شرکتهای آنتیویروس، کارشناسان امنیت اطلاعات و علاقهمندان به سادگی، سیستمهای هانیپات را روی اینترنت قرار میدهند تا نوع جدیدی از ویروس را «گرفتن» یا تاکتیکهای غیرمعمول هکرها را شناسایی کنند. هانی پات ها آنقدر رایج هستند که مجرمان سایبری نوعی مصونیت ایجاد کرده اند: آنها به سرعت تشخیص می دهند که در مقابل یک تله قرار دارند و به سادگی آن را نادیده می گیرند. برای کشف تاکتیکهای هکرهای مدرن، یک هانیپات واقعگرایانه ایجاد کردیم که به مدت هفت ماه در اینترنت زندگی میکرد و حملات مختلفی را به خود جذب میکرد. ما در مورد چگونگی این اتفاق در مطالعه خود صحبت کردیم "
توسعه Honeypot: چک لیست
وظیفه اصلی در ایجاد ابر تله ما جلوگیری از افشای ما توسط هکرهایی بود که به آن علاقه نشان دادند. این کار نیاز به کار زیادی داشت:
- یک افسانه واقع بینانه در مورد شرکت ایجاد کنید، از جمله نام کامل و عکس کارمندان، شماره تلفن و ایمیل.
- برای ارائه و پیاده سازی مدلی از زیرساخت های صنعتی که مطابق با افسانه فعالیت های شرکت ما باشد.
- تصمیم بگیرید که کدام سرویسهای شبکه از بیرون قابل دسترسی هستند، اما با باز کردن پورتهای آسیبپذیر غافل نشوید تا مانند تلهای برای مکندهها به نظر نرسد.
- قابلیت مشاهده نشت اطلاعات در مورد یک سیستم آسیب پذیر را سازماندهی کنید و این اطلاعات را بین مهاجمان بالقوه توزیع کنید.
- اجرای نظارت محتاطانه بر فعالیت های هکرها در زیرساخت هانی پات.
و حالا در مورد همه چیز به ترتیب.
ایجاد یک افسانه
مجرمان سایبری قبلاً به مواجهه با هانی پاتهای زیادی عادت کردهاند، بنابراین پیشرفتهترین بخش آنها تحقیقات عمیقی را در مورد هر سیستم آسیبپذیر انجام میدهد تا مطمئن شود که یک تله نیست. به همین دلیل، ما به دنبال این بودیم که هانی پات نه تنها از نظر طراحی و جنبه های فنی واقع بینانه باشد، بلکه ظاهر یک شرکت واقعی را نیز ایجاد کنیم.
با قرار دادن خودمان به جای یک هکر فرضی باحال، یک الگوریتم راستیآزمایی ایجاد کردیم که یک سیستم واقعی را از یک تله متمایز میکند. این شامل جستجوی آدرسهای IP شرکت در سیستمهای شهرت، تحقیق معکوس در تاریخچه آدرسهای IP، جستجوی نامها و کلمات کلیدی مرتبط با شرکت و همچنین طرفهای مقابل آن و بسیاری موارد دیگر بود. در نتیجه، افسانه کاملاً قانع کننده و جذاب بود.
ما تصمیم گرفتیم کارخانه فریبکاری را به عنوان یک بوتیک نمونهسازی صنعتی کوچک قرار دهیم که برای مشتریان ناشناس بسیار بزرگ در بخش نظامی و هوانوردی کار میکند. این ما را از پیچیدگی های قانونی مرتبط با استفاده از یک برند موجود رها کرد.
در مرحله بعد باید چشم انداز، مأموریت و نامی برای سازمان ارائه می کردیم. ما تصمیم گرفتیم که شرکت ما یک استارتاپ با تعداد کمی کارمند باشد که هر کدام یک موسس هستند. این اعتبار به داستان ماهیت تخصصی کسب و کار ما اضافه کرد، که به آن اجازه می دهد پروژه های حساس را برای مشتریان بزرگ و مهم انجام دهد. ما می خواستیم شرکت ما از منظر امنیت سایبری ضعیف به نظر برسد، اما در عین حال واضح بود که با دارایی های مهم روی سیستم های هدف کار می کردیم.
