Հակավիրուսային ընկերությունները, տեղեկատվական անվտանգության փորձագետները և պարզապես էնտուզիաստները համացանցում տեղադրում են honeypot համակարգեր՝ վիրուսի նոր տարբերակը «որսալու» կամ հաքերների անսովոր մարտավարությունը բացահայտելու համար։ Honeypots-ն այնքան տարածված է, որ կիբերհանցագործները մի տեսակ իմունիտետ են զարգացրել. նրանք արագորեն հայտնաբերում են, որ հայտնվել են թակարդի առջև և պարզապես անտեսում են այն: Ժամանակակից հաքերների մարտավարությունը ուսումնասիրելու համար մենք ստեղծեցինք իրատեսական մեղրափայտ, որը յոթ ամիս ապրեց ինտերնետում՝ գրավելով տարբեր հարձակումներ: Մենք խոսեցինք այն մասին, թե ինչպես դա տեղի ունեցավ մեր ուսումնասիրության մեջ»« Ուսումնասիրության որոշ փաստեր՝ այս գրառման մեջ։
Honeypot-ի մշակում. ստուգաթերթ
Մեր գերթակարդը ստեղծելու գլխավոր խնդիրն այն էր, որ մեզ չբացահայտեն հաքերները, ովքեր հետաքրքրություն են ցուցաբերել դրա նկատմամբ: Սա մեծ աշխատանք էր պահանջում.
- Ստեղծեք իրատեսական լեգենդ ընկերության մասին, ներառյալ աշխատակիցների լրիվ անուններն ու լուսանկարները, հեռախոսահամարները և էլ.
- Ստեղծել և իրականացնել արդյունաբերական ենթակառուցվածքի մոդել, որը համապատասխանում է մեր ընկերության գործունեության մասին լեգենդին:
- Որոշեք, թե որ ցանցային ծառայությունները հասանելի կլինեն դրսից, բայց մի տարվեք խոցելի նավահանգիստներ բացելով, որպեսզի դա ծծողների համար թակարդ չթվա:
- Կազմակերպել խոցելի համակարգի մասին տեղեկատվության արտահոսքի տեսանելիությունը և տարածել այդ տեղեկատվությունը հավանական հարձակվողների միջև:
- Իրականացնել հաքերների գործունեության զուսպ մոնիտորինգ honeypot ենթակառուցվածքում:
Եվ հիմա առաջին բաները:
Լեգենդի ստեղծում
Կիբերհանցագործներն արդեն սովոր են հանդիպել բազմաթիվ մեղրափողերի, ուստի նրանց ամենաառաջադեմ մասը խորը հետաքննություն է անցկացնում յուրաքանչյուր խոցելի համակարգի վերաբերյալ՝ համոզվելու, որ դա ծուղակ չէ: Նույն պատճառով, մենք ձգտեցինք ապահովել, որ մեղրափայտը ոչ միայն իրատեսական լինի դիզայնի և տեխնիկական ասպեկտների առումով, այլև ստեղծել իրական ընկերության տեսք:
Մեզ դնելով հիպոթետիկ թույն հաքերի տեղ՝ մենք մշակեցինք ստուգման ալգորիթմ, որը կտարբերեր իրական համակարգը թակարդից: Այն ներառում էր հեղինակության համակարգերում ընկերության IP հասցեների որոնում, IP հասցեների պատմության հակադարձ հետազոտություն, ընկերության, ինչպես նաև նրա գործընկերների հետ կապված անունների և հիմնաբառերի որոնում և շատ այլ բաներ: Արդյունքում լեգենդը բավականին համոզիչ ու գրավիչ է ստացվել։
Մենք որոշեցինք դիրքավորել խաբեբաների գործարանը որպես փոքր արդյունաբերական նախատիպային բուտիկ, որն աշխատում է ռազմական և ավիացիոն հատվածի շատ մեծ անանուն հաճախորդների համար: Սա մեզ ազատեց գոյություն ունեցող ապրանքանիշի օգտագործման հետ կապված իրավական բարդություններից:
