Antivirusbedriuwen, saakkundigen foar ynformaasjefeiligens en gewoan entûsjasters sette honeypot-systemen op it ynternet om in nije fariant fan it firus te "fangen" of ûngewoane hackertaktyk te identifisearjen. Honeypots binne sa gewoan dat cyberkriminelen in soarte fan ymmuniteit hawwe ûntwikkele: se identifisearje fluch dat se foar in trap binne en negearje it gewoan. Om de taktyk fan moderne hackers te ferkennen, hawwe wy in realistyske huningpot makke dy't sân moannen op it ynternet libbe, en in ferskaat oan oanfallen oanlûkt. Wy prate oer hoe't dit barde yn ús stúdzje "" Guon feiten út 'e stúdzje binne yn dizze post.
Honeypot ûntwikkeling: checklist
De wichtichste taak by it meitsjen fan ús supertrap wie om te foarkommen dat wy wurde bleatsteld troch hackers dy't der belangstelling foar toande. Dit easke in protte wurk:
- Meitsje in realistyske leginde oer it bedriuw, ynklusyf folsleine nammen en foto's fan meiwurkers, telefoannûmers en e-post.
- Om te kommen mei en útfiere in model fan yndustriële ynfrastruktuer dat oerienkomt mei de leginde oer de aktiviteiten fan ús bedriuw.
- Beslute hokker netwurktsjinsten fan bûten tagonklik sille wêze, mar bliuw net mei it iepenjen fan kwetsbere havens, sadat it net liket op in trap foar suckers.
- Organisearje de sichtberens fan ynformaasjelekken oer in kwetsber systeem en fersprieden dizze ynformaasje ûnder potensjele oanfallers.
- Implementearje diskrete monitoaring fan hackeraktiviteiten yn 'e honeypot-ynfrastruktuer.
En no earst earst.
It meitsjen fan in leginde
Cyberkriminelen binne al wend om in protte honeypots tsjin te kommen, sadat it meast avansearre diel fan har in yngeand ûndersyk docht fan elk kwetsber systeem om te soargjen dat it gjin trap is. Om deselde reden hawwe wy besocht om te soargjen dat de huningpot net allinich realistysk wie yn termen fan ûntwerp en technyske aspekten, mar ek om it uterlik fan in echte bedriuw te meitsjen.
Troch ússels yn 'e skuon te setten fan in hypotetysk coole hacker, hawwe wy in ferifikaasjealgoritme ûntwikkele dat in echt systeem fan in trap ûnderskiede soe. It omfette sykjen nei bedriuws-IP-adressen yn reputaasjesystemen, reverse-ûndersyk nei de skiednis fan IP-adressen, sykjen nei nammen en kaaiwurden relatearre oan it bedriuw, lykas har tsjinpartijen, en in protte oare dingen. As gefolch, de leginde wie frij oertsjûgjend en oantreklik.
Wy besletten om it lokfabryk te posysjonearjen as in lytse yndustriële prototyping-boutique dy't wurket foar heul grutte anonime kliïnten yn it militêre en loftfeartsegment. Dit befrijde ús fan 'e juridyske komplikaasjes ferbûn mei it brûken fan in besteand merk.
Dêrnei moasten wy mei in fisy, missy en namme komme foar de organisaasje. Wy besletten dat ús bedriuw in startup soe wêze mei in lyts oantal meiwurkers, elk fan wa't in oprjochter is. Dit tafoege leauwensweardigens oan it ferhaal fan 'e spesjalisearre aard fan ús bedriuw, wêrtroch it gefoelige projekten foar grutte en wichtige kliïnten kin behannelje. Wy woene dat ús bedriuw swak ferskynde út in perspektyf fan cybersecurity, mar tagelyk wie it fanselssprekkend dat wy wurken mei wichtige aktiva oan doelsystemen.
Skermôfbylding fan 'e webside fan MeTech honeypot. Boarne: Trend Micro
Wy hawwe it wurd MeTech as bedriuwsnamme keazen. De side is makke op basis fan in fergese sjabloan. De ôfbyldings binne nommen út fotobanken, mei de meast ympopulêre en bewurke se om se minder werkenber te meitsjen.
