Virustorjuntayritykset, tietoturva-asiantuntijat ja yksinkertaisesti harrastajat laittavat Honeypot-järjestelmiä Internetiin ”saaliiksi” viruksen uuden muunnelman tai tunnistaakseen epätavallisia hakkereita. Hunajaruukut ovat niin yleisiä, että kyberrikolliset ovat kehittäneet eräänlaisen immuniteetin: he huomaavat nopeasti olevansa ansan edessä ja jättävät sen huomiotta. Tutkiaksemme nykyaikaisten hakkereiden taktiikoita loimme realistisen hunajapotin, joka asui Internetissä seitsemän kuukautta ja houkutteli erilaisia hyökkäyksiä. Puhuimme siitä, kuinka tämä tapahtui tutkimuksessamme "" Jotkut faktat tutkimuksesta ovat tässä postauksessa.
Honeypotin kehitys: tarkistuslista
Päätehtävänä superloukkumme luomisessa oli estää meitä paljastamasta sitä kohtaan kiinnostuneita hakkereita. Tämä vaati paljon työtä:
- Luo realistinen legenda yrityksestä, joka sisältää työntekijöiden täydelliset nimet ja valokuvat, puhelinnumerot ja sähköpostit.
- Keksiä ja toteuttaa teollisen infrastruktuurin malli, joka vastaa legendaa yrityksemme toiminnasta.
- Päätä, mitkä verkkopalvelut ovat käytettävissä ulkopuolelta, mutta älä hurahda haavoittuvien porttien avaamiseen, jotta se ei näytä ansalta imureille.
- Järjestä haavoittuvaa järjestelmää koskevien tietovuotojen näkyvyys ja jaa nämä tiedot mahdollisten hyökkääjien kesken.
- Ota käyttöön hakkeritoiminnan huomaamaton seuranta honeypot-infrastruktuurissa.
Ja nyt kaikesta järjestyksessä.
Legendan luominen
Kyberrikolliset ovat jo tottuneet kohtaamaan monia hunajaruukkuja, joten edistynein osa heistä tekee perusteellisen tutkimuksen jokaisesta haavoittuvasta järjestelmästä varmistaakseen, ettei se ole ansa. Samasta syystä pyrimme varmistamaan, että hunajaruukku ei ollut pelkästään realistinen suunnittelun ja teknisten näkökohtien suhteen, vaan myös luomaan todellisen yrityksen ilmettä.
Asetuimme hypoteettisen coolin hakkerin kenkiin ja kehitimme varmistusalgoritmin, joka erottaisi todellisen järjestelmän ansasta. Se sisälsi yritysten IP-osoitteiden etsimistä mainejärjestelmistä, IP-osoitteiden historian käänteistä tutkimusta, yritykseen ja sen vastapuoliin liittyvien nimien ja avainsanojen etsimistä ja monia muita asioita. Tämän seurauksena legenda osoittautui varsin vakuuttavaksi ja houkuttelevaksi.
Päätimme sijoittaa houkutustehtaan pieneksi teollisen prototyyppien putiikkina, joka työskentelee erittäin suurille anonyymeille asiakkaille sotilas- ja ilmailualalla. Tämä vapautti meidät olemassa olevan brändin käyttöön liittyvistä oikeudellisista hankaluuksista.
Seuraavaksi piti keksiä organisaatiolle visio, missio ja nimi. Päätimme, että yrityksemme on startup, jossa on pieni määrä työntekijöitä, joista jokainen on perustaja. Tämä lisäsi uskottavuutta tarinaan liiketoimintamme erikoistuneesta luonteesta, jonka ansiosta se pystyy käsittelemään arkaluonteisia projekteja suurille ja tärkeille asiakkaille. Halusimme yrityksemme näyttävän heikolta kyberturvallisuuden näkökulmasta, mutta samalla oli selvää, että työskentelimme tärkeiden resurssien parissa kohdejärjestelmissä.
Kuvakaappaus MeTech honeypot -verkkosivustosta. Lähde: Trend Micro
Valitsimme yrityksen nimeksi sanan MeTech. Sivusto tehtiin ilmaisen mallin pohjalta. Kuvat on otettu kuvapankeista käyttämällä kaikkein epäsuosituimpia ja muokkaamalla niitä vähemmän tunnistettavaksi.
Halusimme yrityksen näyttävän aidolta, joten meidän piti lisätä työntekijöitä, joilla on toiminnan profiilia vastaava ammattitaito. Keksimme heille nimet ja persoonallisuudet ja yritimme sitten valita kuvia valokuvapankeista etnisen alkuperän mukaan.