Հաջորդիվ մենք պետք է կազմեինք կազմակերպության տեսլականը, առաքելությունը և անունը: Մենք որոշեցինք, որ մեր ընկերությունը կլինի ստարտափ՝ քիչ թվով աշխատողներով, որոնցից յուրաքանչյուրը հիմնադիր է։ Սա վստահություն ավելացրեց մեր բիզնեսի մասնագիտացված բնույթի պատմությանը, ինչը թույլ է տալիս նրան կարգավորել զգայուն նախագծերը մեծ և կարևոր հաճախորդների համար: Մենք ցանկանում էինք, որ մեր ընկերությունը թույլ երևա կիբերանվտանգության տեսանկյունից, բայց միևնույն ժամանակ ակնհայտ էր, որ մենք աշխատում էինք կարևոր ակտիվների հետ թիրախային համակարգերի վրա:
MeTech honeypot կայքի էկրանային պատկերը: Աղբյուր՝ Trend Micro
Որպես ընկերության անվանում ընտրել ենք MeTech բառը։ Կայքը ստեղծվել է անվճար կաղապարի հիման վրա։ Նկարները վերցված են ֆոտոբանկերից՝ օգտագործելով ամենաանհրաժեշտները և փոփոխելով դրանք՝ ավելի քիչ ճանաչելի դարձնելու համար:
Մենք ցանկանում էինք, որ ընկերությունն իրական տեսք ունենա, ուստի մեզ անհրաժեշտ էր ավելացնել մասնագիտական հմտություններով աշխատողներ, որոնք համապատասխանում են գործունեության պրոֆիլին: Մենք նրանց համար անուններ և անձեր հորինեցինք, իսկ հետո փորձեցինք լուսանկարչական բանկերից նկարներ ընտրել՝ ըստ ազգության:
MeTech honeypot կայքի էկրանային պատկերը: Աղբյուր՝ Trend Micro
Որպեսզի չհայտնվենք, մենք որոնեցինք լավ որակի խմբային լուսանկարներ, որոնցից կարող էինք ընտրել մեզ անհրաժեշտ դեմքերը: Այնուամենայնիվ, մենք այնուհետև հրաժարվեցինք այս տարբերակից, քանի որ պոտենցիալ հաքերը կարող էր օգտագործել պատկերների հակադարձ որոնում և բացահայտել, որ մեր «աշխատակիցները» ապրում են միայն ֆոտոբանկերում: Ի վերջո, մենք օգտագործեցինք գոյություն չունեցող մարդկանց լուսանկարներ, որոնք ստեղծվել էին նեյրոնային ցանցերի միջոցով:
Կայքում հրապարակված աշխատակիցների պրոֆիլները կարևոր տեղեկություններ էին պարունակում նրանց տեխնիկական հմտությունների մասին, սակայն մենք խուսափեցինք բացահայտել կոնկրետ դպրոցներ կամ քաղաքներ:
Փոստարկղեր ստեղծելու համար մենք օգտագործեցինք հոսթինգ մատակարարի սերվերը, այնուհետև Միացյալ Նահանգներում վարձակալեցինք մի քանի հեռախոսահամարներ և միավորեցինք դրանք վիրտուալ PBX-ի մեջ՝ ձայնային ընտրացանկով և ինքնապատասխանիչով:
Honeypot ենթակառուցվածք
Շփվելուց խուսափելու համար մենք որոշեցինք օգտագործել իրական արդյունաբերական սարքավորումների, ֆիզիկական համակարգիչների և անվտանգ վիրտուալ մեքենաների համադրություն: Նայելով առաջ՝ կասենք, որ ստուգել ենք մեր ջանքերի արդյունքը՝ օգտագործելով Shodan որոնողական համակարգը, և այն ցույց է տվել, որ honeypot-ն իրական արդյունաբերական համակարգի տեսք ունի։
Honeypot-ի սկանավորման արդյունքը Shodan-ի միջոցով: Աղբյուր՝ Trend Micro
Մենք օգտագործեցինք չորս PLC որպես ապարատ մեր թակարդի համար.
- Siemens S7-1200,
- երկու AllenBradley MicroLogix 1100,
- Օմրոն CP1L.
