Konpayi antivirus, ekspè sekirite enfòmasyon ak tou senpleman amater mete sistèm honeypot sou entènèt la nan lòd yo "trape" yon nouvo variant nan viris la oswa idantifye taktik pirate etranj. Honeypots yo tèlman komen ke sibèrkriminèl yo te devlope yon kalite iminite: yo byen vit idantifye ke yo se devan yon pèlen epi tou senpleman inyore li. Pou eksplore taktik yo nan entru modèn, nou te kreye yon siwo myèl reyalis ki te rete sou entènèt la pou sèt mwa, atire yon varyete de atak. Nou te pale sou ki jan sa te rive nan etid nou an "" Gen kèk reyalite nan etid la nan pòs sa a.
Honeypot devlopman: lis verifikasyon
Travay prensipal la nan kreye supertrap nou an se te anpeche nou ekspoze pa entru ki te montre enterè nan li. Sa te mande anpil travay:
- Kreye yon lejand reyalis sou konpayi an, ki gen ladan non konplè ak foto anplwaye yo, nimewo telefòn ak imèl.
- Pou vini ak aplike yon modèl enfrastrikti endistriyèl ki koresponn ak lejand sou aktivite konpayi nou an.
- Deside ki sèvis rezo yo pral aksesib soti deyò a, men pa kite pote ale ak ouvèti pò vilnerab pou li pa sanble yon pèlen pou vantouz.
- Òganize vizibilite fwit enfòmasyon sou yon sistèm vilnerab epi distribye enfòmasyon sa a pami atakan potansyèl yo.
- Aplike siveyans sekrè nan aktivite pirate nan enfrastrikti honeypot la.
Epi kounye a premye bagay an premye.
Kreye yon lejand
Sibèrkriminèl yo deja abitye rankontre yon anpil nan pot siwo myèl, kidonk pati ki pi avanse nan yo fè yon ankèt apwofondi sou chak sistèm vilnerab pou asire w ke li pa yon pèlen. Pou menm rezon an, nou t'ap chache asire ke honeypot a pa t 'sèlman reyalis an tèm de konsepsyon ak aspè teknik, men tou, yo kreye aparans nan yon konpayi reyèl.
Mete tèt nou nan soulye yon ipotetik pirate fre, nou devlope yon algorithm verifikasyon ki ta distenge yon sistèm reyèl ak yon pèlen. Li enkli rechèch adrès IP konpayi an nan sistèm repitasyon, rechèch ranvèse nan istwa adrès IP, rechèch non ak mo kle ki gen rapò ak konpayi an, osi byen ke kontrepati li yo, ak anpil lòt bagay. Kòm yon rezilta, lejand la te vin byen konvenkan ak atire.
Nou te deside pozisyon faktori dekoy la kòm yon ti boutik pwototip endistriyèl k ap travay pou gwo kliyan anonim nan segman militè ak avyasyon an. Sa a te libere nou anba konplikasyon legal ki asosye ak lè l sèvi avèk yon mak ki egziste deja.
Apre sa, nou te gen pou vini ak yon vizyon, misyon ak non pou òganizasyon an. Nou te deside ke konpayi nou an ta dwe yon demaraj ak yon ti kantite anplwaye, chak nan yo se yon fondatè. Sa a te ajoute kredibilite nan istwa a nan nati a espesyalize nan biznis nou an, ki pèmèt li okipe pwojè sansib pou gwo kliyan enpòtan. Nou te vle konpayi nou an parèt fèb nan yon pèspektiv cybersecurity, men an menm tan an li te evidan ke nou t ap travay ak byen enpòtan sou sistèm sib yo.
Ekran nan sit entènèt la Honeypot MeTech. Sous: Trend Micro
Nou te chwazi mo MeTech kòm non konpayi an. Sit la te fè ki baze sou yon modèl gratis. Imaj yo te pran nan bank foto, lè l sèvi avèk sa yo ki pi enpopilè ak modifye yo pou fè yo mwens rekonèt.
Nou te vle konpayi an sanble reyèl, kidonk nou te bezwen ajoute anplwaye ki gen ladrès pwofesyonèl ki matche ak pwofil aktivite a. Nou te vini ak non ak pèsonalite pou yo ak Lè sa a, te eseye chwazi imaj nan bank foto selon etnisite.