Wy woene dat it bedriuw echt soe útsjen, dus wy moasten meiwurkers tafoegje mei profesjonele feardigens dy't oerienkomme mei it profyl fan 'e aktiviteit. Wy betochten nammen en persoanlikheden foar harren en besochten doe bylden út fotobanken te selektearjen neffens etnisiteit.
Skermôfbylding fan 'e webside fan MeTech honeypot. Boarne: Trend Micro
Om foar te kommen dat wy ûntdutsen wurde, sochten wy groepfoto's fan goede kwaliteit wêrfan wy de gesichten koene kieze dy't wy nedich wiene. Wy hawwe dizze opsje lykwols ferlitten, om't in potinsjele hacker omkearde ôfbyldingssykjen koe brûke en ûntdekke dat ús "meiwurkers" allinich yn fotobanken libje. Uteinlik brûkten wy foto's fan net-besteande minsken makke mei neurale netwurken.
Meiwurkersprofilen pleatst op 'e side befette wichtige ynformaasje oer har technyske feardichheden, mar wy mijden it identifisearjen fan spesifike skoallen of stêden.
Om brievebussen te meitsjen, brûkten wy de tsjinner fan in hostingprovider, en hierden dan ferskate telefoannûmers yn 'e Feriene Steaten en kombineare se yn in firtuele PBX mei in stimmenu en in antwurdapparaat.
Honeypot ynfrastruktuer
Om bleatstelling te foarkommen, besleaten wy in kombinaasje te brûken fan echte yndustriële hardware, fysike kompjûters en feilige firtuele masines. Foarút sjen sille wy sizze dat wy it resultaat fan ús ynspanningen kontrolearre hawwe mei de Shodan-sykmasine, en it liet sjen dat de huningpot liket op in echt yndustrieel systeem.
It resultaat fan it scannen fan in honeypot mei Shodan. Boarne: Trend Micro
Wy brûkten fjouwer PLC's as hardware foar ús trap:
- Siemens S7-1200,
- twa AllenBradley MicroLogix 1100,
- Omron CP1L.
Dizze PLC's waarden selektearre foar har populariteit yn 'e wrâldwide kontrôlesysteemmerk. En elk fan dizze controllers brûkt in eigen protokol, wêrtroch't wy kinne kontrolearje hokker fan 'e PLC's faker oanfallen wurde en oft se yn prinsipe elkenien ynteressearje.
Apparatuer fan ús "fabryk"-trap. Boarne: Trend Micro
Wy hawwe net allinich hardware ynstalleare en ferbûn mei it ynternet. Wy programmearre elke controller te fieren taken, ynklusyf
- mingen,
- burner en transportband kontrôle,
- palletizing mei help fan in robotic manipulator.
En om it produksjeproses realistysk te meitsjen, hawwe wy logika programmearre om feedbackparameters willekeurich te feroarjen, motors te simulearjen dy't begjinne en stopje, en brâners dy't yn- en útsette.
Us fabryk hie trije firtuele kompjûters en ien fysike. Firtuele kompjûters waarden brûkt om in plant te kontrolearjen, in palletizerrobot, en as wurkstasjon foar in PLC-software-yngenieur. De fysike kompjûter wurke as bestânstsjinner.
Neist it kontrolearjen fan oanfallen op PLC's, woene wy de status kontrolearje fan programma's laden op ús apparaten. Om dit te dwaan, hawwe wy in ynterface makke dy't ús koe fluch bepale hoe't de steaten fan ús firtuele actuators en ynstallaasjes waarden wizige. Al by de planning faze, wy ûntdutsen dat it is folle makliker om te fieren dit mei help fan in kontrôle programma as troch direkte programmearring fan de controller logika. Wy iepene tagong ta de apparaatbehearynterface fan ús honeypot fia VNC sûnder wachtwurd.
Yndustriële robots binne in wichtige komponint fan moderne smart manufacturing. Yn dit ferbân hawwe wy besletten in robot en in automatisearre wurkplak ta te foegjen om it te kontrolearjen oan 'e apparatuer fan ús trapfabryk. Om it "fabryk" realistysk te meitsjen, hawwe wy echte software ynstalleare op it kontrôlewurkstasjon, dy't yngenieurs brûke om de logika fan 'e robot grafysk te programmearjen. No, om't yndustriële robots meastentiids yn in isolearre ynterne netwurk lizze, hawwe wy besletten om unbeskerme tagong fia VNC allinich te litten nei it kontrôlewurkstasjon.