اسکرین شات از وب سایت هانی پات MeTech. منبع: Trend Micro
ما کلمه MeTech را به عنوان نام شرکت انتخاب کردیم. این سایت بر اساس یک قالب رایگان ساخته شده است. این تصاویر از بانک های عکس گرفته شده و از نامحبوب ترین ها استفاده کرده و آنها را تغییر داده تا کمتر قابل تشخیص باشند.
ما میخواستیم شرکت واقعی به نظر برسد، بنابراین باید کارمندانی با مهارتهای حرفهای که با نمایه فعالیت مطابقت دارند اضافه کنیم. برای آنها اسامی و شخصیتهایی در نظر گرفتیم و سپس سعی کردیم با توجه به قومیت، تصاویر را از بانکهای عکس انتخاب کنیم.
اسکرین شات از وب سایت هانی پات MeTech. منبع: Trend Micro
برای جلوگیری از کشف شدن، به دنبال عکس های گروهی با کیفیت خوب بودیم که بتوانیم چهره های مورد نیاز خود را از بین آنها انتخاب کنیم. با این حال، ما این گزینه را کنار گذاشتیم، زیرا یک هکر بالقوه میتواند از جستجوی عکس معکوس استفاده کند و کشف کند که «کارمندان» ما فقط در بانکهای عکس زندگی میکنند. در پایان از عکسهای افراد موجود که با استفاده از شبکههای عصبی ایجاد شدهاند استفاده کردیم.
پروفایل کارمندان منتشر شده در سایت حاوی اطلاعات مهمی در مورد مهارت های فنی آنها بود، اما ما از شناسایی مدارس یا شهرهای خاص اجتناب کردیم.
برای ایجاد صندوق های پستی، از سرور یک ارائه دهنده هاست استفاده کردیم و سپس چندین شماره تلفن را در ایالات متحده اجاره کردیم و آنها را در یک PBX مجازی با منوی صوتی و یک منشی تلفنی ترکیب کردیم.
زیرساخت هانی پات
برای جلوگیری از قرار گرفتن در معرض، تصمیم گرفتیم از ترکیبی از سخت افزار صنعتی واقعی، رایانه های فیزیکی و ماشین های مجازی امن استفاده کنیم. با نگاهی به آینده، خواهیم گفت که نتیجه تلاش خود را با استفاده از موتور جستجوی شدان بررسی کردیم و نشان داد که هانی پات شبیه یک سیستم صنعتی واقعی است.
نتیجه اسکن هانی پات با استفاده از Shodan. منبع: Trend Micro
ما از چهار PLC به عنوان سخت افزار برای تله خود استفاده کردیم:
- زیمنس S7-1200،
- دو عدد AllenBradley MicroLogix 1100،
- Omron CP1L.
این PLC ها به دلیل محبوبیتشان در بازار جهانی سیستم های کنترل انتخاب شدند. و هر یک از این کنترلکنندهها از پروتکل مخصوص به خود استفاده میکنند، که به ما امکان میدهد بررسی کنیم که کدام یک از PLCها بیشتر مورد حمله قرار میگیرند و آیا اصولاً به کسی علاقه دارند یا خیر.
تجهیزات تله "کارخانه" ما. منبع: Trend Micro
ما فقط سخت افزار را نصب و به اینترنت وصل نکردیم. ما هر کنترلر را برای انجام وظایف از جمله برنامه ریزی کردیم
- مخلوط کردن،
- کنترل مشعل و تسمه نقاله،
- پالت سازی با استفاده از دستکاری رباتیک
و برای واقع بینانه ساختن فرآیند تولید، منطق را برای تغییر تصادفی پارامترهای بازخورد، شبیه سازی شروع و توقف موتورها و روشن و خاموش شدن مشعل ها برنامه ریزی کردیم.
