Perusahaan antivirus, pakar keamanan informasi, dan hanya penggemar yang mengekspos sistem honeypot di Internet untuk "menangkap umpan langsung" dari berbagai virus baru atau mengungkap taktik peretas yang tidak biasa. Honeypot sangat umum sehingga penjahat dunia maya telah mengembangkan semacam kekebalan: mereka dengan cepat mengidentifikasi bahwa ada jebakan di depan mereka dan mengabaikannya begitu saja. Untuk menjelajahi taktik peretas modern, kami membuat honeypot realistis yang hidup di Internet selama tujuh bulan, menarik berbagai serangan. Bagaimana itu, kami ceritakan dalam penelitian kami "". Beberapa fakta dari penelitian tersebut ada di postingan ini.
Pengembangan Honeypot: Daftar Periksa
Tugas utama dalam membuat supertrap kami bukanlah membiarkan kami diekspos oleh peretas yang menunjukkan minat padanya. Butuh banyak pekerjaan untuk melakukan ini:
- Buat legenda realistis tentang perusahaan, termasuk nama lengkap dan foto karyawan, nomor telepon, dan email.
- Ciptakan dan terapkan model infrastruktur industri yang sesuai dengan legenda aktivitas perusahaan kami.
- Putuskan layanan jaringan mana yang akan tersedia dari luar, tetapi jangan terbawa oleh pembukaan port yang rentan agar tidak terlihat seperti jebakan untuk simps.
- Atur tampilan kebocoran informasi tentang sistem yang rentan dan sebarkan informasi ini di antara calon penyerang.
- Laksanakan pemantauan diam-diam atas tindakan peretas dalam infrastruktur jebakan.
Dan sekarang tentang segala sesuatu dalam rangka.
Buat legenda
Penjahat dunia maya sudah terbiasa melihat banyak honeypot, jadi bagian paling maju dari mereka melakukan studi mendalam terhadap setiap sistem yang rentan untuk memastikan bahwa ini bukan jebakan. Untuk alasan yang sama, kami ingin membuat honeypot tidak hanya realistis dalam hal desain dan aspek teknis, tetapi juga untuk menciptakan tampilan perusahaan yang nyata.
Menempatkan diri kami sebagai hipotetis coolhacker, kami mengembangkan algoritme verifikasi yang memungkinkan kami membedakan sistem nyata dari jebakan. Itu termasuk mencari alamat IP perusahaan dalam sistem reputasi, meneliti balik sejarah alamat IP, mencari nama dan kata kunci yang terkait dengan perusahaan, serta rekanannya, dan banyak hal lainnya. Alhasil, sang legenda ternyata cukup meyakinkan dan atraktif.
Kami memutuskan untuk memposisikan pabrik jebakan sebagai butik pembuatan prototipe industri kecil, yang bekerja untuk klien anonim yang sangat besar dari segmen militer dan penerbangan. Ini menyelamatkan kami dari kerumitan hukum yang terkait dengan penggunaan merek yang sudah ada.
Selanjutnya, kami harus memikirkan visi, misi, dan nama organisasi. Kami memutuskan bahwa perusahaan kami akan menjadi startup dengan jumlah karyawan yang sedikit, yang masing-masing adalah seorang pendiri. Hal ini menambah kredibilitas legenda spesialisasi bisnis kami, yang memungkinkannya bekerja dengan proyek rumit untuk pelanggan besar dan penting. Kami ingin membuat perusahaan kami terlihat lemah dalam hal keamanan dunia maya, tetapi pada saat yang sama jelas bahwa kami bekerja dengan aset penting dalam sistem target.
Cuplikan layar situs web honeypot MeTech. Sumber: Trend Micro
Kami telah memilih kata MeTech sebagai nama perusahaan. Situs ini dibuat berdasarkan template gratis. Gambar diambil dari photobank, menggunakan yang paling tidak populer dan memodifikasinya agar kurang dikenali.
Kami ingin perusahaan terlihat nyata, jadi kami perlu menambah karyawan dengan keterampilan profesional yang sesuai dengan profil kegiatan. Kami memberikan nama dan identitas untuk mereka, lalu mencoba memilih gambar dari bank foto menurut etnis.
