A vírusirtó cégek, információbiztonsági szakértők és egyszerűen rajongók Honeypot rendszereket helyeznek el az interneten, hogy „elkapják” a vírus új változatát vagy azonosítsák a szokatlan hackertaktikákat. A mézesedények annyira gyakoriak, hogy a kiberbűnözők egyfajta immunitást alakítottak ki: gyorsan felismerik, hogy csapda előtt állnak, és egyszerűen figyelmen kívül hagyják. A modern hackerek taktikájának feltárása érdekében létrehoztunk egy valósághű mézesedényt, amely hét hónapig élt az interneten, és számos támadást vonzott. Tanulmányunkban beszéltünk arról, hogyan történt ez" Néhány tény a tanulmányból ebben a bejegyzésben.
Honeypot fejlesztés: ellenőrző lista
A szupercsapdánk létrehozásának fő feladata az volt, hogy ne fedjenek fel minket az iránta érdeklődő hackerek. Ez sok munkát igényelt:
- Készítsen valósághű legendát a cégről, beleértve az alkalmazottak teljes nevét és fényképeit, telefonszámait és e-mailjeit.
- Olyan ipari infrastruktúra modell kidolgozása és megvalósítása, amely megfelel a cégünk tevékenységéről szóló legendának.
- Döntse el, mely hálózati szolgáltatások lesznek elérhetők kívülről, de ne ragadjon el a sérülékeny portok megnyitásával, hogy ne tűnjön a balekok csapdájának.
- Szervezze meg a sebezhető rendszerekkel kapcsolatos információszivárgások láthatóságát, és terjessze ezt az információt a potenciális támadók között.
- Végezze el a hackertevékenységek diszkrét megfigyelését a honeypot infrastruktúrában.
És most minden rendben.
Legenda létrehozása
A kiberbűnözők már megszokták, hogy sok mézesedényrel találkoznak, ezért a legfejlettebb részük minden sérülékeny rendszert alaposan megvizsgál, hogy megbizonyosodjon arról, nem csapda-e. Ugyanezen okból arra törekedtünk, hogy a mézesedény ne csak dizájn és műszaki szempontból legyen reális, hanem egy igazi cég megjelenését is keltse.
Egy hipotetikus menő hacker helyébe helyezve magunkat kifejlesztettünk egy ellenőrző algoritmust, amely megkülönbözteti a valódi rendszert a csapdától. Ez magában foglalta a vállalati IP-címek reputációs rendszerekben való keresését, az IP-címek történetének fordított kutatását, a céghez, illetve partnereihez kapcsolódó nevek és kulcsszavak keresését és sok más dolgot. Ennek eredményeként a legenda meglehetősen meggyőzőnek és vonzónak bizonyult.
Úgy döntöttünk, hogy a csaligyárat egy kis ipari prototípus-butikként helyezzük el, amely nagyon nagy névtelen ügyfelek számára dolgozik a katonai és légiközlekedési szegmensben. Ez megszabadított bennünket a meglévő márka használatával kapcsolatos jogi bonyodalmaktól.
Ezután ki kellett találnunk a szervezet jövőképét, küldetését és nevét. Úgy döntöttünk, hogy cégünk egy startup lesz, kis létszámmal, akik mindegyike alapító. Ez hitelesebbé tette vállalkozásunk speciális jellegének történetét, amely lehetővé teszi, hogy nagy és fontos ügyfelek számára érzékeny projekteket kezeljen. Azt akartuk, hogy cégünk gyengének tűnjön kiberbiztonsági szempontból, ugyanakkor nyilvánvaló volt, hogy fontos eszközökkel dolgozunk a célrendszereken.
Képernyőkép a MeTech honeypot webhelyről. Forrás: Trend Micro
Cégnévnek a MeTech szót választottuk. Az oldal egy ingyenes sablon alapján készült. A képek fotóbankokból készültek, a legnépszerűtlenebbeket felhasználva és módosítva, hogy kevésbé legyenek felismerhetőek.
Azt akartuk, hogy a cég valódi kinézetű legyen, ezért a tevékenység profiljához illeszkedő szakmai ismeretekkel rendelkező alkalmazottakat kellett hozzáadnunk. Neveket és személyiségeket találtunk ki számukra, majd megpróbáltunk fotóbankokból képeket kiválasztani etnikai hovatartozás szerint.