Kuvakaappaus MeTech honeypot -verkkosivustosta. Lähde: Trend Micro
Löytämisen välttämiseksi etsimme laadukkaita ryhmäkuvia, joista saimme valita tarvitsemamme kasvot. Luovuimme kuitenkin tästä vaihtoehdosta, koska mahdollinen hakkeri voisi käyttää käänteistä kuvahakua ja havaita, että "työntekijämme" asuvat vain valokuvapankeissa. Lopuksi käytimme neuroverkkojen avulla luotuja valokuvia olemattomista ihmisistä.
Sivustolla julkaistut työntekijäprofiilit sisälsivät tärkeitä tietoja heidän teknisistä taidoistaan, mutta välttelimme tiettyjä kouluja tai kaupunkeja.
Postilaatikoiden luomiseen käytimme hosting-palveluntarjoajan palvelinta, minkä jälkeen vuokrasimme useita puhelinnumeroita Yhdysvalloista ja yhdistämme ne virtuaaliseksi PBX:ksi, jossa oli äänivalikko ja puhelinvastaaja.
Honeypotin infrastruktuuri
Altistumisen välttämiseksi päätimme käyttää todellisen teollisuuslaitteiston, fyysisten tietokoneiden ja suojattujen virtuaalikoneiden yhdistelmää. Tulevaisuudessa sanomme, että tarkistimme ponnistelujemme tuloksen Shodan-hakukoneella, ja se osoitti, että hunajapotti näyttää todelliselta teollisuusjärjestelmältä.
Tulos hunajaruukun skannaamisesta Shodanilla. Lähde: Trend Micro
Käytimme neljää PLC:tä laitteistona ansassamme:
- Siemens S7-1200,
- kaksi AllenBradley MicroLogix 1100,
- Omron CP1L.
Nämä PLC:t valittiin niiden suosion vuoksi maailmanlaajuisilla ohjausjärjestelmämarkkinoilla. Ja jokainen näistä ohjaimista käyttää omaa protokollaansa, jonka avulla pystyimme tarkistamaan, mihin PLC:ihin hyökätään useammin ja kiinnostaisivatko ne ketään periaatteessa.
Tehdas-ansamme laitteet. Lähde: Trend Micro
Emme vain asentaneet laitteistoa ja yhdistäneet niitä Internetiin. Ohjelmoimme jokaisen ohjaimen suorittamaan tehtäviä, mukaan lukien
- sekoitus,
- polttimen ja kuljetinhihnan ohjaus,
- lavaus robottimanipulaattorilla.
Ja jotta tuotantoprosessi olisi realistinen, ohjelmoimme logiikkaa muuttamaan satunnaisesti palauteparametreja, simuloimaan moottoreiden käynnistymistä ja pysähtymistä sekä polttimien käynnistymistä ja sammumista.
Tehtaallamme oli kolme virtuaalista tietokonetta ja yksi fyysinen. Virtuaalitietokoneita käytettiin ohjaamaan tehdasta, lavausrobottia ja PLC-ohjelmistosuunnittelijan työasemana. Fyysinen tietokone toimi tiedostopalvelimena.
PLC-hyökkäysten seurannan lisäksi halusimme seurata laitteillemme ladattujen ohjelmien tilaa. Tätä varten loimme käyttöliittymän, jonka avulla pystyimme nopeasti määrittämään, kuinka virtuaalisten toimilaitteiden ja asennuksien tiloja muutettiin. Huomasimme jo suunnitteluvaiheessa, että tämä on paljon helpompaa toteuttaa ohjausohjelmalla kuin suoraan ohjelmoimalla ohjainlogiikka. Avasimme pääsyn honeypotimme laitehallintaliittymään VNC:n kautta ilman salasanaa.
Teollisuusrobotit ovat keskeinen osa nykyaikaista älykästä valmistusta. Tältä osin päätimme lisätä ansatehtaan kalustoon robotin ja sitä ohjaavan automatisoidun työpaikan. "Tehdas" realistisemmaksi asensi ohjaustyöasemalle oikean ohjelmiston, jolla insinöörit ohjelmoivat graafisesti robotin logiikkaa. No, koska teollisuusrobotit sijaitsevat yleensä eristetyssä sisäisessä verkossa, päätimme jättää VNC:n kautta suojaamattoman pääsyn vain ohjaustyöasemalle.
