Les sociétés antivirus, les experts en sécurité de l'information et simplement les passionnés installent des systèmes de pots de miel sur Internet afin d'« attraper » une nouvelle variante du virus ou d'identifier des tactiques de piratage inhabituelles. Les pots de miel sont si courants que les cybercriminels ont développé une sorte d'immunité : ils identifient rapidement qu'ils se trouvent devant un piège et l'ignorent tout simplement. Pour explorer les tactiques des pirates informatiques modernes, nous avons créé un pot de miel réaliste qui a vécu sur Internet pendant sept mois, attirant diverses attaques. Nous avons parlé de la façon dont cela s'est produit dans notre étude "" Certains faits de l’étude se trouvent dans cet article.
Développement de pots de miel : liste de contrôle
La tâche principale lors de la création de notre supertrap était d'empêcher que nous soyons exposés par des pirates informatiques qui s'y intéressaient. Cela a demandé beaucoup de travail :
- Créez une légende réaliste sur l'entreprise, comprenant les noms complets et les photos des employés, les numéros de téléphone et les adresses e-mail.
- Imaginer et mettre en œuvre un modèle d’infrastructure industrielle qui correspond à la légende des activités de notre entreprise.
- Décidez quels services réseau seront accessibles de l'extérieur, mais ne vous laissez pas emporter par l'ouverture de ports vulnérables afin que cela ne ressemble pas à un piège pour les drageons.
- Organisez la visibilité des fuites d'informations sur un système vulnérable et diffusez ces informations aux attaquants potentiels.
- Mettez en œuvre une surveillance discrète des activités des pirates informatiques dans l’infrastructure du pot de miel.
Et maintenant à propos de tout en ordre.
Créer une légende
Les cybercriminels sont déjà habitués à rencontrer de nombreux pots de miel, c'est pourquoi la partie la plus avancée d'entre eux mène une enquête approfondie sur chaque système vulnérable pour s'assurer qu'il ne s'agit pas d'un piège. Pour la même raison, nous avons cherché à ce que le pot de miel soit non seulement réaliste en termes de conception et d'aspects techniques, mais également à créer l'apparence d'une véritable entreprise.
En nous mettant dans la peau d’un hypothétique hacker cool, nous avons développé un algorithme de vérification qui permettrait de distinguer un système réel d’un piège. Cela comprenait la recherche des adresses IP des entreprises dans les systèmes de réputation, la recherche inversée de l'historique des adresses IP, la recherche de noms et de mots-clés liés à l'entreprise, ainsi qu'à ses contreparties, et bien d'autres choses encore. En conséquence, la légende s'est avérée assez convaincante et attrayante.
Nous avons décidé de positionner l'usine de leurres comme une petite boutique de prototypage industriel travaillant pour de très gros clients anonymes du secteur militaire et aéronautique. Cela nous a libéré des complications juridiques liées à l’utilisation d’une marque existante.
Ensuite, nous avons dû trouver une vision, une mission et un nom pour l'organisation. Nous avons décidé que notre entreprise serait une startup avec un petit nombre d'employés, chacun étant fondateur. Cela a ajouté de la crédibilité à l'histoire de la nature spécialisée de notre entreprise, qui lui permet de gérer des projets sensibles pour des clients importants et importants. Nous voulions que notre entreprise paraisse faible du point de vue de la cybersécurité, mais en même temps, il était évident que nous travaillions avec des actifs importants sur les systèmes cibles.
Capture d'écran du site Web du pot de miel MeTech. Source : Trend Micro
Nous avons choisi le mot MeTech comme nom de société. Le site a été réalisé à partir d'un modèle gratuit. Les images ont été extraites de banques de photos, en utilisant les plus impopulaires et en les modifiant pour les rendre moins reconnaissables.
Nous voulions que l'entreprise ait l'air réelle, nous devions donc ajouter des collaborateurs possédant des compétences professionnelles correspondant au profil de l'activité. Nous leur avons proposé des noms et des personnalités, puis avons essayé de sélectionner des images dans des banques de photos en fonction de leur appartenance ethnique.
