Antivirusne tvrtke, stručnjaci za informacijsku sigurnost i samo entuzijasti otkrivaju honeypot sustave na internetu kako bi "uhvatili živi mamac" nove vrste virusa ili otkrili neobične hakerske taktike. Honeypotovi su toliko česti da su kibernetički kriminalci razvili neku vrstu imuniteta: brzo prepoznaju da je pred njima zamka i jednostavno je ignoriraju. Kako bismo istražili taktiku modernih hakera, stvorili smo realističan honeypot koji je živio na internetu sedam mjeseci, privlačeći razne napade. Kako je bilo, ispričali smo u našoj studiji "". Neke činjenice iz studije nalaze se u ovom postu.
Honeypot razvoj: popis za provjeru
Glavni zadatak pri stvaranju naše superzamke bio je ne dopustiti da nas razotkriju hakeri koji su pokazali interes za nju. Za ovo je bilo potrebno puno posla:
- Napravite realističnu legendu o tvrtki, uključujući puno ime i prezime i fotografiju zaposlenika, telefonske brojeve i e-mailove.
- Izmislite i implementirajte model industrijske infrastrukture koji odgovara legendi o aktivnostima naše tvrtke.
- Odlučite koje će mrežne usluge biti dostupne izvana, ali nemojte se zanositi otvaranjem ranjivih portova kako to ne bi izgledalo kao zamka za simpse.
- Organizirajte pojavu curenja informacija o ranjivom sustavu i proširite te informacije među potencijalnim napadačima.
- Provedite diskretno praćenje radnji hakera u infrastrukturi zamke.
A sada o svemu po redu.
Stvorite legendu
Cyberkriminalci su već navikli vidjeti puno honeypots, tako da njihov najnapredniji dio provodi dubinsku studiju svakog ranjivog sustava kako bi bili sigurni da to nije zamka. Iz istog razloga željeli smo honeypot učiniti ne samo realističnim u smislu dizajna i tehničkih aspekata, već i stvoriti izgled prave tvrtke.
Stavljajući se na mjesto hipotetskog coolhackera, razvili smo algoritam provjere koji bi nam omogućio razlikovanje stvarnog sustava od zamke. To je uključivalo traženje IP adresa tvrtke u sustavima reputacije, obrnuto istraživanje povijesti IP adresa, traženje imena i ključnih riječi povezanih s tvrtkom, kao i njezinim ugovornim stranama, i mnoge druge stvari. Kao rezultat toga, legenda se pokazala prilično uvjerljivom i privlačnom.
Trap tvornicu smo odlučili pozicionirati kao mali industrijski butik za izradu prototipova, koji radi za vrlo velike anonimne klijente iz vojnog i zrakoplovnog segmenta. To nas je spasilo od pravnih poteškoća povezanih s korištenjem postojeće marke.
Zatim smo morali osmisliti viziju, misiju i naziv organizacije. Odlučili smo da naša tvrtka bude startup s malim brojem zaposlenika od kojih je svaki osnivač. To je dodalo kredibilitet legendi o specijalizaciji našeg poslovanja, što mu omogućuje rad s osjetljivim projektima za velike i važne kupce. Željeli smo učiniti da naša tvrtka izgleda slabo u smislu kibernetičke sigurnosti, ali u isto vrijeme bilo je jasno da radimo s važnom imovinom u ciljnim sustavima.
Snimka zaslona web stranice MeTech honeypot. Izvor: Trend Micro
Za naziv tvrtke odabrali smo riječ MeTech. Stranica je napravljena na temelju besplatnog predloška. Slike su preuzete iz fotobanki, korištene su najnepopularnije i modificirane kako bi bile manje prepoznatljive.
Htjeli smo da tvrtka izgleda stvarno, pa smo morali dodati zaposlenike sa stručnim vještinama koje odgovaraju profilu djelatnosti. Smislili smo im imena i identitete, a zatim pokušali odabrati slike iz fotobanki prema etničkoj pripadnosti.