Cuplikan layar situs web honeypot MeTech. Sumber: Trend Micro
Agar tidak ketahuan, kami mencari foto grup berkualitas baik untuk memilih wajah yang kami butuhkan. Namun, kami kemudian mengabaikan opsi ini, karena calon peretas dapat menggunakan pencarian gambar terbalik dan menemukan bahwa "karyawan" kami hanya tinggal di bank foto. Pada akhirnya, kami menggunakan foto orang yang tidak ada yang dibuat menggunakan jaringan saraf.
Profil karyawan yang dipublikasikan di situs berisi informasi penting tentang keterampilan teknis mereka, tetapi kami menghindari menyebutkan lembaga dan kota pendidikan tertentu.
Untuk membuat kotak surat, kami menggunakan server penyedia hosting, lalu menyewa beberapa nomor telepon di Amerika Serikat dan menggabungkannya menjadi PBX virtual dengan menu suara dan mesin penjawab.
Infrastruktur honeypot
Untuk menghindari paparan, kami memutuskan untuk menggunakan kombinasi perangkat keras industri nyata, komputer fisik, dan mesin virtual yang aman. Ke depan, kami memeriksa hasil upaya kami menggunakan mesin pencari Shodan, dan itu menunjukkan bahwa honeypot terlihat seperti sistem industri nyata.
Hasil pemindaian honeypot dengan Shodan. Sumber: Trend Micro
Kami menggunakan empat PLC sebagai perangkat keras untuk perangkap kami:
- Siemen S7-1200,
- dua Allen-Bradley MicroLogix 1100s,
- Omron CP1L.
PLC ini dipilih karena popularitasnya di pasar sistem kontrol global. Dan masing-masing pengontrol ini menggunakan protokolnya sendiri, yang memungkinkan kami untuk memeriksa PLC mana yang akan lebih sering diserang dan apakah pada prinsipnya akan menarik bagi siapa pun.
Peralatan "pabrik" kami adalah jebakan. Sumber: Trend Micro
Kami tidak hanya memasang potongan besi dan menghubungkannya ke Internet. Kami memprogram setiap pengontrol untuk melakukan tugas, di antaranya adalah
- percampuran,
- kontrol burner dan ban berjalan,
- palletizing menggunakan lengan robot.
Dan untuk membuat proses produksi menjadi realistis, kami memprogram logika untuk mengubah parameter umpan balik secara acak, mensimulasikan start dan stop motor, menyalakan dan mematikan burner.
Pabrik kami memiliki tiga komputer virtual dan satu fisik. Mesin virtual digunakan untuk mengontrol pabrik, robot pembuat palet, dan sebagai stasiun kerja insinyur perangkat lunak PLC. Komputer fisik bekerja sebagai server file.
Selain memantau serangan pada PLC, kami ingin memantau status program yang diunduh ke perangkat kami. Untuk melakukan ini, kami membuat antarmuka yang memungkinkan kami menentukan dengan cepat bagaimana status aktuator dan instalasi virtual kami dimodifikasi. Sudah pada tahap perencanaan, kami menemukan bahwa mengimplementasikannya dengan program kontrol jauh lebih mudah daripada melalui pemrograman langsung dari logika pengontrol. Kami membuka akses ke antarmuka manajemen perangkat honeypot kami melalui VNC tanpa kata sandi.
Robot industri adalah komponen kunci manufaktur cerdas modern. Dalam hal ini, kami memutuskan untuk menambahkan robot dan workstation untuk mengendalikannya ke peralatan pabrik perangkap kami. Untuk membuat "pabrik" lebih realistis, kami memasang perangkat lunak nyata di stasiun kerja kontrol, yang digunakan para insinyur untuk pemrograman grafis dari logika robot. Nah, karena robot industri biasanya berada di jaringan internal yang terisolasi, kami memutuskan untuk meninggalkan akses tidak aman melalui VNC hanya ke stasiun kerja kontrol.
Lingkungan RobotStudio dengan model 3D robot kami. Sumber: Trend Micro
Pada mesin virtual dengan workstation kontrol robot, kami memasang lingkungan pemrograman RobotStudio dari ABB Robotics. Setelah mengatur RobotStudio, kami membuka file simulasi dengan robot kami di dalamnya sehingga gambar 3Dnya dapat dilihat di layar. Akibatnya, Shodan dan mesin pencari lainnya, ketika mereka menemukan server VNC yang tidak aman, akan mendapatkan gambar layar ini dan menunjukkannya kepada mereka yang mencari robot industri dengan akses kontrol terbuka.