Այս PLC-ները ընտրվել են համաշխարհային կառավարման համակարգերի շուկայում իրենց ժողովրդականության համար: Եվ այս վերահսկիչներից յուրաքանչյուրն օգտագործում է իր սեփական արձանագրությունը, որը թույլ է տալիս ստուգել, թե PLC-ներից որն է ավելի հաճախ հարձակման ենթարկվելու, և արդյոք դրանք որևէ մեկին սկզբունքորեն կհետաքրքրե՞ն:
Մեր «գործարանի» թակարդի սարքավորում. Աղբյուրը՝ Trend Micro
Մենք պարզապես չենք տեղադրել սարքավորումներ և միացրել այն ինտերնետին: Մենք ծրագրավորել ենք յուրաքանչյուր վերահսկիչ առաջադրանքներ կատարելու համար, այդ թվում
- խառնում,
- այրիչի և փոխակրիչի հսկողություն,
- պալետավորում ռոբոտային մանիպուլյատորի միջոցով:
Եվ արտադրական գործընթացն իրատեսական դարձնելու համար մենք ծրագրավորեցինք տրամաբանությունը՝ պատահականորեն փոխելու հետադարձ կապի պարամետրերը, մոդելավորելու շարժիչների գործարկումն ու կանգառը, և այրիչների միացումը և անջատումը:
Մեր գործարանն ուներ երեք վիրտուալ համակարգիչ և մեկ ֆիզիկական: Վիրտուալ համակարգիչներն օգտագործվում էին գործարանը կառավարելու համար, պալետիզատոր ռոբոտը և որպես PLC ծրագրային ապահովման ինժեների աշխատակայան: Ֆիզիկական համակարգիչը աշխատում էր որպես ֆայլերի սերվեր:
Բացի PLC-ների վրա հարձակումների մոնիտորինգից, մենք ցանկանում էինք վերահսկել մեր սարքերում բեռնված ծրագրերի կարգավիճակը: Դա անելու համար մենք ստեղծեցինք ինտերֆեյս, որը թույլ տվեց մեզ արագ որոշել, թե ինչպես են փոփոխվել մեր վիրտուալ ակտուատորների և տեղադրումների վիճակները: Արդեն պլանավորման փուլում մենք պարզեցինք, որ դա շատ ավելի հեշտ է իրականացնել կառավարման ծրագրի միջոցով, քան վերահսկիչի տրամաբանության ուղղակի ծրագրավորման միջոցով: Մենք բացեցինք մուտք դեպի մեր honeypot-ի սարքի կառավարման ինտերֆեյսը VNC-ի միջոցով՝ առանց գաղտնաբառի:
Արդյունաբերական ռոբոտները ժամանակակից խելացի արտադրության հիմնական բաղադրիչն են: Այս առումով մենք որոշեցինք մեր թակարդի գործարանի սարքավորումներին ավելացնել ռոբոտ և ավտոմատացված աշխատատեղ՝ այն կառավարելու համար։ «Գործարանն» ավելի իրատեսական դարձնելու համար մենք իրական ծրագրակազմ տեղադրեցինք կառավարման աշխատակայանում, որը ինժեներներն օգտագործում են ռոբոտի տրամաբանությունը գրաֆիկորեն ծրագրավորելու համար: Դե, քանի որ արդյունաբերական ռոբոտները սովորաբար տեղակայված են մեկուսացված ներքին ցանցում, մենք որոշեցինք VNC-ի միջոցով անպաշտպան մուտքը թողնել միայն կառավարման աշխատակայան:
RobotStudio միջավայր մեր ռոբոտի 3D մոդելով: Աղբյուր՝ Trend Micro
Մենք տեղադրել ենք RobotStudio ծրագրավորման միջավայրը ABB Robotics-ից վիրտուալ մեքենայի վրա՝ ռոբոտի կառավարման աշխատակայանով: Կազմաձևելով RobotStudio-ն՝ մենք բացեցինք սիմուլյացիոն ֆայլ՝ մեր ռոբոտի մեջ, որպեսզի էկրանին տեսանելի լինի նրա 3D պատկերը։ Արդյունքում, Shodan-ը և այլ որոնման համակարգերը, հայտնաբերելով անապահով VNC սերվեր, կվերցնեն այս էկրանի պատկերը և ցույց կտան այն նրանց, ովքեր փնտրում են արդյունաբերական ռոբոտներ՝ կառավարելու համար բաց հասանելիությամբ:
Մանրուքների նկատմամբ այս ուշադրության նպատակը հարձակվողների համար գրավիչ և իրատեսական թիրախ ստեղծելն էր, ովքեր այն գտնելուց հետո նորից ու նորից կվերադառնան դրան:
Ինժեների աշխատատեղ
PLC տրամաբանությունը ծրագրավորելու համար մենք ենթակառուցվածքին ավելացրինք ինժեներական համակարգիչ: Դրա վրա տեղադրվել է PLC ծրագրավորման արդյունաբերական ծրագրակազմ.