Snimka zaslona web stranice MeTech honeypot. Izvor: Trend Micro
Kako nas ne bi otkrili, tražili smo kvalitetne grupne fotografije među kojima smo mogli odabrati lica koja su nam potrebna. Međutim, kasnije smo odustali od ove opcije, budući da bi potencijalni haker mogao obrnutom pretragom slika otkriti da naši “zaposlenici” žive samo u bankama fotografija. Na kraju smo koristili fotografije nepostojećih ljudi stvorene pomoću neuronskih mreža.
Profili zaposlenika objavljeni na stranici sadržavali su važne podatke o njihovim tehničkim vještinama, ali smo izbjegli navođenje konkretnih obrazovnih institucija i gradova.
Za izradu poštanskih sandučića koristili smo poslužitelj hosting providera, a zatim smo unajmili nekoliko telefonskih brojeva u Sjedinjenim Državama i spojili ih u virtualnu PBX s glasovnim izbornikom i telefonskom sekretaricom.
Honeypot infrastruktura
Kako bismo izbjegli izloženost, odlučili smo upotrijebiti kombinaciju stvarnog industrijskog hardvera, fizičkih računala i sigurnih virtualnih strojeva. Gledajući unaprijed, provjerili smo rezultat naših napora pomoću tražilice Shodan i pokazalo se da honeypot izgleda kao pravi industrijski sustav.
Rezultat skeniranja honeypota sa Shodanom. Izvor: Trend Micro
Koristili smo četiri PLC-a kao hardver za našu zamku:
- Siemens S7-1200,
- dva Allen-Bradley MicroLogix 1100,
- Omron CP1L.
Ovi su PLC-ovi odabrani zbog svoje popularnosti na globalnom tržištu upravljačkih sustava. I svaki od tih kontrolera koristi svoj protokol, što nam je omogućilo da provjerimo koji će od PLC-ova biti češće napadani i hoće li nekome u principu biti zanimljivi.
Oprema naše "tvornice" je zamka. Izvor: Trend Micro
Nismo samo instalirali komade željeza i spojili ih na Internet. Programirali smo svaki kontroler za obavljanje zadataka, među kojima su bili
- miješanje,
- upravljanje plamenikom i pokretnom trakom,
- paletiziranje pomoću robotske ruke.
A kako bismo proizvodni proces učinili realističnim, programirali smo logiku da nasumično mijenja parametre povratne sprege, simulira pokretanje i zaustavljanje motora, paljenje i gašenje plamenika.
Naša tvornica imala je tri virtualna računala i jedno fizičko. Virtualni strojevi korišteni su za upravljanje postrojenjem, robotom paletizatorom i kao radna stanica PLC softverskog inženjera. Fizičko računalo radilo je kao poslužitelj datoteka.
Osim praćenja napada na PLC-ove, željeli smo pratiti status programa preuzetih na naše uređaje. Da bismo to učinili, izradili smo sučelje koje nam je omogućilo da brzo odredimo kako su modificirana stanja naših virtualnih aktuatora i instalacija. Već u fazi planiranja ustanovili smo da je to mnogo lakše implementirati pomoću upravljačkog programa nego izravnim programiranjem logike regulatora. Otvorili smo pristup sučelju za upravljanje uređajem našeg honeypota putem VNC-a bez lozinke.
Industrijski roboti ključna su komponenta moderne pametne proizvodnje. U tom smislu, odlučili smo opremi naše tvornice zamki dodati robota i radnu stanicu za njegovo upravljanje. Kako bi „tvornica“ bila realističnija, na kontrolnu radnu stanicu instalirali smo pravi softver koji inženjeri koriste za grafičko programiranje logike robota. Pa, budući da se industrijski roboti obično nalaze u izoliranoj unutarnjoj mreži, odlučili smo ostaviti nezaštićen pristup putem VNC-a samo kontrolnoj radnoj stanici.