Capture d'écran du site Web du pot de miel MeTech. Source : Trend Micro
Pour éviter d’être découverts, nous avons recherché des photos de groupe de bonne qualité parmi lesquelles choisir les visages dont nous avions besoin. Mais nous avons ensuite abandonné cette option, car un potentiel hacker pourrait utiliser la recherche d’images inversée et découvrir que nos « employés » ne vivent que dans des banques de photos. Au final, nous avons utilisé des photographies de personnes inexistantes créées à l'aide de réseaux de neurones.
Les profils des employés publiés sur le site contenaient des informations importantes sur leurs compétences techniques, mais nous avons évité d'identifier des écoles ou des villes spécifiques.
Pour créer des boîtes aux lettres, nous avons utilisé le serveur d'un hébergeur, puis loué plusieurs numéros de téléphone aux États-Unis et les avons combinés dans un PBX virtuel avec un menu vocal et un répondeur.
Infrastructure de pots de miel
Pour éviter toute exposition, nous avons décidé d'utiliser une combinaison de matériel industriel réel, d'ordinateurs physiques et de machines virtuelles sécurisées. Pour l’avenir, nous dirons que nous avons vérifié le résultat de nos efforts à l’aide du moteur de recherche Shodan, et cela a montré que le pot de miel ressemble à un véritable système industriel.
Le résultat de la numérisation d'un pot de miel à l'aide de Shodan. Source : Trend Micro
Nous avons utilisé quatre automates comme matériel pour notre piège :
- Siemen S7-1200,
- deux AllenBradley MicroLogix 1100,
- Omron CP1L.
Ces automates ont été sélectionnés pour leur popularité sur le marché mondial des systèmes de contrôle. Et chacun de ces contrôleurs utilise son propre protocole, ce qui nous a permis de vérifier lesquels des automates seraient attaqués le plus souvent et s'ils intéresseraient en principe quelqu'un.
Équipement de notre piège «usine». Source : Trend Micro
Nous n'avons pas seulement installé du matériel et l'avons connecté à Internet. Nous avons programmé chaque contrôleur pour effectuer des tâches, notamment
- mélange,
- contrôle des brûleurs et des bandes transporteuses,
- palettisation à l'aide d'un manipulateur robotisé.
Et pour rendre le processus de production réaliste, nous avons programmé une logique pour modifier de manière aléatoire les paramètres de rétroaction, simuler le démarrage et l'arrêt des moteurs et l'allumage et l'extinction des brûleurs.
Notre usine disposait de trois ordinateurs virtuels et d’un physique. Des ordinateurs virtuels ont été utilisés pour contrôler une usine, un robot palettiseur et comme poste de travail pour un ingénieur logiciel PLC. L'ordinateur physique fonctionnait comme un serveur de fichiers.
En plus de surveiller les attaques sur les automates, nous souhaitions surveiller l'état des programmes chargés sur nos appareils. Pour ce faire, nous avons créé une interface qui nous a permis de déterminer rapidement comment les états de nos actionneurs et installations virtuels étaient modifiés. Dès la phase de planification, nous avons découvert qu'il était beaucoup plus facile de mettre en œuvre cela à l'aide d'un programme de commande plutôt que par la programmation directe de la logique du contrôleur. Nous avons ouvert l'accès à l'interface de gestion des appareils de notre pot de miel via VNC sans mot de passe.
Les robots industriels sont un élément clé de la fabrication intelligente moderne. À cet égard, nous avons décidé d'ajouter un robot et un poste de travail automatisé pour le contrôler aux équipements de notre usine de pièges. Pour rendre « l’usine » plus réaliste, nous avons installé un véritable logiciel sur le poste de contrôle, que les ingénieurs utilisent pour programmer graphiquement la logique du robot. Eh bien, comme les robots industriels sont généralement situés dans un réseau interne isolé, nous avons décidé de laisser l'accès non protégé via VNC uniquement au poste de contrôle.
