452 یا 6,45٪ از تمام آدرس های IP منحصر به فرد متعلق به اسکنرهای کاملاً قانونی است.

ناظران

یکی از بزرگترین خطراتی که ما با آن روبرو بوده ایم استفاده از سیستم ما برای مقاصد مجرمانه است: خرید تلفن های هوشمند از طریق حساب مشترک، پول نقد مایل های خطوط هوایی با استفاده از کارت های هدیه و سایر انواع کلاهبرداری.

معدنچیان

یکی از اولین بازدیدکنندگان سیستم ما یک ماینر بود. او نرم افزار استخراج Monero را روی آن دانلود کرد. او به دلیل بهره وری پایین نمی توانست از سیستم خاص ما پول زیادی کسب کند. با این حال، اگر تلاش‌های چند ده یا حتی صدها سیستم از این قبیل را با هم ترکیب کنیم، می‌توان به خوبی نتیجه داد.

باج افزار

در طول کار Honeypot، دو بار با ویروس های باج افزار واقعی مواجه شدیم. در مورد اول Crysis بود. اپراتورهای آن از طریق VNC وارد سیستم شدند، اما سپس TeamViewer را نصب کردند و از آن برای انجام اقدامات بعدی استفاده کردند. پس از انتظار برای پیام اخاذی مبنی بر درخواست باج 10 دلاری در بیت کوین، با مجرمان مکاتبه کردیم و از آنها خواستیم یکی از پرونده ها را برای ما رمزگشایی کنند. درخواست را اجابت کردند و باج خواهی را تکرار کردند. ما موفق شدیم تا 6 هزار دلار مذاکره کنیم، پس از آن به سادگی سیستم را دوباره در یک ماشین مجازی آپلود کردیم، زیرا تمام اطلاعات لازم را دریافت کردیم.

باج‌افزار دوم فوبوس بود. هکری که آن را نصب کرده بود یک ساعت در سیستم فایل honeypot و اسکن شبکه وقت صرف کرد و سپس در نهایت باج افزار را نصب کرد.
سومین حمله باج افزار جعلی بود. یک "هکر" ناشناس فایل haha.bat را بر روی سیستم ما دانلود کرد، پس از آن ما برای مدتی تماشا کردیم که او سعی می کرد آن را به کار ببرد. یکی از تلاش ها تغییر نام haha.bat به haha.rnsmwr بود.

"هکر" مضر بودن فایل bat را با تغییر پسوند آن به .rnsmwr افزایش می دهد. منبع: Trend Micro

هنگامی که فایل دسته ای در نهایت شروع به اجرا کرد، "هکر" آن را ویرایش کرد و باج را از 200 دلار به 750 دلار افزایش داد. پس از آن، او تمام فایل ها را "رمزگذاری" کرد، یک پیام اخاذی روی دسکتاپ گذاشت و ناپدید شد و رمزهای عبور را در VNC ما تغییر داد.

چند روز بعد، هکر برگشت و برای یادآوری خود، یک فایل دسته‌ای راه‌اندازی کرد که پنجره‌های زیادی را با یک سایت پورنو باز کرد. ظاهراً از این طریق سعی کرده توجه را به خواسته خود جلب کند.

نمایش نتایج: از

در طول این مطالعه مشخص شد که به محض انتشار اطلاعات در مورد آسیب پذیری، هانی پات توجه ها را به خود جلب کرد و فعالیت روز به روز افزایش یافت. برای اینکه تله مورد توجه قرار گیرد، شرکت ساختگی ما مجبور شد چندین نقض امنیتی را متحمل شود. متأسفانه، این وضعیت در میان بسیاری از شرکت‌های واقعی که کارکنان تمام وقت فناوری اطلاعات و امنیت اطلاعات ندارند، غیرمعمول است.

به طور کلی، سازمان ها باید از اصل حداقل امتیاز استفاده کنند، در حالی که ما دقیقا برعکس آن را برای جذب مهاجمان اجرا کردیم. و هر چه بیشتر حملات را تماشا می‌کردیم، در مقایسه با روش‌های استاندارد تست نفوذ پیچیده‌تر می‌شدند.

و مهمتر از همه، اگر اقدامات امنیتی کافی در هنگام راه اندازی شبکه اجرا می شد، همه این حملات با شکست مواجه می شدند. سازمان‌ها باید اطمینان حاصل کنند که تجهیزات و اجزای زیرساخت‌های صنعتی آن‌ها از طریق اینترنت قابل دسترسی نیستند، همانطور که ما به‌طور خاص در دام خود انجام دادیم.

اگرچه ما حتی یک حمله به ایستگاه کاری یک مهندس ثبت نکرده‌ایم، با وجود استفاده از رمز عبور مدیر محلی یکسان در همه رایانه‌ها، باید از این عمل اجتناب شود تا احتمال نفوذ به حداقل برسد. از این گذشته، امنیت ضعیف به عنوان یک دعوت اضافی برای حمله به سیستم های صنعتی است که مدت هاست مورد توجه مجرمان سایبری بوده است.

منبع: www.habr.com