RobotStudio okruženje s 3D modelom našeg robota. Izvor: Trend Micro
Na virtualni stroj s radnom stanicom za upravljanje robotom instalirali smo programsko okruženje RobotStudio tvrtke ABB Robotics. Nakon što smo postavili RobotStudio, otvorili smo datoteku simulacije s našim robotom u njoj tako da se njegova 3D slika može vidjeti na ekranu. Kao rezultat toga, Shodan i druge tražilice, kada pronađu nesiguran VNC poslužitelj, dobit će ovu sliku zaslona i pokazati je onima koji traže industrijske robote s otvorenim pristupom kontroli.
Svrha te pažnje prema detaljima bila je stvoriti što atraktivniju i što realističniju metu za napadače koji bi joj se, nakon što je pronađu, uvijek iznova vraćali.
Radna stanica inženjera
Za programiranje PLC logike, dodali smo inženjersko računalo u infrastrukturu. Na njemu je instaliran industrijski softver za PLC programiranje:
- TIA portal za Siemens,
- MicroLogix za Allen-Bradley kontroler,
- CX-One za Omron.
Odlučili smo da radno mjesto inženjera neće biti dostupno izvan mreže. Umjesto toga, postavili smo istu lozinku za administratorski račun na njemu kao i na internetskoj upravljačkoj radnoj stanici robota i tvorničkoj upravljačkoj radnoj stanici. Ova konfiguracija prilično je uobičajena u mnogim tvrtkama.
Nažalost, unatoč svim našim naporima, niti jedan napadač nije došao do inženjerove radne stanice.
Poslužitelj datoteka
Trebao nam je kao mamac za uljeze i kao potpora našim vlastitim "djelima" u tvornici zamki. To nam je omogućilo dijeljenje datoteka s našim honeypotom pomoću USB uređaja bez ostavljanja traga na trap mreži. Kao OS za poslužitelj datoteka instalirali smo Windows 7 Pro, u kojem smo zajednički mapu učinili dostupnom za čitanje i pisanje svima.
U početku nismo stvorili nikakvu hijerarhiju mapa i dokumenata na poslužitelju datoteka. Međutim, kasnije se pokazalo da su napadači aktivno proučavali ovu mapu, pa smo je odlučili popuniti raznim datotekama. Da bismo to učinili, napisali smo python skriptu koja je stvorila datoteku nasumične veličine s jednom od zadanih ekstenzija, formirajući naziv na temelju rječnika.
Skripta za generiranje atraktivnih naziva datoteka. Izvor: Trend Micro
Nakon pokretanja skripte dobili smo željeni rezultat u obliku mape ispunjene datotekama vrlo zanimljivih naziva.
Rezultat skripte. Izvor: Trend Micro
Praćenje okoline
Nakon što smo uložili toliko truda u stvaranje realistične tvrtke, jednostavno si nismo mogli priuštiti zeznuti okruženje za praćenje naših "posjetitelja". Trebali smo dobiti sve podatke u stvarnom vremenu na način da napadači ne bi primijetili da ih se promatra.
Učinili smo to pomoću četiri USB adaptera za Ethernet, četiri SharkTap Ethernet priključka, Raspberry Pi 3 i velikog vanjskog pogona. Naš dijagram mreže je izgledao ovako:
Dijagram mreže Honeypot s opremom za nadzor. Izvor: Trend Micro
Postavili smo tri SharkTap slavine na takav način da nadziru sav vanjski promet prema PLC-u, dostupan samo iz interne mreže. Četvrti SharkTap pratio je promet gostiju ranjivog virtualnog stroja.
SharkTap Ethernet slavina i Sierra Wireless AirLink RV50 ruter. Izvor: Trend Micro
Raspberry Pi je vršio dnevno snimanje prometa. Spojili smo se na internet pomoću mobilnog usmjerivača Sierra Wireless AirLink RV50 koji se često koristi u industrijskim poduzećima.