Ekran nan sit entènèt la Honeypot MeTech. Sous: Trend Micro
Pou evite ke yo te dekouvri, nou te chèche bon jan kalite foto gwoup nan ki nou te kapab chwazi figi nou bezwen yo. Sepandan, nou te abandone opsyon sa a, paske yon pirate potansyèl te kapab itilize rechèch imaj ranvèse epi dekouvri ke "anplwaye" nou yo ap viv sèlman nan bank foto. Nan fen a, nou te itilize foto moun ki pa egziste ki te kreye lè l sèvi avèk rezo neral.
Pwofil anplwaye ki te pibliye sou sit la te genyen enfòmasyon enpòtan sou konpetans teknik yo, men nou te evite idantifye lekòl oswa vil espesifik yo.
Pou kreye bwat lèt, nou te itilize sèvè yon founisè hosting, ak Lè sa a, lwe plizyè nimewo telefòn Ozetazini ak konbine yo nan yon PBX vityèl ak yon meni vwa ak yon repondè.
Honeypot enfrastrikti
Pou evite ekspoze, nou deside sèvi ak yon konbinezon de pyès ki nan konpitè reyèl endistriyèl, òdinatè fizik ak machin vityèl an sekirite. Gade pi devan, nou pral di ke nou tcheke rezilta a nan efò nou yo lè l sèvi avèk motè rechèch la Shodan, epi li te montre ke honeypot a sanble ak yon sistèm endistriyèl reyèl.
Rezilta a nan optik yon honeypot lè l sèvi avèk Shodan. Sous: Trend Micro
Nou itilize kat PLC kòm pyès ki nan konpitè pou pèlen nou an:
- Siemens S7-1200,
- de AllenBradley MicroLogix 1100,
- Omron CP1L.
PLC sa yo te chwazi pou popilarite yo nan mache sistèm kontwòl mondyal la. Ak chak nan kontwolè sa yo sèvi ak pwotokòl pwòp li yo, ki pèmèt nou tcheke kilès nan PLC yo ta dwe atake pi souvan ak si yo ta enterese nenpòt moun nan prensip.
Ekipman nan "faktori"-pèlen nou an. Sous: Trend Micro
Nou pa t jis enstale pyès ki nan konpitè epi konekte li sou entènèt la. Nou pwograme chak kontwolè pou fè travay, ki gen ladan
- melanje,
- brûler ak kontwòl senti CONVEYOR,
- paletizasyon lè l sèvi avèk yon manipulateur robot.
Ak pou fè pwosesis pwodiksyon an reyalistik, nou pwograme lojik chanje owaza paramèt fidbak, simulation motè kòmanse ak kanpe, ak brûler vire sou ak koupe.
Faktori nou an te gen twa òdinatè vityèl ak yon sèl fizik. Òdinatè vityèl yo te itilize pou kontwole yon plant, yon robo palletizer, ak kòm yon estasyon travay pou yon enjenyè lojisyèl PLC. Òdinatè fizik la te travay kòm yon sèvè dosye.
Anplis siveyans atak sou PLC yo, nou te vle kontwole estati pwogram ki chaje sou aparèy nou yo. Pou fè sa, nou te kreye yon koòdone ki te pèmèt nou detèmine byen vit kijan eta aktè vityèl nou yo ak enstalasyon yo te modifye. Deja nan etap planifikasyon an, nou te dekouvri ke li pi fasil pou aplike sa a lè l sèvi avèk yon pwogram kontwòl pase atravè pwogramasyon dirèk nan lojik kontwolè a. Nou te louvri aksè nan koòdone jesyon aparèy nan honeypot nou an atravè VNC san yon modpas.
Robo endistriyèl yo se yon eleman kle nan manifakti entelijan modèn. Nan sans sa a, nou deside ajoute yon robo ak yon espas travay otomatik pou kontwole li nan ekipman faktori pèlen nou an. Pou fè "faktori a" plis reyalistik, nou enstale lojisyèl reyèl sou estasyon travay kontwòl la, ki enjenyè itilize pou pwograme grafikman lojik robo a. Oke, depi robo endistriyèl yo anjeneral sitiye nan yon rezo entèn izole, nou deside kite aksè san pwoteksyon atravè VNC sèlman nan estasyon travay la kontwòl.