Environnement RobotStudio avec un modèle 3D de notre robot. Source : Trend Micro
Nous avons installé l'environnement de programmation RobotStudio d'ABB Robotics sur une machine virtuelle avec un poste de travail de contrôle du robot. Après avoir configuré RobotStudio, nous avons ouvert un fichier de simulation contenant notre robot afin que son image 3D soit visible à l'écran. En conséquence, Shodan et d'autres moteurs de recherche, après avoir détecté un serveur VNC non sécurisé, saisiront cette image d'écran et la montreront à ceux qui recherchent des robots industriels avec un accès ouvert au contrôle.
Le but de cette attention aux détails était de créer une cible attrayante et réaliste pour les attaquants qui, une fois trouvés, y reviendraient encore et encore.
Poste de travail de l'ingénieur
Pour programmer la logique PLC, nous avons ajouté un ordinateur d'ingénierie à l'infrastructure. Un logiciel industriel de programmation automate y a été installé :
- Portail TIA pour Siemens,
- MicroLogix pour contrôleur Allen-Bradley,
- CX-One pour Omron.
Nous avons décidé que l'espace de travail d'ingénierie ne serait pas accessible en dehors du réseau. Au lieu de cela, nous définissons le même mot de passe pour le compte administrateur que sur le poste de contrôle du robot et le poste de contrôle d'usine accessible depuis Internet. Cette configuration est assez courante dans de nombreuses entreprises.
Malheureusement, malgré tous nos efforts, aucun attaquant n’a atteint le poste de travail de l’ingénieur.
Serveur de fichiers
Nous en avions besoin comme appât pour les attaquants et comme moyen de sauvegarder notre propre « travail » dans l’usine de leurres. Cela nous a permis de partager des fichiers avec notre honeypot à l'aide de périphériques USB sans laisser de trace sur le réseau honeypot. Nous avons installé Windows 7 Pro comme système d'exploitation pour le serveur de fichiers, dans lequel nous avons créé un dossier partagé qui peut être lu et écrit par n'importe qui.
Au début, nous n'avons créé aucune hiérarchie de dossiers et de documents sur le serveur de fichiers. Cependant, nous avons découvert plus tard que des attaquants étudiaient activement ce dossier, nous avons donc décidé de le remplir de divers fichiers. Pour ce faire, nous avons écrit un script python qui a créé un fichier de taille aléatoire avec l'une des extensions données, formant un nom basé sur le dictionnaire.
Script pour générer des noms de fichiers attrayants. Source : Trend Micro
Après avoir exécuté le script, nous avons obtenu le résultat souhaité sous la forme d'un dossier rempli de fichiers aux noms très intéressants.
Le résultat du script. Source : Trend Micro
Environnement de surveillance
Après avoir déployé tant d'efforts pour créer une entreprise réaliste, nous ne pouvions tout simplement pas nous permettre de négliger l'environnement de surveillance de nos « visiteurs ». Nous devions obtenir toutes les données en temps réel sans que les attaquants ne se rendent compte qu'ils étaient surveillés.
Nous avons implémenté cela à l'aide de quatre adaptateurs USB vers Ethernet, de quatre prises Ethernet SharkTap, d'un Raspberry Pi 3 et d'un grand disque externe. Notre schéma de réseau ressemblait à ceci :
Schéma de réseau Honeypot avec équipement de surveillance. Source : Trend Micro
Nous avons positionné trois taps SharkTap de manière à surveiller tout le trafic externe vers l'automate, accessible uniquement depuis le réseau interne. Le quatrième SharkTap surveillait le trafic des invités d'une machine virtuelle vulnérable.
Robinet Ethernet SharkTap et routeur Sierra Wireless AirLink RV50. Source : Trend Micro
Raspberry Pi a effectué une capture quotidienne du trafic. Nous nous sommes connectés à Internet à l'aide d'un routeur cellulaire Sierra Wireless AirLink RV50, souvent utilisé dans les entreprises industrielles.