کارخانه ما سه کامپیوتر مجازی و یک کامپیوتر فیزیکی داشت. کامپیوترهای مجازی برای کنترل یک کارخانه، یک ربات پالت ساز و به عنوان ایستگاه کاری برای یک مهندس نرم افزار PLC مورد استفاده قرار گرفتند. کامپیوتر فیزیکی به عنوان یک سرور فایل کار می کرد.
علاوه بر نظارت بر حملات بر روی PLC ها، ما می خواستیم وضعیت برنامه های بارگذاری شده بر روی دستگاه های خود را نظارت کنیم. برای انجام این کار، ما یک رابط ایجاد کردیم که به ما این امکان را میدهد تا به سرعت تعیین کنیم که چگونه حالتهای محرکها و نصبهای مجازی ما تغییر کرده است. در حال حاضر در مرحله برنامه ریزی، ما متوجه شدیم که اجرای این امر با استفاده از یک برنامه کنترلی بسیار ساده تر از برنامه ریزی مستقیم منطق کنترلر است. ما دسترسی به رابط مدیریت دستگاه هانی پات خود را از طریق VNC بدون رمز عبور باز کردیم.
روبات های صنعتی جزء کلیدی تولید هوشمند مدرن هستند. در همین راستا تصمیم گرفتیم یک ربات و یک محل کار خودکار برای کنترل آن به تجهیزات کارخانه تله خود اضافه کنیم. برای واقعیتر کردن «کارخانه»، نرمافزار واقعی را روی ایستگاه کاری کنترل نصب کردیم که مهندسان از آن برای برنامهریزی گرافیکی منطق ربات استفاده میکنند. خوب، از آنجایی که روباتهای صنعتی معمولاً در یک شبکه داخلی مجزا قرار دارند، تصمیم گرفتیم دسترسی محافظت نشده از طریق VNC را فقط به ایستگاه کاری کنترل واگذار کنیم.
محیط RobotStudio با مدل سه بعدی ربات ما. منبع: Trend Micro
ما محیط برنامه نویسی RobotStudio را از ABB Robotics روی یک ماشین مجازی با ایستگاه کاری کنترل ربات نصب کردیم. با پیکربندی RobotStudio، یک فایل شبیه سازی را با ربات خود در آن باز کردیم تا تصویر سه بعدی آن روی صفحه قابل مشاهده باشد. در نتیجه، Shodan و سایر موتورهای جستجو، با شناسایی سرور VNC ناامن، این تصویر صفحه را گرفته و به کسانی که به دنبال روباتهای صنعتی با دسترسی باز برای کنترل هستند، نشان میدهند.
هدف از این توجه به جزئیات، ایجاد یک هدف جذاب و واقع بینانه برای مهاجمانی بود که پس از یافتن آن، بارها و بارها به آن باز می گردند.
ایستگاه کاری مهندس
برای برنامه ریزی منطق PLC، یک کامپیوتر مهندسی به زیرساخت اضافه کردیم. نرم افزار صنعتی برنامه نویسی PLC بر روی آن نصب شد:
- پورتال TIA برای زیمنس،
- MicroLogix برای کنترل کننده آلن برادلی،
- CX-One برای Omron.
ما تصمیم گرفتیم که فضای کاری مهندسی خارج از شبکه قابل دسترسی نباشد. در عوض، رمز عبور یکسانی را برای اکانت مدیر که در ایستگاه کاری کنترل ربات و ایستگاه کاری کنترل کارخانه قابل دسترسی از اینترنت است، تنظیم می کنیم. این پیکربندی در بسیاری از شرکت ها بسیار رایج است.
متأسفانه، با وجود تمام تلاشهای ما، حتی یک مهاجم به ایستگاه کاری مهندس نرسید.