Inti dari perhatian terhadap detail ini adalah untuk menciptakan target yang menarik dan serealistis mungkin bagi penyerang yang, setelah menemukannya, akan kembali lagi dan lagi.
Stasiun kerja insinyur
Untuk memprogram logika PLC, kami menambahkan komputer teknik ke infrastruktur. Perangkat lunak industri untuk pemrograman PLC dipasang di atasnya:
- Portal TIA untuk Siemens,
- MicroLogix untuk pengontrol Allen-Bradley,
- CX-One untuk Omron.
Kami telah memutuskan bahwa tempat kerja teknik tidak akan tersedia di luar jaringan. Sebagai gantinya, kami menyetel kata sandi yang sama untuk akun administrator di dalamnya seperti di stasiun kerja kontrol robot yang dapat diakses Internet dan stasiun kerja kontrol pabrik. Konfigurasi ini cukup umum di banyak perusahaan.
Sayangnya, terlepas dari semua upaya kami, tidak ada satu pun penyerang yang mencapai stasiun kerja insinyur.
Server file
Kami membutuhkannya sebagai umpan bagi penyusup dan sebagai sarana untuk mendukung "pekerjaan" kami sendiri di pabrik perangkap. Ini memungkinkan kami untuk berbagi file dengan honeypot kami menggunakan perangkat USB tanpa meninggalkan jejak di jaringan jebakan. Sebagai OS untuk server file, kami menginstal Windows 7 Pro, di mana kami menyediakan folder bersama untuk dibaca dan ditulis oleh siapa saja.
Pada awalnya, kami tidak membuat hierarki folder dan dokumen apa pun di server file. Namun, belakangan ternyata penyerang aktif mempelajari folder ini, jadi kami memutuskan untuk mengisinya dengan berbagai file. Untuk melakukan ini, kami menulis skrip python yang membuat file berukuran acak dengan salah satu ekstensi yang diberikan, membentuk nama berdasarkan kamus.
Script untuk menghasilkan nama file yang menarik. Sumber: Trend Micro
Setelah menjalankan skrip, kami mendapatkan hasil yang diinginkan berupa folder berisi file dengan nama yang sangat menarik.
Hasil dari naskah. Sumber: Trend Micro
Lingkungan pemantauan
Setelah berusaha keras untuk menciptakan perusahaan yang realistis, kami tidak dapat gagal dalam lingkungan untuk memantau "pengunjung" kami. Kami perlu mendapatkan semua data secara real time sedemikian rupa sehingga penyerang tidak menyadari bahwa mereka sedang diawasi.
Kami melakukan ini menggunakan empat adaptor USB ke Ethernet, empat tap SharkTap Ethernet, Raspberry Pi 3, dan drive eksternal yang besar. Diagram jaringan kami terlihat seperti ini:
Diagram jaringan Honeypot dengan peralatan pemantauan. Sumber: Trend Micro
Kami memposisikan ketiga tap SharkTap sedemikian rupa untuk memantau semua lalu lintas eksternal ke PLC, yang hanya dapat diakses dari jaringan internal. SharkTap keempat melacak lalu lintas tamu dari mesin virtual yang rentan.
Keran SharkTap Ethernet dan router Sierra Wireless AirLink RV50. Sumber: Trend Micro
Raspberry Pi melakukan penangkapan lalu lintas harian. Kami terhubung ke Internet menggunakan router seluler Sierra Wireless AirLink RV50, yang sering digunakan di perusahaan industri.
Sayangnya, router ini tidak mengizinkan kami untuk memblokir serangan yang tidak sesuai dengan rencana kami secara selektif, jadi kami menambahkan firewall Cisco ASA 5505 ke jaringan dalam mode transparan untuk memblokir dengan dampak minimal pada jaringan.
Analisis lalu lintas
Tshark dan tcpdump sesuai untuk menyelesaikan masalah saat ini dengan cepat, tetapi dalam kasus kami kemampuannya tidak cukup, karena kami memiliki banyak gigabyte lalu lintas, yang dianalisis oleh beberapa orang. Kami menggunakan penganalisa Moloch sumber terbuka yang dikembangkan oleh AOL. Dalam hal fungsionalitas, ini sebanding dengan Wireshark, tetapi memiliki lebih banyak opsi untuk kolaborasi, mendeskripsikan dan menandai paket, mengekspor, dan tugas lainnya.