Malheureusement, ce routeur ne nous a pas permis de bloquer sélectivement les attaques qui ne correspondaient pas à nos plans, nous avons donc ajouté un pare-feu Cisco ASA 5505 au réseau en mode transparent pour effectuer un blocage avec un impact minimal sur le réseau.
Analyse du trafic
Tshark et tcpdump sont appropriés pour résoudre rapidement les problèmes actuels, mais dans notre cas, leurs capacités n'étaient pas suffisantes, car nous avions plusieurs gigaoctets de trafic analysés par plusieurs personnes. Nous avons utilisé l'analyseur open source Moloch développé par AOL. Ses fonctionnalités sont comparables à celles de Wireshark, mais il offre davantage de capacités de collaboration, de description et de marquage des packages, d'exportation et d'autres tâches.
Comme nous ne souhaitions pas traiter les données collectées sur des ordinateurs honeypot, les dumps PCAP étaient exportés chaque jour vers le stockage AWS, d'où nous les importions déjà sur la machine Moloch.
Enregistrement d'écran
Pour documenter les actions des pirates dans notre pot de miel, nous avons écrit un script qui prenait des captures d'écran de la machine virtuelle à un intervalle donné et, en la comparant avec la capture d'écran précédente, déterminait si quelque chose s'y passait ou non. Lorsqu'une activité était détectée, le script incluait un enregistrement d'écran. Cette approche s'est avérée la plus efficace. Nous avons également essayé d'analyser le trafic VNC à partir d'un dump PCAP pour comprendre quels changements s'étaient produits dans le système, mais au final, l'enregistrement d'écran que nous avons mis en œuvre s'est avéré plus simple et plus visuel.
Surveillance des sessions VNC
Pour cela, nous avons utilisé Chaosreader et VNCLogger. Les deux utilitaires extraient les frappes d'un dump PCAP, mais VNCLogger gère plus correctement les touches telles que Backspace, Enter, Ctrl.
VNCLogger présente deux inconvénients. Premièrement : il ne peut extraire les clés qu'en « écoutant » le trafic sur l'interface, nous avons donc dû simuler une session VNC pour cela en utilisant tcpreplay. Le deuxième inconvénient de VNCLogger est commun à Chaosreader : ils n'affichent pas tous les deux le contenu du presse-papiers. Pour ce faire, j'ai dû utiliser Wireshark.
Nous attirons les pirates
Nous avons créé un pot de miel pour être attaqué. Pour y parvenir, nous avons organisé une fuite d’informations afin d’attirer l’attention d’attaquants potentiels. Les ports suivants ont été ouverts sur honeypot :
Le port RDP a dû être fermé peu de temps après la mise en service, car la quantité massive de trafic d'analyse sur notre réseau entraînait des problèmes de performances.
Les terminaux VNC ont d'abord fonctionné en mode visualisation seule sans mot de passe, puis nous les avons basculés « par erreur » en mode accès complet.
Pour attirer les attaquants, nous avons publié deux articles contenant des informations divulguées sur le système industriel disponible sur PasteBin.
L'un des messages publiés sur PasteBin pour attirer les attaques. Source : Trend Micro
Attaques
Honeypot a vécu en ligne pendant environ sept mois. La première attaque a eu lieu un mois après la mise en ligne de Honeypot.
Des scanners
Il y avait beaucoup de trafic provenant de scanners d'entreprises bien connues - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye et autres. Ils étaient si nombreux que nous avons dû exclure leurs adresses IP de l'analyse : 610 sur 9452 6,45, soit XNUMX % de toutes les adresses IP uniques, appartenaient à des scanners tout à fait légitimes.
Escrocs
L'un des plus grands risques auxquels nous avons été confrontés est l'utilisation de notre système à des fins criminelles : pour acheter des smartphones via le compte d'un abonné, encaisser des miles aériens avec des cartes cadeaux et d'autres types de fraude.