RobotStudio-omjouwing mei in 3D-model fan ús robot. Boarne: Trend Micro
Wy hawwe de RobotStudio-programmearringomjouwing fan ABB Robotics ynstalleare op in firtuele masine mei in robotkontrôlewurkstasjon. Nei it konfigurearjen fan RobotStudio, iepene wy in simulaasjebestân mei ús robot deryn, sadat syn 3D-ôfbylding sichtber wie op it skerm. As resultaat sille Shodan en oare sykmasjines, by it ûntdekken fan in ûnbefeilige VNC-tsjinner, dizze skermôfbylding pakke en it sjen litte oan dyjingen dy't sykje nei yndustriële robots mei iepen tagong ta kontrôle.
It punt fan dizze oandacht foar detail wie om in oantreklik en realistysk doel te meitsjen foar oanfallers dy't, as se it fûnen, der hieltyd wer nei weromkomme.
Yngenieur syn wurkplak
Om de PLC-logika te programmearjen, hawwe wy in yngenieurkomputer tafoege oan 'e ynfrastruktuer. Yndustriële software foar PLC-programmearring waard derop ynstalleare:
- TIA Portal foar Siemens,
- MicroLogix foar Allen-Bradley controller,
- CX-One foar Omron.
Wy besletten dat de yngenieurswurkromte net bûten it netwurk tagonklik wêze soe. Ynstee dêrfan sette wy itselde wachtwurd yn foar it behearderaccount as op it robotkontrôlewurkstasjon en it fabrykskontrôlewurkstasjon dat tagonklik is fan it ynternet. Dizze konfiguraasje is frij gewoan yn in protte bedriuwen.
Spitigernôch, nettsjinsteande al ús ynspanningen, berikte gjin inkele oanfaller it wurkstasjon fan 'e yngenieur.
Triemtsjinner
Wy hiene it nedich as aas foar oanfallers en as in middel om ús eigen "wurk" yn it lokfabryk te stypjen. Dit liet ús bestannen diele mei ús honeypot mei USB-apparaten sûnder in spoar efter te litten op it honeypot-netwurk. Wy hawwe Windows 7 Pro ynstalleare as it OS foar de bestânstsjinner, wêryn wy in dielde map makke hawwe dy't troch elkenien lêzen en skreaun wurde kin.
Earst makken wy gjin hiërargy fan mappen en dokuminten op 'e bestânstsjinner. Wy ûntdutsen lykwols letter dat oanfallers dizze map aktyf studearren, dus besleaten wy it te foljen mei ferskate bestannen. Om dit te dwaan, hawwe wy in python-skript skreaun dat in bestân makke fan willekeurige grutte mei ien fan 'e opjûne útwreidingen, en foarmje in namme basearre op it wurdboek.
Skript foar it generearjen fan oantreklike bestânsnammen. Boarne: Trend Micro
Nei it útfieren fan it skript krigen wy it winske resultaat yn 'e foarm fan in map fol mei bestannen mei heul ynteressante nammen.
It resultaat fan it skript. Boarne: Trend Micro
Monitoring omjouwing
Nei't wy safolle muoite hawwe bestege oan it meitsjen fan in realistysk bedriuw, koene wy gewoan net betelje om it miljeu te mislearjen foar it kontrolearjen fan ús "besikers". Wy moasten alle gegevens yn realtime krije sûnder de oanfallers te realisearjen dat se waarden besjoen.
Wy hawwe dit ymplementearre mei fjouwer USB nei Ethernet-adapters, fjouwer SharkTap Ethernet-kranen, in Raspberry Pi 3, en in grut eksterne skiif. Us netwurkdiagram seach der sa út:
Honeypot netwurk diagram mei monitoring apparatuer. Boarne: Trend Micro
Wy pleatste trije SharkTap-kranen om alle eksterne ferkear nei de PLC te kontrolearjen, allinich tagonklik fan it ynterne netwurk. De fjirde SharkTap kontrolearre it ferkear fan gasten fan in kwetsbere firtuele masine.
