As compañías de antivirus, os expertos en seguridade da información e simplemente os entusiastas colocan sistemas honeypot en Internet para "captar" unha nova variante do virus ou identificar tácticas de hackers pouco habituais. Os honeypots son tan comúns que os ciberdelincuentes desenvolveron unha especie de inmunidade: identifican rapidamente que están diante dunha trampa e simplemente a ignoran. Para explorar as tácticas dos hackers modernos, creamos un honeypot realista que viviu en Internet durante sete meses, atraendo unha variedade de ataques. Falamos de como ocorreu isto no noso estudo "" Algúns datos do estudo están nesta publicación.
Desenvolvemento de Honeypot: lista de verificación
A principal tarefa na creación da nosa supertrampa foi evitar que nos expuxeran hackers que mostrasen interese nela. Isto requiriu moito traballo:
- Crea unha lenda realista sobre a empresa, incluíndo nomes completos e fotos dos empregados, números de teléfono e correos electrónicos.
- Elaborar e implantar un modelo de infraestrutura industrial que se corresponda coa lenda sobre as actividades da nosa empresa.
- Decide cales son os servizos de rede accesibles desde fóra, pero non te deixes levar abrindo portos vulnerables para que non pareza unha trampa para os ventosos.
- Organice a visibilidade das fugas de información sobre un sistema vulnerable e distribúa esta información entre potenciais atacantes.
- Implementar un seguimento discreto das actividades dos hackers na infraestrutura de honeypot.
E agora sobre todo en orde.
Creando unha lenda
Os ciberdelincuentes xa están afeitos a atoparse con moitos honeypots, polo que a parte máis avanzada deles realiza unha investigación en profundidade de cada sistema vulnerable para asegurarse de que non se trata dunha trampa. Polo mesmo motivo, buscamos que o honeypot non só fose realista en termos de deseño e aspectos técnicos, senón tamén para crear a aparencia dunha empresa real.
Poñendonos na pel dun hipotético hacker xenial, desenvolvemos un algoritmo de verificación que distinguiría un sistema real dunha trampa. Incluía a busca de enderezos IP da empresa en sistemas de reputación, a investigación inversa do historial de enderezos IP, a busca de nomes e palabras clave relacionadas coa empresa, así como as súas contrapartes e moitas outras cousas. Como resultado, a lenda resultou ser bastante convincente e atractiva.
Decidimos posicionar a fábrica de señuelos como unha pequena boutique de prototipado industrial que traballa para clientes anónimos moi grandes do segmento militar e da aviación. Isto liberounos das complicacións legais asociadas ao uso dunha marca existente.
A continuación tivemos que elaborar unha visión, unha misión e un nome para a organización. Decidimos que a nosa empresa sería unha startup cun pequeno número de empregados, cada un dos cales é un fundador. Isto engade credibilidade á historia da natureza especializada do noso negocio, o que lle permite xestionar proxectos sensibles para grandes e importantes clientes. Queriamos que a nosa empresa aparecese débil desde a perspectiva da ciberseguridade, pero ao mesmo tempo era obvio que estabamos traballando con activos importantes nos sistemas obxectivo.
Captura de pantalla do sitio web de MeTech Honeypot. Fonte: Trend Micro
Escollemos a palabra MeTech como nome da empresa. O sitio foi feito a partir dun modelo gratuíto. As imaxes foron tomadas de bancos de fotos, utilizando as máis impopulares e modificándoas para facelas menos recoñecibles.
Queriamos que a empresa parecese real, polo que necesitabamos engadir empregados con competencias profesionais que coincidan co perfil da actividade. Fixemos nomes e personalidades para eles e despois tentamos seleccionar imaxes dos bancos de fotos segundo a etnia.
Captura de pantalla do sitio web de MeTech Honeypot. Fonte: Trend Micro
Para non ser descubertos, buscamos fotos de grupo de boa calidade entre as que poder escoller as caras que necesitabamos. Non obstante, entón abandonamos esta opción, xa que un hacker potencial podería usar a busca inversa de imaxes e descubrir que os nosos "empregados" viven só en bancos de fotos. Ao final, utilizamos fotografías de persoas inexistentes creadas mediante redes neuronais.
Os perfís dos empregados publicados no sitio contiñan información importante sobre as súas habilidades técnicas, pero evitamos identificar escolas ou cidades específicas.
Para crear caixas de correo, utilizamos o servidor dun provedor de hospedaxe, e despois alugamos varios números de teléfono nos Estados Unidos e combinámolos nunha central virtual cun menú de voz e un contestador automático.