سرور فایل
ما به آن بهعنوان طعمهای برای مهاجمان و بهعنوان وسیلهای برای پشتیبانگیری از «کار» خود در کارخانه فریب نیاز داشتیم. این به ما این امکان را میدهد تا با استفاده از دستگاههای USB، فایلها را با هانیپات خود به اشتراک بگذاریم بدون اینکه ردی در شبکه هانیپات باقی بگذاریم. ما ویندوز 7 پرو را به عنوان سیستم عامل فایل سرور نصب کردیم که در آن یک پوشه مشترک ایجاد کردیم که توسط هر کسی قابل خواندن و نوشتن است.
در ابتدا هیچ سلسله مراتبی از پوشه ها و اسناد روی سرور فایل ایجاد نکردیم. با این حال، بعداً متوجه شدیم که مهاجمان به طور فعال در حال مطالعه این پوشه هستند، بنابراین تصمیم گرفتیم آن را با فایل های مختلف پر کنیم. برای انجام این کار، ما یک اسکریپت پایتون نوشتیم که یک فایل با اندازه تصادفی با یکی از پسوندهای داده شده ایجاد می کند و نامی را بر اساس فرهنگ لغت تشکیل می دهد.
اسکریپتی برای تولید نام فایل های جذاب. منبع: Trend Micro
پس از اجرای اسکریپت، نتیجه دلخواه را در قالب پوشه ای پر از فایل هایی با نام های بسیار جالب به دست آوردیم.
نتیجه فیلمنامه. منبع: Trend Micro
محیط نظارت
با صرف تلاش بسیار برای ایجاد یک شرکت واقع بینانه، ما به سادگی نمی توانیم در مورد محیط نظارت بر "بازدید کنندگان" خود شکست بخوریم. ما نیاز داشتیم که تمام دادهها را در زمان واقعی دریافت کنیم، بدون اینکه مهاجمان متوجه شوند که تحت نظر هستند.
ما این را با استفاده از چهار آداپتور USB به اترنت، چهار تپ اترنت SharkTap، یک Raspberry Pi 3 و یک درایو خارجی بزرگ اجرا کردیم. نمودار شبکه ما به این شکل بود:
نمودار شبکه Honeypot با تجهیزات مانیتورینگ. منبع: Trend Micro
ما سه شیر SharkTap را قرار دادیم تا تمام ترافیک خارجی به PLC را که فقط از شبکه داخلی قابل دسترسی است، نظارت کنیم. چهارمین SharkTap ترافیک مهمانان یک ماشین مجازی آسیب پذیر را کنترل کرد.
شیر اترنت SharkTap و روتر Sierra Wireless AirLink RV50. منبع: Trend Micro
Raspberry Pi ضبط روزانه ترافیک را انجام داد. ما با استفاده از روتر سلولی Sierra Wireless AirLink RV50 به اینترنت متصل شدیم که اغلب در شرکت های صنعتی استفاده می شود.
متأسفانه، این روتر به ما اجازه نمی داد حملاتی را که با برنامه های ما مطابقت نداشتند، به طور انتخابی مسدود کنیم، بنابراین ما یک فایروال Cisco ASA 5505 را در حالت شفاف به شبکه اضافه کردیم تا با کمترین تأثیر روی شبکه، مسدودسازی را انجام دهیم.
تجزیه و تحلیل ترافیک
Tshark و tcpdump برای حل سریع مسائل فعلی مناسب هستند، اما در مورد ما قابلیت های آنها کافی نبود، زیرا ما تعداد زیادی گیگابایت ترافیک داشتیم که توسط چندین نفر تجزیه و تحلیل شد. ما از تحلیلگر منبع باز Moloch توسعه یافته توسط AOL استفاده کردیم. از نظر عملکرد با Wireshark قابل مقایسه است، اما قابلیت های بیشتری برای همکاری، توصیف و برچسب گذاری بسته ها، صادرات و سایر وظایف دارد.
از آنجایی که نمیخواستیم دادههای جمعآوریشده را روی رایانههای هانیپات پردازش کنیم، زبالههای PCAP هر روز به ذخیرهسازی AWS صادر میشد، از آنجا که ما قبلاً آنها را به دستگاه Moloch وارد میکردیم.