- TIA պորտալ Siemens-ի համար,
- MicroLogix Allen-Bradley կարգավորիչի համար,
- CX-One Օմրոնի համար:
Մենք որոշեցինք, որ ինժեներական աշխատանքային տարածքը հասանելի չի լինի ցանցից դուրս: Փոխարենը, մենք ադմինիստրատորի հաշվի համար սահմանեցինք նույն գաղտնաբառը, ինչ ռոբոտի կառավարման աշխատակայանում և գործարանային կառավարման աշխատակայանում, որը հասանելի է ինտերնետից: Այս կոնֆիգուրացիան բավականին տարածված է շատ ընկերություններում:
Ցավոք, չնայած մեր բոլոր ջանքերին, ոչ մի հարձակվող չհասավ ինժեների աշխատատեղին:
Ֆայլերի սերվեր
Մեզ այն պետք էր որպես խայծ հարձակվողների համար և որպես խաբեբաների գործարանում մեր սեփական «աշխատանքը» ապահովելու միջոց: Սա թույլ տվեց մեզ ֆայլեր կիսել մեր honeypot-ի հետ՝ օգտագործելով USB սարքեր՝ առանց հետք թողնելու honeypot ցանցում: Մենք տեղադրեցինք Windows 7 Pro-ը որպես օպերացիոն համակարգ ֆայլերի սերվերի համար, որտեղ մենք ստեղծեցինք ընդհանուր թղթապանակ, որը կարող է կարդալ և գրել բոլորը:
Սկզբում մենք չստեղծեցինք թղթապանակների և փաստաթղթերի հիերարխիա ֆայլերի սերվերի վրա: Այնուամենայնիվ, մենք ավելի ուշ հայտնաբերեցինք, որ հարձակվողները ակտիվորեն ուսումնասիրում էին այս թղթապանակը, ուստի որոշեցինք այն լրացնել տարբեր ֆայլերով: Դրա համար գրեցինք python սկրիպտ, որը տվյալ ընդլայնումներից մեկով ստեղծում էր պատահական չափի ֆայլ՝ բառարանի հիման վրա անուն կազմելով։
Գրավիչ ֆայլերի անուններ ստեղծելու սցենար: Աղբյուրը՝ Trend Micro
Սցենարը գործարկելուց հետո ստացանք ցանկալի արդյունքը շատ հետաքրքիր անուններով ֆայլերով լցված թղթապանակի տեսքով։
Սցենարի արդյունքը. Աղբյուրը՝ Trend Micro
Մոնիտորինգի միջավայր
Իրատեսական ընկերություն ստեղծելու համար այդքան ջանք գործադրելով՝ մենք պարզապես չէինք կարող մեզ թույլ տալ թերանալ մեր «այցելուներին» վերահսկելու միջավայրում: Մենք պետք է ստանայինք բոլոր տվյալները իրական ժամանակում՝ առանց հարձակվողները գիտակցելու, որ իրենց հետևում են:
Մենք դա իրականացրել ենք՝ օգտագործելով չորս USB դեպի Ethernet ադապտերներ, չորս SharkTap Ethernet ծորակներ, Raspberry Pi 3 և մեծ արտաքին սկավառակ: Մեր ցանցային դիագրամն այսպիսի տեսք ուներ.