Nažalost, ovaj usmjerivač nam nije omogućio selektivno blokiranje napada koji nisu odgovarali našim planovima, pa smo mreži dodali vatrozid Cisco ASA 5505 u transparentnom načinu rada kako bismo blokirali s minimalnim utjecajem na mrežu.
Analiza prometa
Tshark i tcpdump su prikladni za brzo rješavanje trenutnih problema, ali u našem slučaju njihove mogućnosti nisu bile dovoljne, jer smo imali mnogo gigabajta prometa, koji je analiziralo nekoliko ljudi. Koristili smo Moloch analizator otvorenog koda koji je razvio AOL. Što se tiče funkcionalnosti, usporediv je s Wiresharkom, ali ima više mogućnosti za suradnju, opisivanje i označavanje paketa, izvoz i druge zadatke.
Budući da prikupljene podatke nismo htjeli obrađivati na honeypot strojevima, PCAP dumpovi su se svakodnevno izvozili u AWS skladište, odakle smo ih već importirali na Moloch stroj.
Snimanje zaslona
Kako bismo dokumentirali radnje hakera u našem honeypotu, napisali smo skriptu koja je u zadanom intervalu snimala snimke zaslona virtualnog stroja i uspoređujući s prethodnom snimkom zaslona, utvrđivala događa li se tamo nešto ili ne. Kada je otkrivena aktivnost, skripta je uključila snimanje zaslona. Ovaj se pristup pokazao najučinkovitijim. Također smo pokušali analizirati VNC promet iz PCAP dumpa kako bismo razumjeli koje su se promjene dogodile u sustavu, ali na kraju se pokazalo da je snimanje zaslona koje smo implementirali jednostavnije i vizualnije.
Praćenje VNC sesija
Za ovo smo koristili Chaosreader i VNCLogger. Oba uslužna programa izdvajaju pritiske tipki iz PCAP datoteke, ali VNCLogger ispravnije rukuje tipkama kao što su Backspace, Enter, Ctrl.
VNCLogger ima dvije mane. Prvo, može dohvatiti ključeve samo "osluškujući" promet na sučelju, pa smo morali simulirati VNC sesiju za njega koristeći tcpreplay. Drugi nedostatak VNCLoggera zajednički je Chaosreaderu: oba ne prikazuju sadržaj međuspremnika. Za ovo sam morao koristiti Wireshark.
Mi mamimo hakere
Stvorili smo honeypot za napad. Kako bismo to postigli, inscenirali smo curenje informacija osmišljeno da privučemo pozornost potencijalnih hakera. Sljedeći priključci su otvoreni na honeypot-u:
RDP port je morao biti zatvoren ubrzo nakon početka rada, jer je zbog ogromne količine skenirajućeg prometa na našoj mreži došlo do problema s performansama.
VNC terminali su prvo radili u "view-only" modu bez lozinke, a onda smo ih "greškom" prebacili u full access mod.
Kako bismo privukli napadače, na PasteBin smo objavili dva posta s "procurjelim" informacijama o dostupnom industrijskom sustavu.
Jedan od postova objavljenih na PasteBinu za privlačenje napada. Izvor: Trend Micro
Napadi
Honeypot je živio online oko sedam mjeseci. Prvi napad dogodio se mjesec dana nakon što je honeypot postao online.
skeneri
Veliki je promet bio od skenera poznatih tvrtki - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye i drugi. Bilo ih je toliko da smo njihove IP adrese morali isključiti iz analize: 610 od 9452 ili 6,45% svih jedinstvenih IP adresa pripadalo je potpuno legitimnim skenerima.