RobotStudio-ympäristö robottimme 3D-mallilla. Lähde: Trend Micro
Asensimme ABB Roboticsin RobotStudio-ohjelmointiympäristön virtuaalikoneeseen robottiohjaustyöasemalla. RobotStudion konfiguroinnin jälkeen avasimme simulaatiotiedoston, jossa oli robottimme niin, että sen 3D-kuva näkyi näytöllä. Tämän seurauksena Shodan ja muut hakukoneet, kun ne havaitsevat suojaamattoman VNC-palvelimen, nappaavat tämän näyttökuvan ja näyttävät sen niille, jotka etsivät teollisuusrobotteja, joilla on avoin käyttöoikeus.
Tämän yksityiskohtiin kiinnittämisen tarkoituksena oli luoda houkutteleva ja realistinen kohde hyökkääjille, jotka löydettyään sen palasivat siihen uudestaan ja uudestaan.
Insinöörin työpiste
PLC-logiikan ohjelmointia varten lisäsimme infrastruktuuriin teknisen tietokoneen. Siihen asennettiin teollinen ohjelmisto PLC-ohjelmointia varten:
- TIA-portaali Siemensille,
- MicroLogix Allen-Bradley-ohjaimelle,
- CX-One Omronille.
Päätimme, että insinöörityötilaa ei pääse verkon ulkopuolelta. Sen sijaan asetimme järjestelmänvalvojan tilille saman salasanan kuin robottiohjauksen työasemalle ja Internetistä käsiteltävälle tehdasohjaustyöasemalle. Tämä kokoonpano on melko yleinen monissa yrityksissä.
Valitettavasti kaikista yrityksistämme huolimatta yksikään hyökkääjä ei päässyt insinöörin työasemalle.
Tiedosto palvelin
Tarvitsimme sitä syöttinä hyökkääjille ja välineenä oman "työmme" tukemiseen houkutintehtaalla. Tämän ansiosta saimme jakaa tiedostoja honeypotin kanssa USB-laitteiden avulla jättämättä jälkeä honeypot-verkkoon. Asensimme tiedostopalvelimelle käyttöjärjestelmäksi Windows 7 Pron, johon loimme jaetun kansion, jota kuka tahansa voi lukea ja kirjoittaa.
Aluksi emme luoneet tiedostopalvelimelle kansioiden ja asiakirjojen hierarkiaa. Huomasimme kuitenkin myöhemmin, että hyökkääjät tutkivat aktiivisesti tätä kansiota, joten päätimme täyttää sen eri tiedostoilla. Tätä varten kirjoitimme python-skriptin, joka loi satunnaisen kokoisen tiedoston jollakin annetuista tunnisteista ja muodosti nimen sanakirjan perusteella.
Komentosarja houkuttelevien tiedostonimien luomiseen. Lähde: Trend Micro
Skriptin suorittamisen jälkeen saimme halutun tuloksen kansion muodossa, joka oli täynnä tiedostoja erittäin mielenkiintoisilla nimillä.
Käsikirjoituksen tulos. Lähde: Trend Micro
Valvontaympäristö
Kun olemme käyttäneet niin paljon vaivaa realistisen yrityksen luomiseen, meillä ei yksinkertaisesti ollut varaa epäonnistua "vierailijoiden" seurantaympäristössä. Meidän piti saada kaikki tiedot reaaliajassa ilman, että hyökkääjät tajusivat, että heitä tarkkaillaan.
Toteutimme tämän käyttämällä neljää USB–Ethernet-sovitinta, neljää SharkTap Ethernet -liitäntää, Raspberry Pi 3:a ja suurta ulkoista asemaa. Verkkokaaviomme näytti tältä:
Honeypot-verkkokaavio valvontalaitteilla. Lähde: Trend Micro
Sijoitimme kolme SharkTap-hanaa valvomaan kaikkea ulkoista liikennettä PLC:hen, joihin pääsee vain sisäisestä verkosta. Neljäs SharkTap seurasi haavoittuvan virtuaalikoneen vieraiden liikennettä.
SharkTap Ethernet Tap ja Sierra Wireless AirLink RV50 -reititin. Lähde: Trend Micro
Raspberry Pi suoritti päivittäisen liikenteen kaappauksen. Yhdistettiin Internetiin Sierra Wireless AirLink RV50 -matkapuhelinreitittimellä, jota käytetään usein teollisuusyrityksissä.