Mineurs
L'un des premiers visiteurs de notre système s'est avéré être un mineur. Il y a téléchargé le logiciel minier Monero. Il n'aurait pas pu gagner beaucoup d'argent avec notre système particulier en raison de sa faible productivité. Cependant, si nous combinons les efforts de plusieurs dizaines, voire centaines de systèmes de ce type, cela pourrait plutôt bien se passer.
Ransomware
Au cours du travail de Honeypot, nous avons rencontré à deux reprises de vrais virus ransomware. Dans le premier cas, c'était Crysis. Ses opérateurs se sont connectés au système via VNC, mais ont ensuite installé TeamViewer et l'ont utilisé pour effectuer d'autres actions. Après avoir attendu un message d'extorsion exigeant une rançon de 10 6 $ en BTC, nous avons entré en correspondance avec les criminels, leur demandant de décrypter l'un des fichiers pour nous. Ils ont accédé à la demande et ont réitéré la demande de rançon. Nous avons réussi à négocier jusqu'à XNUMX XNUMX dollars, après quoi nous avons simplement téléchargé à nouveau le système sur une machine virtuelle, puisque nous avons reçu toutes les informations nécessaires.
Le deuxième ransomware s’est avéré être Phobos. Le pirate informatique qui l'a installé a passé une heure à parcourir le système de fichiers Honeypot et à analyser le réseau, puis a finalement installé le ransomware.
La troisième attaque de ransomware s’est avérée fausse. Un « hacker » inconnu a téléchargé le fichier haha.bat sur notre système, après quoi nous l'avons observé pendant un moment pendant qu'il essayait de le faire fonctionner. L'une des tentatives consistait à renommer haha.bat en haha.rnsmwr.
Le « hacker » augmente la nocivité du fichier bat en changeant son extension en .rnsmwr. Source : Trend Micro
Lorsque le fichier batch a finalement commencé à s’exécuter, le « pirate informatique » l’a modifié, augmentant ainsi la rançon de 200 $ à 750 $. Après cela, il a « crypté » tous les fichiers, a laissé un message d'extorsion sur le bureau et a disparu, changeant les mots de passe sur notre VNC.
Quelques jours plus tard, le pirate informatique est revenu et, pour se rappeler, a lancé un fichier batch qui a ouvert de nombreuses fenêtres avec un site pornographique. Apparemment, il a ainsi tenté d'attirer l'attention sur sa demande.
Les résultats de
Au cours de l'étude, il s'est avéré que dès la publication des informations sur la vulnérabilité, Honeypot a attiré l'attention, avec une activité croissante de jour en jour. Pour que le piège retienne l’attention, notre entreprise fictive a dû subir de multiples failles de sécurité. Malheureusement, cette situation est loin d'être rare parmi de nombreuses entreprises réelles qui ne disposent pas d'employés à temps plein en informatique et en sécurité de l'information.
En général, les organisations devraient utiliser le principe du moindre privilège, alors que nous avons mis en œuvre exactement le contraire pour attirer les attaquants. Et plus nous observions les attaques, plus elles devenaient sophistiquées par rapport aux méthodes standards de tests d’intrusion.
Et surtout, toutes ces attaques auraient échoué si des mesures de sécurité adéquates avaient été mises en œuvre lors de la mise en place du réseau. Les organisations doivent s’assurer que leurs équipements et composants d’infrastructure industrielle ne soient pas accessibles depuis Internet, comme nous l’avons fait spécifiquement dans notre piège.
Bien que nous n’ayons enregistré aucune attaque sur le poste de travail d’un ingénieur, malgré l’utilisation du même mot de passe administrateur local sur tous les ordinateurs, cette pratique doit être évitée afin de minimiser les risques d’intrusion. Après tout, une sécurité faible constitue une invitation supplémentaire à attaquer les systèmes industriels, qui intéressent depuis longtemps les cybercriminels.
Source: habr.com