Anviwònman RobotStudio ak yon modèl 3D robo nou an. Sous: Trend Micro
Nou enstale anviwònman pwogramasyon RobotStudio ki soti nan ABB Robotics sou yon machin vityèl ak yon estasyon travay kontwòl robo. Lè nou te konfigirasyon RobotStudio, nou te louvri yon fichye simulation ak robo nou an ladan l pou imaj 3D li yo te vizib sou ekran an. Kòm yon rezilta, Shodan ak lòt motè rechèch, lè yo detekte yon sèvè VNC ki pa an sekirite, pral pran imaj ekran sa a epi montre li bay moun k ap chèche robo endistriyèl ki gen aksè ouvè pou kontwòl.
Pwen atansyon sa a sou detay se te kreye yon sib atire ak reyalis pou atakè ki, yon fwa yo jwenn li, ta retounen nan li ankò e ankò.
Estasyon travay Enjenyè a
Pou pwograme lojik PLC a, nou te ajoute yon òdinatè jeni nan enfrastrikti a. Lojisyèl endistriyèl pou pwogram PLC te enstale sou li:
- TIA Portal pou Siemens,
- MicroLogix pou kontwolè Allen-Bradley,
- CX-One pou Omron.
Nou te deside espas travay jeni an pa t ap aksesib deyò rezo a. Olye de sa, nou mete menm modpas pou kont administratè a kòm sou estasyon travay kontwòl robo a ak estasyon travay kontwòl faktori a aksesib sou entènèt la. Konfigirasyon sa a se byen komen nan anpil konpayi.
Malerezman, malgre tout efò nou yo, pa gen yon sèl atakè ki te rive nan estasyon travay enjenyè a.
File sèvè
Nou te bezwen li kòm yon Garnier pou atakè yo ak kòm yon mwayen pou fè bak pwòp "travay" nou nan faktori a dekoy. Sa te pèmèt nou pataje dosye ak honeypot nou an lè l sèvi avèk aparèy USB san yo pa kite yon tras sou rezo honeypot la. Nou enstale Windows 7 Pro kòm eksplwatasyon an pou sèvè fichye a, kote nou te kreye yon katab pataje ki ka li ak ekri pa nenpòt moun.
Okòmansman, nou pa t kreye okenn yerachi dosye ak dokiman sou sèvè fichye a. Sepandan, pita nou te dekouvri ke atakè yo te aktivman etidye katab sa a, se konsa nou deside ranpli li ak dosye divès kalite. Pou fè sa, nou te ekri yon script python ki te kreye yon fichye gwosè o aza ak youn nan ekstansyon yo bay yo, ki fòme yon non ki baze sou diksyonè a.
Script pou jenere non dosye atire. Sous: Trend Micro
Apre kouri script la, nou te jwenn rezilta a vle nan fòm lan nan yon katab plen ak dosye ak non trè enteresan.
Rezilta a nan script la. Sous: Trend Micro
Siveyans anviwònman
Èske w gen anpil efò pou kreye yon konpayi reyalis, nou tou senpleman pa t 'kapab peye echwe sou anviwònman an pou kontwole "vizitè" nou yo. Nou te bezwen jwenn tout done yo an tan reyèl san atakè yo reyalize yo te gade.
Nou aplike sa a lè l sèvi avèk kat USB adaptè Ethernet, kat tiyo SharkTap Ethernet, yon Franbwaz Pi 3, ak yon gwo kondwi ekstèn. Dyagram rezo nou an te sanble ak sa a:
Dyagram rezo Honeypot ak ekipman siveyans. Sous: Trend Micro
Nou pozisyone twa tiyo SharkTap pou nou kontwole tout trafik ekstèn nan PLC a, aksesib sèlman nan rezo entèn la. Katriyèm SharkTap te kontwole trafik envite nan yon machin vityèl vilnerab.