Мошенники
Jedan od najvećih rizika s kojima smo se suočili je korištenje našeg sustava u kriminalne svrhe: za kupnju pametnih telefona putem pretplatničkog računa, unovčavanje zrakoplovnih milja pomoću darovnih kartica i druge vrste prijevara
Rudari
Pokazalo se da je jedan od prvih posjetitelja našeg sustava bio rudar. Učitao je Monero softver za rudarenje na njega. Ne bi mogao zaraditi puno na našem sustavu zbog slabih performansi. No, udružimo li napore nekoliko desetaka ili čak stotina takvih sustava, moglo bi ispasti sasvim dobro.
Ransomware
Tijekom rada honeypota dvaput smo se susreli s pravim ransomware virusima. U prvom slučaju to je bio Crysis. Njegovi operateri prijavili su se u sustav putem VNC-a, ali su potom instalirali TeamViewer i njime izvršavali daljnje radnje. Nakon što smo čekali iznuđivačku poruku u kojoj se traži otkupnina od 10 dolara u BTC-u, ušli smo u korespondenciju s kriminalcima tražeći od njih da nam dekriptiraju jednu od datoteka. Udovoljili su zahtjevu i ponovili zahtjev za otkupninu. Uspjeli smo se cjenkati do 6 tisuća dolara, nakon čega smo jednostavno učitali sustav na virtualni stroj, jer smo dobili sve potrebne informacije.
Drugi ransomware bio je Phobos. Haker koji ga je instalirao prošao je kroz datotečni sustav honeypota i skenirao mrežu sat vremena, a zatim instalirao ransomware.
Treći napad ransomwareom pokazao se lažnim. Nepoznati "haker" skinuo je datoteku haha.bat na naš sustav, nakon čega smo neko vrijeme gledali kako je pokušava osposobiti. Jedan pokušaj bio je preimenovanje haha.bat u haha.rnsmwr.
"Haker" povećava zlonamjernost bat-datoteke mijenjajući njen nastavak u .rnsmwr. Izvor: Trend Micro
Kad se batch datoteka konačno počela pokretati, "haker" ju je uredio, povećavši otkupninu s 200 na 750 dolara. Nakon toga je "kriptirao" sve datoteke, ostavio iznuđivačku poruku na desktopu i nestao, promijenivši lozinke na našem VNC-u.
Nekoliko dana kasnije, haker se vratio i, da se podsjeti, pokrenuo batch datoteku koja je otvorila mnoge prozore s pornografskom stranicom. Očito je na ovaj način pokušao skrenuti pozornost na svoj zahtjev.
Rezultati
Tijekom istraživanja pokazalo se da je honeypot privukao pozornost čim je objavljena informacija o ranjivosti, a aktivnost je rasla iz dana u dan. Kako bi zamka privukla pozornost, moralo se napraviti mnogo sigurnosnih proboja naše fiktivne tvrtke. Nažalost, ova situacija nije neuobičajena među mnogim stvarnim tvrtkama koje nemaju stalno zaposlene IT i informacijsku sigurnost.
Općenito, organizacije bi trebale koristiti načelo najmanje privilegije, dok smo mi implementirali potpuno suprotno kako bismo privukli napadače. I što smo dulje promatrali napade, postajali su sve sofisticiraniji u usporedbi sa standardnim metodama testiranja prodora.
I što je najvažnije, svi ti napadi ne bi uspjeli da su tijekom postavljanja mreže implementirane odgovarajuće sigurnosne mjere. Organizacije moraju osigurati da njihova oprema i komponente industrijske infrastrukture nisu dostupni s interneta, kao što smo mi posebno učinili u našoj zamci.
Iako nismo zabilježili niti jedan napad na radnu stanicu inženjera, unatoč korištenju iste lozinke lokalnog administratora na svim računalima, ovu praksu treba izbjegavati kako bi se mogućnost upada svela na minimum. Uostalom, slaba sigurnost služi kao dodatna pozivnica za napad na industrijske sustave koji već dugo zanimaju kibernetičke kriminalce.
Izvor: www.habr.com