Valitettavasti tämä reititin ei sallinut meidän valikoivasti estää hyökkäyksiä, jotka eivät vastanneet suunnitelmiamme, joten lisäsimme verkkoon Cisco ASA 5505 -palomuurin läpinäkyvässä tilassa estääksemme estämisen mahdollisimman pienellä vaikutuksella verkkoon.
Liikenneanalyysi
Tshark ja tcpdump sopivat ajankohtaisten ongelmien nopeaan ratkaisemiseen, mutta meidän tapauksessamme niiden ominaisuudet eivät riittäneet, koska meillä oli monta gigatavua liikennettä, jota useat ihmiset analysoivat. Käytimme AOL:n kehittämää avoimen lähdekoodin Moloch-analysaattoria. Se on toiminnaltaan verrattavissa Wiresharkiin, mutta siinä on enemmän mahdollisuuksia yhteistyöhön, pakettien kuvaamiseen ja merkitsemiseen, vientiin ja muihin tehtäviin.
Koska emme halunneet käsitellä kerättyä dataa honeypot-tietokoneilla, PCAP kaatopaikat vietiin joka päivä AWS-varastoon, josta ne jo tuotiin Moloch-koneelle.
Näytön tallennus
Dokumentoidaksemme hakkereiden toiminnan honeypotissamme kirjoitimme käsikirjoituksen, joka otti kuvakaappauksia virtuaalikoneen tietyin väliajoin ja vertaamalla sitä edelliseen kuvakaappaukseen määritti, tapahtuiko siellä jotain vai ei. Kun toimintaa havaittiin, käsikirjoitukseen sisältyi näytön tallennus. Tämä lähestymistapa osoittautui tehokkaimmaksi. Yritimme myös analysoida VNC-liikennettä PCAP-dumpista ymmärtääksemme, mitä muutoksia järjestelmässä oli tapahtunut, mutta lopulta toteuttamamme näytön tallennus osoittautui yksinkertaisemmiksi ja visuaalisemmaksi.
VNC-istuntojen seuranta
Tätä varten käytimme Chaosreaderia ja VNCLoggeria. Molemmat apuohjelmat poimivat näppäinpainallukset PCAP-vedosta, mutta VNCLogger käsittelee näppäimiä, kuten Backspace, Enter ja Ctrl, oikein.
VNCLoggerilla on kaksi haittaa. Ensinnäkin: se voi poimia avaimia vain "kuuntelemalla" käyttöliittymän liikennettä, joten meidän piti simuloida sille VNC-istunto tcpreplayn avulla. Toinen VNCLoggerin haittapuoli on yleinen Chaosreaderin kanssa: molemmat eivät näytä leikepöydän sisältöä. Tätä varten minun piti käyttää Wiresharkia.
Houkuttelemme hakkereita
Loimme honeypotin hyökätä varten. Tämän saavuttamiseksi järjestimme tietovuodon kiinnittääksemme mahdollisten hyökkääjien huomion. Honeypotissa avattiin seuraavat portit:
RDP-portti jouduttiin sulkemaan pian julkaisun jälkeen, koska verkkomme valtava skannausliikenne aiheutti suorituskykyongelmia.
VNC-päätteet toimivat ensin vain katselutilassa ilman salasanaa, ja sitten vaihdoimme ne "vahingossa" täyden pääsyn tilaan.
Hyökkääjien houkuttelemiseksi julkaisimme PasteBinissä kaksi viestiä, joissa oli vuotanutta tietoa saatavilla olevasta teollisuusjärjestelmästä.
Yksi PasteBiniin lähetetyistä viesteistä houkutellakseen hyökkäyksiä. Lähde: Trend Micro
Hyökkäykset
Honeypot asui verkossa noin seitsemän kuukautta. Ensimmäinen hyökkäys tapahtui kuukausi honeypotin verkkoon siirtymisen jälkeen.
skannerit
Liikennettä oli paljon tunnettujen yritysten skannereista - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye ja muut. Niitä oli niin paljon, että meidän piti jättää niiden IP-osoitteet pois analyysistä: 610 9452:sta eli 6,45 % kaikista yksilöllisistä IP-osoitteista kuului täysin laillisille skannereille.
huijarit
Yksi suurimmista kohtaamistamme riskeistä on järjestelmämme käyttö rikollisiin tarkoituksiin: älypuhelimien ostaminen tilaajatilin kautta, lentomailien kotiuttaminen lahjakorteilla ja muut petokset.