ضبط صفحه
برای مستندسازی اقدامات هکرها در هانی پات خود، اسکریپتی نوشتیم که در یک بازه زمانی معین از ماشین مجازی اسکرین شات می گرفت و با مقایسه آن با اسکرین شات قبلی، مشخص می کرد که آیا چیزی در آنجا اتفاق می افتد یا خیر. وقتی فعالیت شناسایی شد، اسکریپت شامل ضبط صفحه بود. این رویکرد مؤثرترین بود. ما همچنین سعی کردیم ترافیک VNC را از یک زباله PCAP تجزیه و تحلیل کنیم تا بفهمیم چه تغییراتی در سیستم رخ داده است، اما در نهایت ضبط صفحه ای که اجرا کردیم ساده تر و بصری تر بود.
نظارت بر جلسات VNC
برای این کار از Chaosreader و VNCLogger استفاده کردیم. هر دو ابزار، کلیدها را از یک کمپرسی PCAP استخراج میکنند، اما VNCLogger کلیدهایی مانند Backspace، Enter، Ctrl را درستتر کنترل میکند.
VNCLogger دو نقطه ضعف دارد. اول: فقط با "گوش دادن" به ترافیک در رابط می تواند کلیدها را استخراج کند، بنابراین مجبور شدیم یک جلسه VNC را با استفاده از tcpreplay شبیه سازی کنیم. دومین نقطه ضعف VNCLogger در Chaosreader مشترک است: هر دوی آنها محتویات کلیپ بورد را نشان نمی دهند. برای این کار مجبور شدم از Wireshark استفاده کنم.
ما هکرها را فریب می دهیم
ما هانی پات را ایجاد کردیم تا مورد حمله قرار بگیریم. برای رسیدن به این هدف، ما یک نشت اطلاعات را برای جلب توجه مهاجمان احتمالی ترتیب دادیم. پورت های زیر در هانی پات باز شد:
پورت RDP باید مدت کوتاهی پس از پخش زنده بسته میشد زیرا حجم عظیم ترافیک اسکن در شبکه ما باعث ایجاد مشکلاتی در عملکرد میشد.
پایانههای VNC ابتدا در حالت فقط مشاهده بدون رمز عبور کار میکردند و سپس «به اشتباه» آنها را به حالت دسترسی کامل تغییر دادیم.
برای جذب مهاجمان، دو پست حاوی اطلاعات لو رفته در مورد سیستم صنعتی موجود در PasteBin ارسال کردیم.
یکی از پست های ارسال شده در PasteBin برای جذب حملات. منبع: Trend Micro
حملات
Honeypot حدود هفت ماه به صورت آنلاین زندگی کرد. اولین حمله یک ماه پس از آنلاین شدن هانی پات رخ داد.
اسکنر
ترافیک زیادی از اسکنرهای شرکت های معروف - ip-ip، Rapid، Shadow Server، Shodan، ZoomEye و دیگران وجود داشت. تعداد آنها بسیار زیاد بود که مجبور شدیم آدرس های IP آنها را از تجزیه و تحلیل حذف کنیم: 610 از 9452 یا 6,45٪ از تمام آدرس های IP منحصر به فرد متعلق به اسکنرهای کاملاً قانونی است.
ناظران
یکی از بزرگترین خطراتی که ما با آن روبرو بوده ایم استفاده از سیستم ما برای مقاصد مجرمانه است: خرید تلفن های هوشمند از طریق حساب مشترک، پول نقد مایل های خطوط هوایی با استفاده از کارت های هدیه و سایر انواع کلاهبرداری.
معدنچیان
یکی از اولین بازدیدکنندگان سیستم ما یک ماینر بود. او نرم افزار استخراج Monero را روی آن دانلود کرد. او به دلیل بهره وری پایین نمی توانست از سیستم خاص ما پول زیادی کسب کند. با این حال، اگر تلاشهای چند ده یا حتی صدها سیستم از این قبیل را با هم ترکیب کنیم، میتوان به خوبی نتیجه داد.