Infraestrutura Honeypot
Para evitar a exposición, decidimos utilizar unha combinación de hardware industrial real, ordenadores físicos e máquinas virtuais seguras. De cara ao futuro, diremos que comprobamos o resultado dos nosos esforzos mediante o buscador Shodan e demostrou que o honeypot parece un sistema industrial real.
O resultado de escanear un honeypot usando Shodan. Fonte: Trend Micro
Usamos catro PLC como hardware para a nosa trampa:
- Siemens S7-1200,
- dos AllenBradley MicroLogix 1100,
- Omron CP1L.
Estes PLC foron seleccionados pola súa popularidade no mercado global de sistemas de control. E cada un destes controladores utiliza o seu propio protocolo, o que nos permitía comprobar cal dos PLC serían atacados con máis frecuencia e se interesarían en principio a alguén.
Equipos da nosa “fábrica”-trampa. Fonte: Trend Micro
Non só instalamos hardware e conectámolo a Internet. Programamos cada controlador para realizar tarefas, incluíndo
- mesturando,
- control de queimadores e cinta transportadora,
- paletización mediante un manipulador robótico.
E para que o proceso de produción sexa realista, programamos a lóxica para cambiar aleatoriamente os parámetros de retroalimentación, simular o arranque e parada de motores e o aceso e apagamento dos queimadores.
A nosa fábrica tiña tres ordenadores virtuais e un físico. Utilizáronse ordenadores virtuais para controlar unha planta, un robot paletizador e como estación de traballo para un enxeñeiro de software PLC. O ordenador físico funcionaba como servidor de ficheiros.
Ademais de supervisar os ataques aos PLC, queriamos supervisar o estado dos programas cargados nos nosos dispositivos. Para iso, creamos unha interface que nos permitiu determinar rapidamente como se modificaron os estados dos nosos actuadores e instalacións virtuais. Xa na fase de planificación, descubrimos que é moito máis fácil implementar isto mediante un programa de control que mediante a programación directa da lóxica do controlador. Abrimos o acceso á interface de xestión de dispositivos do noso honeypot a través de VNC sen contrasinal.
Os robots industriais son un compoñente clave da fabricación intelixente moderna. Neste sentido, decidimos engadir un robot e un posto de traballo automatizado para controlalo aos equipos da nosa fábrica de trampas. Para facer a "fábrica" máis realista, instalamos un software real na estación de traballo de control, que os enxeñeiros usan para programar graficamente a lóxica do robot. Pois ben, xa que os robots industriais adoitan estar situados nunha rede interna illada, decidimos deixar o acceso sen protección vía VNC só á estación de traballo de control.
Entorno RobotStudio cun modelo 3D do noso robot. Fonte: Trend Micro
Instalamos o entorno de programación RobotStudio de ABB Robotics nunha máquina virtual cunha estación de traballo de control do robot. Unha vez configurado RobotStudio, abrimos un ficheiro de simulación co noso robot nel para que a súa imaxe 3D fose visible na pantalla. Como resultado, Shodan e outros motores de busca, ao detectar un servidor VNC non seguro, collerán esta imaxe de pantalla e mostraránlla aos que busquen robots industriais con acceso aberto para controlar.
O obxectivo desta atención aos detalles era crear un obxectivo atractivo e realista para os atacantes que, unha vez que o atopasen, volverían a el unha e outra vez.
Posto de traballo de enxeñeiro
Para programar a lóxica do PLC, engadimos un ordenador de enxeñería á infraestrutura. Instalouse nel software industrial para a programación de PLC:
- TIA Portal para Siemens,
- MicroLogix para controlador Allen-Bradley,
- CX-One para Omron.
Decidimos que o espazo de traballo de enxeñaría non sería accesible fóra da rede. Pola contra, establecemos o mesmo contrasinal para a conta de administrador que na estación de traballo de control do robot e na estación de traballo de control de fábrica accesible desde Internet. Esta configuración é bastante común en moitas empresas.
Desafortunadamente, a pesar de todos os nosos esforzos, nin un só atacante chegou á estación de traballo do enxeñeiro.
Servidor de ficheiros
Necesitámolo como cebo para os atacantes e como medio para facer unha copia de seguridade do noso propio "traballo" na fábrica de señuelos. Isto permitiunos compartir ficheiros co noso honeypot usando dispositivos USB sen deixar rastro na rede honeypot. Instalamos Windows 7 Pro como SO para o servidor de ficheiros, no que creamos un cartafol compartido que pode ler e escribir calquera.