Képernyőkép a MeTech honeypot webhelyről. Forrás: Trend Micro
A felfedezés elkerülése érdekében jó minőségű csoportképeket kerestünk, amelyek közül kiválaszthattuk a számunkra szükséges arcokat. Ezt a lehetőséget azonban elhagytuk, mivel egy potenciális hacker fordított képkereséssel rájöhet, hogy „munkavállalóink” csak fotóbankokban élnek. Végül neurális hálózatok segítségével készített, nem létező emberek fényképeit használtuk fel.
Az oldalon közzétett alkalmazotti profilok fontos információkat tartalmaztak technikai készségeikről, de elkerültük, hogy konkrét iskolákat vagy városokat azonosítsunk.
A postafiókok létrehozásához egy tárhelyszolgáltató szerverét használtuk, majd több telefonszámot béreltünk az Egyesült Államokban, és ezeket egy virtuális alközponttá egyesítettük hangmenüvel és üzenetrögzítővel.
Honeypot infrastruktúra
A kitettség elkerülése érdekében úgy döntöttünk, hogy valódi ipari hardvert, fizikai számítógépeket és biztonságos virtuális gépeket használunk. A jövőre nézve elmondhatjuk, hogy a Shodan kereső segítségével ellenőriztük erőfeszítéseink eredményét, és azt mutatta, hogy a honeypot igazi ipari rendszernek tűnik.
Egy mézesedény Shodan használatával végzett szkennelésének eredménye. Forrás: Trend Micro
A csapdánkhoz négy PLC-t használtunk hardverként:
- Siemens S7-1200,
- két AllenBradley MicroLogix 1100,
- Omron CP1L.
Ezeket a PLC-ket a globális vezérlőrendszerek piacán való népszerűségük miatt választották ki. És ezek a vezérlők mindegyike saját protokollt használ, ami lehetővé tette számunkra, hogy ellenőrizzük, melyik PLC-t támadják gyakrabban, és elvileg érdekelnek-e valakit.
„Gyári” csapdánk berendezése. Forrás: Trend Micro
Nem csak hardvert telepítettünk és csatlakoztattunk az internethez. Mindegyik vezérlőt úgy programoztunk, hogy feladatokat hajtson végre, beleértve
- keverés,
- égő és szállítószalag vezérlés,
- raklapozás robotmanipulátor segítségével.
És hogy a gyártási folyamat valósághű legyen, logikát programoztunk a visszacsatolási paraméterek véletlenszerű megváltoztatására, a motorok indításának és leállásának, valamint az égők be- és kikapcsolásának szimulálására.
Üzemünkben három virtuális és egy fizikai számítógép volt. A virtuális számítógépeket üzem, raklapozó robot vezérlésére, valamint egy PLC szoftvermérnök munkaállomásaként használták. A fizikai számítógép fájlszerverként működött.
A PLC-k elleni támadások figyelése mellett szerettük volna figyelemmel kísérni az eszközeinkre betöltött programok állapotát. Ennek érdekében létrehoztunk egy interfészt, amely lehetővé tette, hogy gyorsan meghatározzuk, hogyan módosultak virtuális aktuátoraink és telepítéseink állapotai. Már a tervezési szakaszban rájöttünk, hogy ezt sokkal könnyebb megvalósítani vezérlőprogrammal, mint a vezérlő logikájának közvetlen programozásával. VNC-n keresztül jelszó nélkül megnyitottuk a Honeypotunk eszközkezelő felületéhez való hozzáférést.
Az ipari robotok a modern intelligens gyártás kulcsfontosságú elemei. Ezzel kapcsolatban úgy döntöttünk, hogy a csapdagyárunk berendezései közé egy robotot és egy automatizált munkahelyet adunk a vezérléshez. A „gyári” valósághűbbé tétele érdekében valódi szoftvert telepítettünk a vezérlő munkaállomásra, amellyel a mérnökök grafikusan programozzák a robot logikáját. Nos, mivel az ipari robotok általában elszigetelt belső hálózatban helyezkednek el, úgy döntöttünk, hogy a VNC-n keresztüli védelem nélküli hozzáférést csak a vezérlő munkaállomásra hagyjuk.