Honeypot ցանցի դիագրամ մոնիտորինգի սարքավորումներով: Աղբյուրը՝ Trend Micro
Մենք տեղադրեցինք երեք SharkTap ծորակներ, որպեսզի վերահսկենք բոլոր արտաքին երթևեկությունը դեպի PLC, որը հասանելի է միայն ներքին ցանցից: Չորրորդ SharkTap-ը վերահսկում էր խոցելի վիրտուալ մեքենայի հյուրերի երթեւեկությունը:
SharkTap Ethernet Tap և Sierra Wireless AirLink RV50 երթուղիչ: Աղբյուր՝ Trend Micro
Raspberry Pi-ն իրականացրել է ամենօրյա երթեւեկության գրավում: Մենք միացանք ինտերնետին՝ օգտագործելով Sierra Wireless AirLink RV50 բջջային երթուղիչը, որը հաճախ օգտագործվում է արդյունաբերական ձեռնարկություններում:
Ցավոք, այս երթուղիչը մեզ թույլ չտվեց ընտրողաբար արգելափակել մեր պլաններին չհամապատասխանող հարձակումները, ուստի մենք թափանցիկ ռեժիմով ցանցին ավելացրինք Cisco ASA 5505 firewall՝ ցանցի վրա նվազագույն ազդեցությամբ արգելափակում իրականացնելու համար:
Երթևեկության վերլուծություն
Tshark-ը և tcpdump-ը տեղին են ընթացիկ խնդիրները արագ լուծելու համար, բայց մեր դեպքում դրանց հնարավորությունները բավարար չէին, քանի որ մենք ունեինք բազմաթիվ գիգաբայթ տրաֆիկ, որոնք վերլուծվել էին մի քանի մարդկանց կողմից: Մենք օգտագործեցինք բաց կոդով Moloch անալիզատորը, որը մշակվել է AOL-ի կողմից: Այն ֆունկցիոնալությամբ համեմատելի է Wireshark-ի հետ, բայց ունի ավելի շատ հնարավորություններ համագործակցության, փաթեթների նկարագրման և պիտակավորման, արտահանման և այլ առաջադրանքների համար:
Քանի որ մենք չէինք ցանկանում մշակել հավաքագրված տվյալները honeypot համակարգիչների վրա, PCAP աղբարկղերը ամեն օր արտահանվում էին AWS պահեստ, որտեղից մենք արդեն ներմուծում էինք դրանք Moloch մեքենայի վրա:
Էկրանի ձայնագրում
Հաքերների գործողությունները մեր honeypot-ում փաստագրելու համար մենք գրեցինք սկրիպտ, որը որոշակի ընդմիջումով նկարում էր վիրտուալ մեքենայի սքրինշոթերը և, համեմատելով այն նախորդ սքրինշոթի հետ, որոշեց՝ այնտեղ ինչ-որ բան է կատարվում, թե ոչ: Երբ հայտնաբերվեց ակտիվություն, սցենարը ներառում էր էկրանի ձայնագրում: Այս մոտեցումը պարզվեց, որ ամենաարդյունավետն է։ Մենք նաև փորձեցինք վերլուծել VNC երթևեկությունը PCAP աղբավայրից՝ հասկանալու համար, թե ինչ փոփոխություններ են տեղի ունեցել համակարգում, բայց ի վերջո մեր իրականացրած էկրանի ձայնագրությունը պարզվեց ավելի պարզ և տեսողական:
VNC նիստերի մոնիտորինգ
Դրա համար մենք օգտագործեցինք Chaosreader-ը և VNCLogger-ը: Երկու կոմունալ ծառայություններն էլ ստեղնաշարերը հանում են PCAP աղբանոցից, բայց VNCLogger-ն ավելի ճիշտ է մշակում Backspace, Enter, Ctrl ստեղները:
VNCLogger-ն ունի երկու թերություն. Նախ. այն կարող է միայն ստեղներ հանել՝ «լսելով» երթևեկությունը ինտերֆեյսի վրա, ուստի մենք ստիպված էինք դրա համար նմանակել VNC նիստը՝ օգտագործելով tcpreplay: VNCLogger-ի երկրորդ թերությունը սովորական է Chaosreader-ի հետ՝ երկուսն էլ չեն ցուցադրում clipboard-ի բովանդակությունը: Դա անելու համար ես ստիպված էի օգտագործել Wireshark-ը:
Մենք հրապուրում ենք հաքերներին
Մենք ստեղծել ենք honeypot, որպեսզի հարձակվենք: Դրան հասնելու համար մենք կազմակերպեցինք տեղեկատվական արտահոսք՝ գրավելու պոտենցիալ հարձակվողների ուշադրությունը: Honeypot-ի վրա բացվել են հետևյալ նավահանգիստները.