Nun principio non creamos ningunha xerarquía de cartafoles e documentos no servidor de ficheiros. Non obstante, máis tarde descubrimos que os atacantes estaban estudando activamente este cartafol, polo que decidimos enchelo con varios ficheiros. Para iso, escribimos un script Python que creaba un ficheiro de tamaño aleatorio cunha das extensións dadas, formando un nome baseado no dicionario.
Script para xerar nomes de ficheiros atractivos. Fonte: Trend Micro
Despois de executar o script, obtivemos o resultado desexado en forma de cartafol cheo de ficheiros con nomes moi interesantes.
O resultado do guión. Fonte: Trend Micro
Ambiente de vixilancia
Despois de dedicar tantos esforzos a crear unha empresa realista, simplemente non podíamos permitirnos o luxo de fallar no medio ambiente para supervisar os nosos "visitantes". Necesitabamos obter todos os datos en tempo real sen que os atacantes se deran conta de que estaban a ser observados.
Implementámolo usando catro adaptadores USB a Ethernet, catro tomas SharkTap Ethernet, un Raspberry Pi 3 e unha unidade externa grande. O noso diagrama de rede tiña este aspecto:
Diagrama de rede Honeypot con equipos de monitorización. Fonte: Trend Micro
Colocamos tres billas SharkTap para supervisar todo o tráfico externo ao PLC, accesible só desde a rede interna. O cuarto SharkTap supervisaba o tráfico de hóspedes dunha máquina virtual vulnerable.
SharkTap Ethernet Tap e enrutador Sierra Wireless AirLink RV50. Fonte: Trend Micro
Raspberry Pi realizou a captura de tráfico diaria. Conectámonos a Internet mediante un enrutador móbil Sierra Wireless AirLink RV50, usado a miúdo en empresas industriais.
Desafortunadamente, este enrutador non nos permitía bloquear de forma selectiva ataques que non coincidían cos nosos plans, polo que engadimos un cortalumes Cisco ASA 5505 á rede en modo transparente para realizar o bloqueo cun impacto mínimo na rede.
Análise de tráfico
Tshark e tcpdump son apropiados para resolver rapidamente os problemas actuais, pero no noso caso as súas capacidades non foron suficientes, xa que tiñamos moitos gigabytes de tráfico, que foron analizados por varias persoas. Usamos o analizador Moloch de código aberto desenvolvido por AOL. É comparable en funcións a Wireshark, pero ten máis capacidades para colaborar, describir e etiquetar paquetes, exportar e outras tarefas.
Dado que non queriamos procesar os datos recollidos en ordenadores honeypot, os vertedoiros de PCAP exportáronse todos os días ao almacenamento de AWS, desde onde xa os importamos á máquina Moloch.
Gravación de pantalla
Para documentar as accións dos piratas informáticos no noso honeypot, escribimos un script que tomaba capturas de pantalla da máquina virtual nun intervalo determinado e, comparándoo coa captura de pantalla anterior, determinamos se algo estaba a suceder alí ou non. Cando se detectou actividade, o script incluía a gravación da pantalla. Este enfoque resultou ser o máis eficaz. Tamén tentamos analizar o tráfico VNC dun vertedoiro de PCAP para comprender que cambios se produciran no sistema, pero ao final a gravación da pantalla que implementamos resultou máis sinxela e visual.
Seguimento das sesións VNC
Para iso usamos Chaosreader e VNCLogger. Ambas as dúas utilidades extraen as pulsacións de teclas dun volcado de PCAP, pero VNCLogger manexa teclas como Retroceso, Intro, Ctrl de forma máis correcta.
VNCLogger ten dúas desvantaxes. Primeiro: só pode extraer claves "escoitando" o tráfico na interface, polo que tivemos que simular unha sesión VNC para iso mediante tcpreplay. A segunda desvantaxe de VNCLogger é común con Chaosreader: ambos non mostran o contido do portapapeis. Para iso tiven que usar Wireshark.
Atraemos aos hackers
Creamos honeypot para ser atacado. Para conseguilo, organizamos unha filtración de información para atraer a atención dos potenciais atacantes. Os seguintes portos abríronse no honeypot:
O porto RDP tivo que pecharse pouco despois de poñerse en funcionamento porque a gran cantidade de tráfico de exploración da nosa rede estaba a causar problemas de rendemento.
Os terminais VNC funcionaron primeiro en modo de só visualización sen contrasinal, e despois "por erro" cambiamos ao modo de acceso completo.