RobotStudio környezet robotunk 3D-s modelljével. Forrás: Trend Micro
Az ABB Robotics RobotStudio programozási környezetét egy virtuális gépre telepítettük robotvezérlő munkaállomással. A RobotStudio konfigurálása után megnyitottunk egy szimulációs fájlt a robotunkkal, így annak 3D képe látható volt a képernyőn. Ennek eredményeként a Shodan és más keresőmotorok egy nem biztonságos VNC-szervert észlelve megragadják ezt a képernyőképet, és megmutatják azoknak, akik nyílt hozzáférésű ipari robotokat keresnek.
A részletekre való odafigyelés célja az volt, hogy vonzó és reális célpontot hozzanak létre a támadók számára, akik ha egyszer megtalálják, újra és újra visszatérnek hozzá.
Mérnöki munkaállomás
A PLC logika programozásához mérnöki számítógépet adtunk az infrastruktúrához. PLC programozáshoz ipari szoftvert telepítettek rá:
- TIA portál a Siemens számára,
- MicroLogix for Allen-Bradley vezérlő,
- CX-One az Omron számára.
Úgy döntöttünk, hogy a mérnöki munkaterület a hálózaton kívül nem lesz elérhető. Ehelyett az adminisztrátori fiókhoz ugyanazt a jelszót állítjuk be, mint a robotvezérlő munkaállomáson és az internetről elérhető gyári vezérlő munkaállomáson. Ez a konfiguráció meglehetősen gyakori sok vállalatnál.
Sajnos minden erőfeszítésünk ellenére egyetlen támadó sem érte el a mérnök munkaállomását.
Fájlszerver
Szükségünk volt rá a támadók csaliként és a csaligyárban végzett saját „munkánk” támogatására. Ez lehetővé tette számunkra, hogy USB-eszközök segítségével fájlokat osszunk meg a honeypotunkkal anélkül, hogy nyomot hagynánk a honeypot hálózaton. A fájlszerver operációs rendszereként a Windows 7 Pro-t telepítettük, amiben létrehoztunk egy megosztott mappát, amit bárki olvashat és írhat.
Először nem hoztunk létre mappák és dokumentumok hierarchiáját a fájlszerveren. Később azonban rájöttünk, hogy a támadók aktívan tanulmányozzák ezt a mappát, ezért úgy döntöttünk, hogy feltöltjük különféle fájlokkal. Ehhez írtunk egy python szkriptet, amely a megadott kiterjesztések valamelyikével készített egy véletlenszerű méretű fájlt, amely a szótár alapján nevet alkotott.
Szkript vonzó fájlnevek generálásához. Forrás: Trend Micro
A szkript futtatása után a kívánt eredményt kaptuk egy mappa formájában, amely tele van nagyon érdekes nevű fájlokkal.
A forgatókönyv eredménye. Forrás: Trend Micro
Monitoring környezet
Miután annyi erőfeszítést fordítottunk egy reális cég létrehozására, egyszerűen nem engedhettük meg magunknak, hogy kudarcot valljunk a „látogatóink” megfigyelésének környezetében. Valós időben kellett megszereznünk az összes adatot anélkül, hogy a támadók észrevennék, hogy figyelik őket.
Ezt négy USB-Ethernet adapter, négy SharkTap Ethernet leágazó, egy Raspberry Pi 3 és egy nagy külső meghajtó segítségével valósítottuk meg. A hálózati diagramunk így nézett ki:
Honeypot hálózati diagram ellenőrző berendezéssel. Forrás: Trend Micro
Három SharkTap csapot helyeztünk el úgy, hogy figyelemmel kísérjük a PLC felé irányuló összes külső forgalmat, amely csak a belső hálózatról érhető el. A negyedik SharkTap egy sebezhető virtuális gép vendégeinek forgalmát figyelte.
SharkTap Ethernet Tap és Sierra Wireless AirLink RV50 Router. Forrás: Trend Micro
A Raspberry Pi napi forgalomrögzítést végzett. Az ipari vállalkozásokban gyakran használt Sierra Wireless AirLink RV50 mobil router segítségével csatlakoztunk az internethez.