SharkTap Ethernet Tap ak Sierra Wireless AirLink RV50 Routeur. Sous: Trend Micro
Franbwaz Pi fè kaptire trafik chak jou. Nou konekte ak entènèt la lè l sèvi avèk yon routeur selilè Sierra Wireless AirLink RV50, souvan yo itilize nan antrepriz endistriyèl.
Malerezman, routeur sa a pa t 'pèmèt nou oaza bloke atak ki pa matche ak plan nou yo, kidonk nou te ajoute yon Cisco ASA 5505 firewall nan rezo a nan mòd transparan fè bloke ak enpak minim sou rezo a.
Analiz trafik
Tshark ak tcpdump yo apwopriye pou rezoud pwoblèm aktyèl yo byen vit, men nan ka nou an kapasite yo pa t ase, paske nou te gen anpil jigokte nan trafik, ki te analize pa plizyè moun. Nou te itilize analyser Moloch ki te devlope pa AOL. Li konparab nan fonksyonalite ak Wireshark, men li gen plis kapasite pou kolaborasyon, dekri ak tag pakè, ekspòte ak lòt travay.
Piske nou pa t vle trete done yo kolekte sou òdinatè honeypot, yo te ekspòte pil fatra PCAP chak jou nan depo AWS, kote nou te deja enpòte yo sou machin Moloch la.
Anrejistreman ekran
Pou dokimante aksyon entru yo nan honeypot nou an, nou te ekri yon script ki te pran Ekran nan machin vityèl la nan yon entèval bay epi, konpare li ak Ekran anvan an, detèmine si yon bagay t ap pase la oswa ou pa. Lè yo te detekte aktivite, script la enkli anrejistreman ekran an. Apwòch sa a te vin pi efikas la. Nou te eseye tou analize trafik VNC ki soti nan yon pil fatra PCAP pou konprann ki chanjman ki te fèt nan sistèm nan, men nan fen anrejistreman ekran nou te aplike a te vin pi senp ak plis vizyèl.
Siveyans sesyon VNC yo
Pou sa nou itilize Chaosreader ak VNCLogger. Tou de sèvis piblik yo ekstrè frap nan yon pil fatra PCAP, men VNCLogger okipe kle tankou Backspace, Antre, Ctrl pi kòrèkteman.
VNCLogger gen de dezavantaj. Premyèman: li ka sèlman ekstrè kle pa "koute" trafik sou koòdone a, kidonk nou te oblije simulation yon sesyon VNC pou li lè l sèvi avèk tcpreplay. Dezyèm dezavantaj VNCLogger komen ak Chaosreader: yo tou de pa montre sa ki nan clipboard la. Pou fè sa mwen te oblije itilize Wireshark.
Nou fè lasisiy entru yo
Nou te kreye honeypot yo dwe atake. Pou reyalize sa, nou te òganize yon leak enfòmasyon pou atire atansyon potansyèl atakè yo. Pò sa yo te louvri sou honeypot:
Pò RDP a te dwe fèmen yon ti tan apre nou te ale viv paske kantite lajan an masiv nan eskanè trafik sou rezo nou an te lakòz pwoblèm pèfòmans.
Tèminal VNC yo te travay premye nan mòd vi sèlman san yon modpas, epi apre sa nou "pa erè" chanje yo nan mòd aksè konplè.
Pou atire atakè yo, nou afiche de pòs ak enfòmasyon fwit sou sistèm endistriyèl ki disponib sou PasteBin.
Youn nan pòs yo afiche sou PasteBin pou atire atak. Sous: Trend Micro
Atak
Honeypot te viv sou entènèt pou apeprè sèt mwa. Premye atak la te fèt yon mwa apre honeypot te ale sou entènèt.
Eskanè
Te gen yon anpil nan trafik soti nan eskanè nan konpayi byen li te ye - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye ak lòt moun. Te gen anpil nan yo ke nou te oblije eskli adrès IP yo nan analiz la: 610 sou 9452 oswa 6,45% nan tout adrès IP inik ki te fè pati eskanè konplètman lejitim.