Para atraer atacantes, publicamos dúas publicacións con información filtrada sobre o sistema industrial dispoñible en PasteBin.
Unha das publicacións publicadas en PasteBin para atraer ataques. Fonte: Trend Micro
ataques
Honeypot viviu en liña durante uns sete meses. O primeiro ataque ocorreu un mes despois de que Honeypot se conectase.
Escáneres
Houbo moito tráfico de escáneres de empresas coñecidas: ip-ip, Rapid, Shadow Server, Shodan, ZoomEye e outros. Foron tantos que tivemos que excluír os seus enderezos IP da análise: 610 de 9452 ou 6,45% de todos os enderezos IP únicos pertencían a escáneres completamente lexítimos.
Scammers
Un dos maiores riscos aos que nos enfrontamos é o uso do noso sistema con fins criminais: comprar teléfonos intelixentes a través da conta dun abonado, retirar millas aéreas mediante tarxetas de agasallo e outros tipos de fraude.
Mineiros
Un dos primeiros visitantes do noso sistema resultou ser un mineiro. Descargou nel o software de minería Monero. Non tería sido capaz de gañar moito diñeiro co noso sistema particular debido á baixa produtividade. Non obstante, se combinamos os esforzos de varias ducias ou mesmo centos de tales sistemas, podería resultar bastante ben.
Ransomware
Durante o traballo de honeypot, atopamos virus de ransomware reais dúas veces. No primeiro caso foi Crysis. Os seus operadores iniciaron sesión no sistema a través de VNC, pero despois instalaron TeamViewer e utilizárono para realizar máis accións. Despois de esperar unha mensaxe de extorsión que esixía un rescate de 10 dólares en BTC, entramos en correspondencia cos criminais, pedíndolles que descifrasen un dos ficheiros por nós. Cumpriron coa solicitude e repetiron a demanda de rescate. Conseguimos negociar ata 6 mil dólares, despois de que simplemente volvemos cargar o sistema a unha máquina virtual, xa que recibimos toda a información necesaria.
O segundo ransomware resultou ser Phobos. O hacker que o instalou pasou unha hora explorando o sistema de ficheiros honeypot e analizando a rede, e finalmente instalou o ransomware.
O terceiro ataque de ransomware resultou ser falso. Un "hacker" descoñecido descargou o ficheiro haha.bat no noso sistema, despois de que observamos durante un tempo mentres intentaba facelo funcionar. Un dos intentos foi cambiar o nome de haha.bat a haha.rnsmwr.
O "hacker" aumenta a nocividade do ficheiro bat cambiando a súa extensión a .rnsmwr. Fonte: Trend Micro
Cando o ficheiro por lotes finalmente comezou a executarse, o "hacker" editouno, aumentando o rescate de $ 200 a $ 750. Despois diso, "cifrou" todos os ficheiros, deixou unha mensaxe extorsionista no escritorio e desapareceu, cambiando os contrasinais do noso VNC.
Un par de días despois, o hacker regresou e, para lembralo, lanzou un ficheiro por lotes que abría moitas fiestras cun sitio porno. Ao parecer, deste xeito tentou chamar a atención sobre a súa demanda.
Resultados de
Durante o estudo, resultou que tan pronto como se publicou a información sobre a vulnerabilidade, honeypot chamou a atención, coa actividade crecendo día a día. Para que a trampa chamase a atención, a nosa empresa ficticia tivo que sufrir múltiples violacións de seguridade. Desafortunadamente, esta situación está lonxe de ser pouco común entre moitas empresas reais que non teñen empregados de TI e seguridade da información a tempo completo.
En xeral, as organizacións deberían utilizar o principio de privilexios mínimos, mentres que nós implementamos exactamente o contrario para atraer atacantes. E canto máis tempo observabamos os ataques, máis sofisticados se facían en comparación cos métodos estándar de proba de penetración.
E o máis importante, todos estes ataques fallarían se se implementaran as medidas de seguridade adecuadas ao configurar a rede. As organizacións deben asegurarse de que os seus equipos e compoñentes da infraestrutura industrial non sexan accesibles desde Internet, como fixemos especificamente na nosa trampa.
Aínda que non rexistramos nin un só ataque á estación de traballo dun enxeñeiro, a pesar de utilizar o mesmo contrasinal de administrador local en todos os ordenadores, esta práctica debe evitarse para minimizar a posibilidade de intrusións. Despois de todo, a feble seguridade serve como unha invitación adicional para atacar os sistemas industriais, que durante moito tempo interesan aos ciberdelincuentes.
Fonte: www.habr.com