Sajnos ez a router nem tette lehetővé a terveinknek nem megfelelő támadások szelektív blokkolását, ezért egy Cisco ASA 5505 tűzfalat adtunk a hálózathoz transzparens módban, hogy a blokkolást a hálózatra gyakorolt minimális hatással végezzük.
Forgalomelemzés
A Tshark és a tcpdump alkalmasak az aktuális problémák gyors megoldására, de esetünkben ezek képességei nem voltak elegendőek, hiszen sok gigabájt forgalmunk volt, amit többen is elemeztek. Az AOL által kifejlesztett nyílt forráskódú Moloch analizátort használtuk. Funkcióit tekintve hasonló a Wiresharkhoz, de több képességgel rendelkezik az együttműködéshez, a csomagok leírásához és címkézéséhez, az exportáláshoz és egyéb feladatokhoz.
Mivel az összegyűjtött adatokat nem Honeypot számítógépeken akartuk feldolgozni, a PCAP dumpokat minden nap exportálták az AWS tárhelyre, ahonnan már importáltuk őket a Moloch gépre.
Képernyő felvétele
A hackerek akcióinak dokumentálására a honeypotban írtunk egy szkriptet, amely adott időközönként képernyőképeket készített a virtuális gépről, és az előző képernyőképpel összehasonlítva meghatározta, hogy történik-e valami ott vagy sem. Amikor tevékenységet észleltek, a forgatókönyv képernyőfelvételt is tartalmazott. Ez a megközelítés bizonyult a leghatékonyabbnak. Megpróbáltuk a PCAP dumpból származó VNC-forgalmat is elemezni, hogy megértsük, milyen változások történtek a rendszerben, de végül az általunk megvalósított képernyőrögzítés egyszerűbbnek és vizuálisabbnak bizonyult.
VNC munkamenetek figyelése
Ehhez Chaosreader-t és VNCLoggert használtunk. Mindkét segédprogram kivonja a billentyűleütéseket a PCAP-kiíratból, de a VNCLogger helyesebben kezeli az olyan billentyűket, mint a Backspace, Enter, Ctrl.
A VNCLoggernek két hátránya van. Először is: csak úgy tud kulcsokat kivonni, hogy „meghallgatja” az interfész forgalmát, ezért egy VNC-munkamenetet kellett szimulálnunk neki a tcpreplay segítségével. A VNCLogger második hátránya a Chaosreadernél gyakori: mindkettő nem mutatja a vágólap tartalmát. Ehhez Wiresharkot kellett használnom.
Csábítjuk a hackereket
Létrehoztuk a mézesedényt, hogy megtámadják. Ennek elérése érdekében információszivárogtatást szerveztünk, hogy felkeltsük a potenciális támadók figyelmét. A honeypoton a következő kikötőket nyitották meg:
Az RDP-portot röviddel az éles indítás után be kellett zárni, mert a hálózatunkon zajló hatalmas mennyiségű szkennelési forgalom teljesítményproblémákat okozott.
A VNC terminálok először csak megtekintési módban működtek jelszó nélkül, majd „tévedésből” teljes hozzáférési módba kapcsoltuk őket.
A támadók vonzása érdekében két bejegyzést tettünk közzé, amelyek kiszivárogtatták az elérhető ipari rendszerrel kapcsolatos információkat a PasteBin oldalon.
A PasteBin-en közzétett egyik bejegyzés támadások vonzására. Forrás: Trend Micro
Támadások
A Honeypot körülbelül hét hónapig élt online. Az első támadás egy hónappal a honeypot online megjelenése után történt.
szkennerek
Nagy forgalom volt a jól ismert cégek szkennereiből - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye és mások. Olyan sok volt belőlük, hogy az IP-címüket ki kellett zárnunk az elemzésből: 610-ből 9452, vagyis az összes egyedi IP-cím 6,45%-a teljesen legitim szkennerekhez tartozott.
csalók
Az egyik legnagyobb kockázat, amellyel szembesülünk, az, hogy rendszerünket bűnöző célokra használjuk: okostelefonok vásárlása előfizetői számlán keresztül, légitársasági mérföldek kifizetése ajándékkártyákkal és egyéb csalások.