Kaivostyöläiset
Yksi ensimmäisistä järjestelmämme vierailijoista osoittautui kaivostyöläiseksi. Hän latasi Moneron kaivosohjelmiston siihen. Hän ei olisi voinut ansaita paljoa rahaa järjestelmästämme alhaisen tuottavuuden vuoksi. Kuitenkin, jos yhdistämme useiden kymmenien tai jopa satojen tällaisten järjestelmien ponnistelut, se voi osoittautua varsin hyvin.
Ransomware
Honeypotin työn aikana kohtasimme oikeita lunnasohjelmaviruksia kahdesti. Ensimmäisessä tapauksessa se oli Crysis. Sen operaattorit kirjautuivat järjestelmään VNC:n kautta, mutta asensivat sitten TeamViewerin ja käyttivät sitä lisätoimintojen suorittamiseen. Odotettuamme kiristysviestiä, jossa vaadittiin 10 6 dollarin lunnaita BTC:ssä, aloimme kirjeenvaihdossa rikollisten kanssa ja pyysimme heitä purkamaan yhden tiedostoista meille. He noudattivat pyyntöä ja toistivat lunnaita koskevan vaatimuksen. Onnistuimme neuvottelemaan jopa XNUMX tuhatta dollaria, minkä jälkeen yksinkertaisesti latasimme järjestelmän uudelleen virtuaalikoneeseen, koska saimme kaikki tarvittavat tiedot.
Toinen kiristysohjelma osoittautui Phoboksiksi. Sen asentanut hakkeri vietti tunnin selaamalla honeypot-tiedostojärjestelmää ja skannaamalla verkkoa, minkä jälkeen lopulta asensi kiristysohjelman.
Kolmas lunnasohjelmahyökkäys osoittautui väärennökseksi. Tuntematon "hakkeri" latasi haha.bat-tiedoston järjestelmäämme, minkä jälkeen katselimme hetken, kun hän yritti saada sen toimimaan. Yksi yrityksistä oli nimetä haha.bat uudelleen muotoon haha.rnsmwr.
"Hakkeri" lisää bat-tiedoston haitallisuutta muuttamalla sen tunnisteeksi .rnsmwr. Lähde: Trend Micro
Kun erätiedosto vihdoin alkoi toimia, "hakkeri" muokkasi sitä ja nosti lunnaita 200 dollarista 750 dollariin. Sen jälkeen hän "salasi" kaikki tiedostot, jätti kiristysviestin työpöydälle ja katosi vaihtaen VNC:n salasanat.
Pari päivää myöhemmin hakkeri palasi ja muistutti itseään käynnisti erätiedoston, joka avasi monia ikkunoita pornosivustolla. Ilmeisesti tällä tavalla hän yritti kiinnittää huomiota vaatimukseensa.
Tulokset
Tutkimuksen aikana kävi ilmi, että heti kun tieto haavoittuvuudesta julkaistiin, honeypot herätti huomiota ja aktiivisuus kasvoi päivä päivältä. Jotta ansa saisi huomion, kuvitteellinen yhtiömme joutui kärsimään useista tietoturvaloukkauksista. Valitettavasti tämä tilanne ei ole läheskään harvinainen monien todellisten yritysten keskuudessa, joilla ei ole kokopäiväistä IT- ja tietoturvatyöntekijöitä.
Yleisesti ottaen organisaatioiden tulisi käyttää vähiten etuoikeuksien periaatetta, kun taas me toteutimme sen täysin päinvastaista houkutellaksemme hyökkääjiä. Ja mitä kauemmin katselimme hyökkäyksiä, sitä kehittyneempiä niistä tuli verrattuna tavallisiin läpäisytestausmenetelmiin.
Ja mikä tärkeintä, kaikki nämä hyökkäykset olisivat epäonnistuneet, jos verkkoa muodostettaessa olisi toteutettu riittävät suojatoimenpiteet. Organisaatioiden on varmistettava, että niiden laitteet ja teollisuuden infrastruktuurikomponentit eivät ole saatavilla Internetistä, kuten teimme erityisesti ansassamme.
Vaikka emme ole tallentaneet yhtäkään hyökkäystä insinöörin työasemaan, vaikka käytämme samaa paikallisen järjestelmänvalvojan salasanaa kaikissa tietokoneissa, tätä käytäntöä tulisi välttää tunkeutumisen mahdollisuuden minimoimiseksi. Loppujen lopuksi heikko tietoturva toimii lisäkutsuna hyökätä teollisiin järjestelmiin, jotka ovat jo pitkään kiinnostaneet kyberrikollisia.
Lähde: will.com