SharkTap Ethernet Tap en Sierra Wireless AirLink RV50 Router. Boarne: Trend Micro
Raspberry Pi útfierd deistige ferkear capture. Wy ferbûn mei it ynternet mei in Sierra Wireless AirLink RV50 sellulêre router, faak brûkt yn yndustriële bedriuwen.
Spitigernôch liet dizze router ús net selektyf blokkearje oanfallen dy't net oerienkomme mei ús plannen, dus hawwe wy in Cisco ASA 5505-brânmuorre tafoege oan it netwurk yn transparante modus om blokkearjen mei minimale ynfloed op it netwurk út te fieren.
Ferkear analyze
Tshark en tcpdump binne passend om aktuele problemen fluch op te lossen, mar yn ús gefal wiene har mooglikheden net genôch, om't wy in protte gigabytes fan ferkear hienen, dy't troch ferskate minsken analysearre waarden. Wy brûkten de iepen boarne Moloch-analyzer ûntwikkele troch AOL. It is yn funksjonaliteit te fergelykjen mei Wireshark, mar hat mear mooglikheden foar gearwurking, beskriuwen en tagging fan pakketten, eksportearjen en oare taken.
Om't wy de sammele gegevens op honeypot-kompjûters net wolle ferwurkje, waarden PCAP-dumps alle dagen eksportearre nei AWS-opslach, wêrfan wy se al ymporteare op 'e Moloch-masine.
Skermopname
Om de aksjes fan hackers yn ús honeypot te dokumintearjen, hawwe wy in skript skreaun dat skermôfbyldings fan 'e firtuele masine naam op in bepaald ynterval en, yn fergeliking mei it foarige skermôfbylding, bepale oft der wat barde of net. Doe't aktiviteit waard ûntdutsen, omfette it skript skermopname. Dizze oanpak die bliken de meast effektyf te wêzen. Wy hawwe ek besocht VNC-ferkear te analysearjen fan in PCAP-dump om te begripen hokker feroaringen yn it systeem bard binne, mar op it lêst die de skermopname dy't wy ymplementearre hawwe ienfâldiger en fisueeler.
Monitoring VNC sesjes
Hjirfoar hawwe wy Chaosreader en VNCLogger brûkt. Beide nutsbedriuwen ekstrahearje toetsoanslagen út in PCAP-dump, mar VNCLogger behannelet toetsen lykas Backspace, Enter, Ctrl korrekter.
VNCLogger hat twa neidielen. Earst: it kin allinich kaaien útpakke troch "harkje" nei ferkear op 'e ynterface, dus wy moasten in VNC-sesje foar it simulearje mei tcpreplay. It twadde neidiel fan VNCLogger is mienskiplik mei Chaosreader: se litte beide de ynhâld fan it klamboerd net sjen. Om dit te dwaan moast ik Wireshark brûke.
Wy lokje hackers
Wy makke honeypot om oanfallen te wurden. Om dit te berikken hawwe wy in ynformaasjelek opfierd om de oandacht fan potensjele oanfallers te lûken. De folgjende havens waarden iepene op honeypot:
De RDP-poarte moast koart nei't wy live gienen wurde sluten, om't de massale hoemannichte skennenferkear op ús netwurk prestaasjesproblemen feroarsake.
De VNC-terminals wurken earst yn view-allinne modus sûnder wachtwurd, en doe hawwe wy "troch fersin" skeakele se nei folsleine tagong modus.
Om oanfallers oan te lûken, pleatsten wy twa berjochten mei lekke ynformaasje oer it beskikbere yndustriële systeem op PasteBin.
Ien fan 'e berjochten pleatst op PasteBin om oanfallen oan te lûken. Boarne: Trend Micro
oanfallen
Honeypot libbe sawat sân moanne online. De earste oanfal barde in moanne neidat honeypot online gie.
Scanners
D'r wie in soad ferkear fan scanners fan bekende bedriuwen - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye en oaren. D'r wiene safolle dat wy har IP-adressen út 'e analyze moasten útslute: 610 fan 9452 of 6,45% fan alle unike IP-adressen hearden ta folslein legitime scanners.
Scammers
Ien fan 'e grutste risiko's dy't wy hawwe tsjinkaam is it gebrûk fan ús systeem foar kriminele doelen: smartphones te keapjen fia in abonneekonto, útwikselje loftlinemilen mei kadokaarten en oare soarten fraude.