Bányászok
Rendszerünk egyik első látogatója bányász volt. Letöltött rá a Monero bányászati szoftvert. Nem sok pénzt tudott volna keresni a mi rendszerünkön az alacsony termelékenység miatt. Ha azonban több tucat vagy akár több száz ilyen rendszer erőfeszítéseit egyesítjük, egész jól sikerülhet.
Ransomware
A honeypot munkája során kétszer találkoztunk valódi ransomware vírusokkal. Az első esetben Crysis volt. Üzemeltetői VNC-n keresztül jelentkeztek be a rendszerbe, majd telepítették a TeamViewert, és ezzel hajtottak végre további műveleteket. Miután vártunk egy zsaroló üzenetre, amelyben 10 6 dollár váltságdíjat követeltek BTC-ben, levelezésbe kezdtünk a bűnözőkkel, és megkértük őket, hogy fejtsék vissza az egyik fájl titkosítását. Eleget tettek a kérésnek, és megismételték a váltságdíjat. XNUMX ezer dollárig sikerült alkudnunk, ami után egyszerűen újra feltöltöttük a rendszert egy virtuális gépre, hiszen minden szükséges információt megkaptunk.
A második zsarolóprogramról kiderült, hogy a Phobos. Az azt telepítő hacker egy órán át böngészte a honeypot fájlrendszert és átvizsgálta a hálózatot, majd végül telepítette a ransomware-t.
A harmadik ransomware támadás hamisnak bizonyult. Egy ismeretlen „hacker” letöltötte a haha.bat fájlt a rendszerünkre, majd egy ideig figyeltük, ahogy megpróbálja működésre bírni. Az egyik kísérlet a haha.bat átnevezése volt haha.rnsmwr-re.
A „hacker” növeli a bat fájl ártalmasságát azáltal, hogy a kiterjesztését .rnsmwr-re változtatja. Forrás: Trend Micro
Amikor a kötegfájl végre futni kezdett, a „hacker” megszerkesztette, és a váltságdíjat 200 dollárról 750 dollárra növelte. Ezt követően az összes fájlt „titkosította”, egy zsaroló üzenetet hagyott az asztalon, és eltűnt, megváltoztatva a jelszavakat a VNC-n.
Néhány nappal később a hacker visszatért, és, hogy emlékeztesse magát, elindított egy kötegfájlt, amely sok ablakot nyitott meg egy pornóoldallal. Nyilván így próbálta felhívni a figyelmet igényére.
Eredményei
A vizsgálat során kiderült, hogy amint megjelentek a sebezhetőségről szóló információk, a honeypot felkeltette a figyelmet, és az aktivitás napról napra nőtt. Ahhoz, hogy a csapda felfigyeljen rá, fiktív cégünknek többszörös biztonsági rést kellett elszenvednie. Sajnos ez a helyzet korántsem ritka sok olyan valódi cégnél, amelyeknek nincs főállású IT és információbiztonsági alkalmazottja.
Általánosságban elmondható, hogy a szervezeteknek a legkisebb kiváltság elvét kell alkalmazniuk, míg mi ennek pont az ellenkezőjét alkalmaztuk a támadók vonzására. És minél tovább néztük a támadásokat, annál kifinomultabbak lettek a szokásos penetrációs tesztelési módszerekhez képest.
És ami a legfontosabb, mindezek a támadások kudarcot vallottak volna, ha megfelelő biztonsági intézkedéseket hajtottak volna végre a hálózat beállításakor. A szervezeteknek gondoskodniuk kell arról, hogy berendezéseik és ipari infrastruktúra-elemeik ne legyenek elérhetők az internetről, ahogyan ezt a csapdánkban kifejezetten tettük.
Bár egyetlen mérnöki munkaállomás elleni támadást sem rögzítettünk, annak ellenére, hogy minden számítógépen ugyanazt a helyi rendszergazdai jelszót használjuk, ezt a gyakorlatot kerülni kell a behatolások lehetőségének minimalizálása érdekében. Végtére is, a gyenge biztonság további felhívásként szolgál az ipari rendszerek támadására, amelyek régóta érdeklik a kiberbűnözőket.
Forrás: will.com