RDP նավահանգիստը պետք է փակվեր ուղիղ եթեր դուրս գալուց անմիջապես հետո, քանի որ մեր ցանցի սկանավորման երթևեկության ահռելի քանակությունը աշխատանքի հետ կապված խնդիրներ էր առաջացնում:
VNC տերմինալները սկզբում աշխատեցին միայն դիտման ռեժիմում՝ առանց գաղտնաբառի, այնուհետև մենք «սխալմամբ» դրանք փոխեցինք ամբողջական մուտքի ռեժիմի:
Հարձակվողներին գրավելու համար մենք տեղադրեցինք երկու գրառում PasteBin-ում առկա արդյունաբերական համակարգի մասին արտահոսող տեղեկություններով:
PasteBin-ում գրոհներ գրավելու համար տեղադրված գրառումներից մեկը։ Աղբյուրը՝ Trend Micro
հարձակումներ
Honeypot-ն առցանց է ապրել մոտ յոթ ամիս: Առաջին հարձակումը տեղի է ունեցել honeypot-ի ցանցում հայտնվելուց մեկ ամիս անց:
Սկաներներ
Շատ մեծ տրաֆիկ կար հայտնի ընկերությունների սկաներներից՝ ip-ip, Rapid, Shadow Server, Shodan, ZoomEye և այլն։ Նրանք այնքան շատ էին, որ մենք ստիպված եղանք վերլուծությունից բացառել նրանց IP հասցեները. 610-ից 9452-ը կամ բոլոր եզակի IP հասցեների 6,45%-ը պատկանում էին լիովին օրինական սկաներներին:
Scammers
Ամենամեծ ռիսկերից մեկը, որին մենք հանդիպել ենք, մեր համակարգի օգտագործումն է հանցավոր նպատակներով՝ սմարթֆոններ գնել բաժանորդի հաշվի միջոցով, կանխիկացնել ավիաընկերության մղոնները՝ օգտագործելով նվեր քարտեր և այլ տեսակի խարդախություններ:
Հանքագործներ
Պարզվեց, որ մեր համակարգի առաջին այցելուներից մեկը հանքափոր էր: Նա դրա վրա ներբեռնեց Monero մայնինգ ծրագրակազմը: Նա չէր կարողանա շատ գումար վաստակել մեր կոնկրետ համակարգի վրա ցածր արտադրողականության պատճառով: Այնուամենայնիվ, եթե միավորենք մի քանի տասնյակ կամ նույնիսկ հարյուրավոր նման համակարգերի ջանքերը, դա կարող է բավականին լավ ստացվել։
Փրկագին
Honeypot-ի աշխատանքի ընթացքում մենք երկու անգամ հանդիպեցինք իրական փրկագին վիրուսների։ Առաջին դեպքում դա Crysis-ն էր։ Դրա օպերատորները մուտք են գործել համակարգ VNC-ի միջոցով, բայց հետո տեղադրել TeamViewer-ը և օգտագործել այն հետագա գործողություններ կատարելու համար: ԲԹՋ-ում 10 դոլար փրկագին պահանջող շորթման հաղորդագրության սպասելուց հետո մենք նամակագրության մեջ մտանք հանցագործների հետ՝ խնդրելով մեզ վերծանել ֆայլերից մեկը։ Նրանք կատարել են խնդրանքը և կրկնել փրկագնի պահանջը։ Մեզ հաջողվեց բանակցել մինչև 6 հազար դոլարի շուրջ, որից հետո մենք պարզապես նորից վերբեռնեցինք համակարգը վիրտուալ մեքենայի վրա, քանի որ ստացանք բոլոր անհրաժեշտ տեղեկությունները։