Miners
Ien fan 'e earste besikers fan ús systeem die bliken in mynwurker te wêzen. Hy downloadde Monero mynbousoftware derop. Hy soe net in protte jild meitsje kinnen op ús bepaalde systeem fanwegen lege produktiviteit. As wy lykwols de ynspanningen fan ferskate tsientallen of sels hûnderten fan sokke systemen kombinearje, kin it frij goed útpakke.
Ransomware
Tidens it wurk fan honeypot tsjinkamen wy twa kear echte ransomware-firussen. Yn it earste gefal wie it Crysis. De operators hawwe har ynlogd yn it systeem fia VNC, mar ynstalleare dan TeamViewer en brûkten it om fierdere aksjes út te fieren. Nei it wachtsjen op in ôfpersingsberjocht dat in losjild fan $ 10 yn BTC easket, gienen wy yn korrespondinsje mei de kriminelen, en fregen se om ien fan 'e bestannen foar ús te ûntsiferjen. Se foldienen oan it fersyk en herhelle de eask fan losjild. Wy slaggen om te ûnderhanneljen oant 6 tûzen dollar, wêrnei't wy it systeem gewoan opnij uploaden nei in firtuele masine, om't wy alle nedige ynformaasje krigen.
De twadde ransomware die bliken Phobos te wêzen. De hacker dy't it ynstalleare, brocht in oere troch it blêdzjen fan it honeypot-bestânsysteem en it scannen fan it netwurk, en ynstalleare dan úteinlik de ransomware.
De tredde ransomware-oanfal die bliken nep te wêzen. In ûnbekende "hacker" hat it haha.bat-bestân op ús systeem ynladen, wêrnei't wy efkes seagen hoe't er besocht it oan it wurk te krijen. Ien fan de besykjen wie om haha.bat om te neamen nei haha.rnsmwr.
De "hacker" fergruttet de skealikens fan 'e battriem troch syn tafoeging te feroarjen nei .rnsmwr. Boarne: Trend Micro
Doe't it batchbestân einlings begon te rinnen, bewurke de "hacker" it, wêrtroch it losjild ferhege fan $200 nei $750. Dêrnei "fersifere" hy alle bestannen, liet in ôfpersingsberjocht op it buroblêd en ferdwûn, en feroare de wachtwurden op ús VNC.
In pear dagen letter kaam de hacker werom en, om himsels te herinnerjen, lansearre in batchbestân dat in protte finsters iepene mei in pornoside. Blykber besocht er op dizze manier omtinken te freegjen foar syn eask.
Resultaten
Tidens it ûndersyk die bliken dat sa gau as ynformaasje oer de kwetsberens publisearre waard, honeypot de oandacht luts, mei de aktiviteit dy't elke dei groeide. Om de trap omtinken te krijen, moast ús fiktive bedriuw meardere befeiligingsbrekken hawwe. Spitigernôch is dizze situaasje fier fan ûngewoan ûnder in protte echte bedriuwen dy't gjin fulltime IT- en ynformaasjefeiligens meiwurkers hawwe.
Yn 't algemien moatte organisaasjes it prinsipe fan minste privileezje brûke, wylst wy it krekte tsjinoerstelde dêrfan ymplementearre om oanfallers oan te lûken. En hoe langer wy de oanfallen seagen, hoe ferfine se waarden fergelike mei standert penetraasjetestmetoaden.
En it wichtichste, al dizze oanfallen soene mislearre wêze as adekwate feiligensmaatregels waarden útfierd by it ynstellen fan it netwurk. Organisaasjes moatte soargje dat har apparatuer en yndustriële ynfrastruktuerkomponinten net tagonklik binne fan it ynternet, lykas wy spesifyk dien hawwe yn ús trap.
Hoewol wy gjin inkele oanfal op it wurkstasjon fan in yngenieur hawwe opnommen, nettsjinsteande it brûken fan itselde lokale behearderwachtwurd op alle kompjûters, moat dizze praktyk foarkommen wurde om de mooglikheid fan ynbraken te minimalisearjen. Nei alle gedachten tsjinnet swakke feiligens as in ekstra útnoeging om yndustriële systemen oan te fallen, dy't al lang fan belang west hawwe foar cyberkriminelen.
Boarne: www.habr.com