باج افزار
در طول کار Honeypot، دو بار با ویروس های باج افزار واقعی مواجه شدیم. در مورد اول Crysis بود. اپراتورهای آن از طریق VNC وارد سیستم شدند، اما سپس TeamViewer را نصب کردند و از آن برای انجام اقدامات بعدی استفاده کردند. پس از انتظار برای پیام اخاذی مبنی بر درخواست باج 10 دلاری در بیت کوین، با مجرمان مکاتبه کردیم و از آنها خواستیم یکی از پرونده ها را برای ما رمزگشایی کنند. درخواست را اجابت کردند و باج خواهی را تکرار کردند. ما موفق شدیم تا 6 هزار دلار مذاکره کنیم، پس از آن به سادگی سیستم را دوباره در یک ماشین مجازی آپلود کردیم، زیرا تمام اطلاعات لازم را دریافت کردیم.
باجافزار دوم فوبوس بود. هکری که آن را نصب کرده بود یک ساعت در سیستم فایل honeypot و اسکن شبکه وقت صرف کرد و سپس در نهایت باج افزار را نصب کرد.
سومین حمله باج افزار جعلی بود. یک "هکر" ناشناس فایل haha.bat را بر روی سیستم ما دانلود کرد، پس از آن ما برای مدتی تماشا کردیم که او سعی می کرد آن را به کار ببرد. یکی از تلاش ها تغییر نام haha.bat به haha.rnsmwr بود.
"هکر" مضر بودن فایل bat را با تغییر پسوند آن به .rnsmwr افزایش می دهد. منبع: Trend Micro
هنگامی که فایل دسته ای در نهایت شروع به اجرا کرد، "هکر" آن را ویرایش کرد و باج را از 200 دلار به 750 دلار افزایش داد. پس از آن، او تمام فایل ها را "رمزگذاری" کرد، یک پیام اخاذی روی دسکتاپ گذاشت و ناپدید شد و رمزهای عبور را در VNC ما تغییر داد.
چند روز بعد، هکر برگشت و برای یادآوری خود، یک فایل دستهای راهاندازی کرد که پنجرههای زیادی را با یک سایت پورنو باز کرد. ظاهراً از این طریق سعی کرده توجه را به خواسته خود جلب کند.
نمایش نتایج: از
در طول این مطالعه مشخص شد که به محض انتشار اطلاعات در مورد آسیب پذیری، هانی پات توجه ها را به خود جلب کرد و فعالیت روز به روز افزایش یافت. برای اینکه تله مورد توجه قرار گیرد، شرکت ساختگی ما مجبور شد چندین نقض امنیتی را متحمل شود. متأسفانه، این وضعیت در میان بسیاری از شرکتهای واقعی که کارکنان تمام وقت فناوری اطلاعات و امنیت اطلاعات ندارند، غیرمعمول است.
به طور کلی، سازمان ها باید از اصل حداقل امتیاز استفاده کنند، در حالی که ما دقیقا برعکس آن را برای جذب مهاجمان اجرا کردیم. و هر چه بیشتر حملات را تماشا میکردیم، در مقایسه با روشهای استاندارد تست نفوذ پیچیدهتر میشدند.
و مهمتر از همه، اگر اقدامات امنیتی کافی در هنگام راه اندازی شبکه اجرا می شد، همه این حملات با شکست مواجه می شدند. سازمانها باید اطمینان حاصل کنند که تجهیزات و اجزای زیرساختهای صنعتی آنها از طریق اینترنت قابل دسترسی نیستند، همانطور که ما بهطور خاص در دام خود انجام دادیم.
اگرچه ما حتی یک حمله به ایستگاه کاری یک مهندس ثبت نکردهایم، با وجود استفاده از رمز عبور مدیر محلی یکسان در همه رایانهها، باید از این عمل اجتناب شود تا احتمال نفوذ به حداقل برسد. از این گذشته، امنیت ضعیف به عنوان یک دعوت اضافی برای حمله به سیستم های صنعتی است که مدت هاست مورد توجه مجرمان سایبری بوده است.
منبع: www.habr.com