SCAMMERS
Youn nan pi gwo risk nou te fè fas a se itilizasyon sistèm nou an pou rezon kriminèl: achte smartphones atravè yon kont abònen, retire mil avyon yo lè l sèvi avèk kat kado ak lòt kalite fwod.
Minè yo
Youn nan premye vizitè yo nan sistèm nou an te tounen yon minè. Li te telechaje lojisyèl min Monero sou li. Li pa ta ka fè anpil lajan sou sistèm patikilye nou an akòz pwodiktivite ki ba. Sepandan, si nou konbine efò yo nan plizyè douzèn oswa menm dè santèn de sistèm sa yo, li ta ka vire byen byen.
Ransomware
Pandan travay honeypot, nou te rankontre viris ransomware reyèl de fwa. Nan premye ka a se te Crysis. Operatè li yo te konekte nan sistèm nan atravè VNC, men Lè sa a, enstale TeamViewer epi yo itilize li pou fè plis aksyon. Apre nou fin tann yon mesaj ekstòsyon ki mande yon ranson $10 nan BTC, nou antre nan korespondans ak kriminèl yo, mande yo dechifre youn nan dosye yo pou nou. Yo te respekte demann lan e yo te repete demann ranson an. Nou te jere yo negosye jiska 6 mil dola, apre sa nou tou senpleman re-uploaded sistèm nan nan yon machin vityèl, depi nou te resevwa tout enfòmasyon ki nesesè yo.
Dezyèm ransomware la te tounen Phobos. Hacker ki enstale li te pase yon èdtan ap navige sistèm fichye honeypot la ak analize rezo a, epi finalman enstale ransomware la.
Twazyèm atak ransomware la te tounen fo. Yon "hacker" enkoni telechaje dosye a haha.bat sou sistèm nou an, apre sa nou gade pou yon ti tan pandan li te eseye jwenn li nan travay. Youn nan tantativ yo se te chanje non haha.bat nan haha.rnsmwr.
"Hacker la" ogmante nozif nan dosye a baton pa chanje ekstansyon li nan .rnsmwr. Sous: Trend Micro
Lè fichye a pakèt finalman te kòmanse kouri, "pitru a" te modifye li, ogmante ranson an soti nan $ 200 a $ 750. Apre sa, li "chifre" tout fichye yo, kite yon mesaj ekstòsyon sou Desktop la epi li disparèt, chanje modpas yo sou VNC nou an.
Yon koup de jou apre, pirate a tounen epi, pou raple tèt li, te lanse yon dosye pakèt ki te louvri anpil fenèt ak yon sit pònografi. Aparamman, nan fason sa a li te eseye atire atansyon sou demann li.
Rezilta
Pandan etid la, li te tounen soti ke le pli vit ke enfòmasyon sou vilnerabilite a te pibliye, honeypot atire atansyon, ak aktivite ap grandi jou pa jou. Pou pèlen an jwenn atansyon, konpayi fiktif nou an te oblije soufri plizyè vyolasyon sekirite. Malerezman, sitiyasyon sa a se byen lwen pa komen nan mitan anpil konpayi reyèl ki pa gen IT a plen tan ak anplwaye sekirite enfòmasyon.
An jeneral, òganizasyon yo ta dwe itilize prensip pi piti privilèj yo, pandan ke nou aplike egzak opoze a pou atire atakè yo. Ak plis nou gade atak yo, se plis yo te vin sofistike konpare ak metòd tès pénétration estanda.
Ak sa ki pi enpòtan, tout atak sa yo ta echwe si mezi sekirite adekwat yo te aplike lè mete rezo a. Òganizasyon yo dwe asire ke ekipman yo ak konpozan enfrastrikti endistriyèl yo pa aksesib sou entènèt la, jan nou te fè espesyalman nan pèlen nou an.
Malgre ke nou pa te anrejistre yon sèl atak sou estasyon travay yon enjenyè, malgre nou itilize menm modpas administratè lokal la sou tout òdinatè, pratik sa a ta dwe evite pou minimize posiblite pou entrizyon. Apre yo tout, sekirite fèb sèvi kòm yon envitasyon adisyonèl pou atake sistèm endistriyèl yo, ki gen lontan nan enterè sibèrkriminèl yo.
Sous: www.habr.com