Երկրորդ փրկագին պարզվեց, որ Phobos-ն է: Հաքերը, ով տեղադրեց այն, մեկ ժամ անցկացրեց honeypot ֆայլային համակարգը զննելով և սկանավորելով ցանցը, իսկ հետո վերջապես տեղադրեց փրկագին:
Երրորդ փրկագին հարձակումը կեղծ էր։ Անհայտ «հակերը» ներբեռնեց haha.bat ֆայլը մեր համակարգ, որից հետո մենք որոշ ժամանակ դիտեցինք, թե ինչպես նա փորձում էր այն գործի դնել: Փորձերից էր haha.bat-ը վերանվանել haha.rnsmwr:
«Հաքերը» մեծացնում է bat ֆայլի վնասակարությունը՝ փոխելով դրա ընդլայնումը .rnsmwr: Աղբյուր՝ Trend Micro
Երբ խմբաքանակի ֆայլը վերջապես սկսեց աշխատել, «հակերը» խմբագրեց այն՝ փրկագինը $200-ից հասցնելով $750-ի։ Դրանից հետո նա «կոդավորեց» բոլոր ֆայլերը, աշխատասեղանին թողեց շորթման հաղորդագրություն և անհետացավ՝ փոխելով մեր VNC-ի գաղտնաբառերը։
Մի քանի օր անց հաքերը վերադարձավ և, հիշեցնելու համար, գործարկեց խմբաքանակային ֆայլ, որը բացեց բազմաթիվ պատուհաններ պոռնոկայքի հետ: Ըստ ամենայնի, նա այս կերպ փորձել է ուշադրություն հրավիրել իր պահանջի վրա։
Արդյունքները
Հետազոտության ընթացքում պարզվել է, որ խոցելիության մասին տեղեկությունները հրապարակվելուն պես՝ honeypot-ը ուշադրություն է գրավել, որի ակտիվությունն օրեցօր աճում է։ Որպեսզի ծուղակը ուշադրություն գրավեր, մեր ֆիկտիվ ընկերությունը ստիպված էր ենթարկվել անվտանգության բազմաթիվ խախտումների: Ցավոք սրտի, այս իրավիճակը շատ հազվադեպ չէ իրական ընկերությունների շրջանում, որոնք չունեն ՏՏ և տեղեկատվական անվտանգության լրիվ դրույքով աշխատողներ:
Ընդհանրապես, կազմակերպությունները պետք է կիրառեն նվազագույն արտոնության սկզբունքը, մինչդեռ մենք իրականացրել ենք դրա ճիշտ հակառակը՝ հարձակվողներին գրավելու համար։ Եվ որքան երկար էինք դիտում հարձակումները, այնքան դրանք ավելի բարդ էին դառնում՝ համեմատած ստանդարտ ներթափանցման փորձարկման մեթոդների հետ:
Եվ ամենակարևորը, այս բոլոր հարձակումները կտապալվեին, եթե ցանցը կարգավորելիս կիրառվեին անվտանգության համապատասխան միջոցներ: Կազմակերպությունները պետք է ապահովեն, որ իրենց սարքավորումները և արդյունաբերական ենթակառուցվածքի բաղադրիչները հասանելի չլինեն ինտերնետից, ինչպես մենք հատուկ արեցինք մեր թակարդում:
Թեև մենք ոչ մի հարձակում չենք գրանցել ինժեների աշխատակայանի վրա, չնայած բոլոր համակարգիչների վրա նույն տեղական ադմինիստրատորի գաղտնաբառի օգտագործմանը, այս պրակտիկայից պետք է խուսափել, որպեսզի նվազագույնի հասցվի ներխուժման հնարավորությունը: Ի վերջո, թույլ անվտանգությունը ծառայում է որպես լրացուցիչ հրավեր՝ հարձակվելու արդյունաբերական համակարգերի վրա, որոնք վաղուց հետաքրքրում են կիբերհանցագործներին։
Source: www.habr.com