Karena kami tidak ingin memproses data yang dikumpulkan pada mesin honeypot, dump PCAP diekspor setiap hari ke penyimpanan AWS, dari mana kami telah mengimpornya ke mesin Moloch.
Rekaman layar
Untuk mendokumentasikan tindakan peretas di honeypot kami, kami menulis skrip yang mengambil tangkapan layar mesin virtual pada interval tertentu dan, membandingkannya dengan tangkapan layar sebelumnya, menentukan apakah ada sesuatu yang terjadi di sana atau tidak. Saat aktivitas terdeteksi, skrip mengaktifkan perekaman layar. Pendekatan ini terbukti paling efektif. Kami juga mencoba menganalisis lalu lintas VNC dari dump PCAP untuk memahami perubahan apa yang terjadi pada sistem, tetapi pada akhirnya, perekaman layar yang kami terapkan ternyata lebih sederhana dan lebih visual.
Memantau sesi VNC
Untuk ini kami menggunakan Chaosreader dan VNCLogger. Kedua utilitas mengekstrak penekanan tombol dari dump PCAP, tetapi VNCLogger menangani kunci seperti Backspace, Enter, Ctrl dengan lebih tepat.
VNCLogger memiliki dua kelemahan. Pertama, itu hanya dapat mengambil kunci dengan "mendengarkan" lalu lintas di antarmuka, jadi kami harus mensimulasikan sesi VNC untuk itu menggunakan tcpreplay. Kelemahan kedua VNCLogger sama dengan Chaosreader: keduanya tidak menampilkan konten clipboard. Untuk ini saya harus menggunakan Wireshark.
Kami memikat peretas
Kami membuat honeypot untuk diserang. Untuk mencapai ini, kami melakukan kebocoran informasi yang dirancang untuk menarik perhatian calon peretas. Port berikut telah dibuka di honeypot:
Port RDP harus ditutup segera setelah mulai bekerja, karena banyaknya lalu lintas pemindaian di jaringan kami, ada masalah kinerja.
Terminal VNC pertama kali bekerja dalam mode "hanya lihat" tanpa kata sandi, dan kemudian kami "secara tidak sengaja" mengalihkannya ke mode akses penuh.
Untuk menarik penyerang, kami memposting dua postingan dengan informasi "bocoran" tentang sistem industri yang tersedia di PasteBin.
Salah satu postingan yang diposting di PasteBin untuk menarik serangan. Sumber: Trend Micro
Serangan
Honeypot hidup online selama sekitar tujuh bulan. Serangan pertama terjadi sebulan setelah honeypot online.
Pemindai
Ada banyak lalu lintas dari pemindai perusahaan terkenal - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye, dan lainnya. Ada begitu banyak dari mereka sehingga kami harus mengecualikan alamat IP mereka dari analisis: 610 dari 9452 atau 6,45% dari semua alamat IP unik milik pemindai yang sepenuhnya sah.
Scammers
Salah satu risiko terbesar yang kami hadapi adalah penggunaan sistem kami untuk tujuan kriminal: membeli smartphone melalui akun pelanggan, mencairkan miles maskapai menggunakan kartu hadiah, dan jenis penipuan lainnya
Penambang
Salah satu pengunjung pertama sistem kami ternyata adalah seorang penambang. Dia memuatnya dengan perangkat lunak penambangan Monero. Dia tidak akan bisa mendapatkan banyak uang dari sistem khusus kami karena kinerjanya yang rendah. Namun, jika kita menggabungkan upaya dari beberapa puluh atau bahkan ratusan sistem seperti itu, hasilnya bisa cukup baik.
Ransomware
Selama pengoperasian honeypot, kami menemukan virus ransomware nyata dua kali. Dalam kasus pertama, itu adalah Crysis. Operatornya masuk ke sistem melalui VNC, tetapi kemudian menginstal TeamViewer dan menggunakannya untuk melakukan tindakan lebih lanjut. Setelah menunggu pesan berlebihan yang menuntut tebusan $10 dalam BTC, kami melakukan korespondensi dengan penjahat, meminta mereka mendekripsi salah satu file untuk kami. Mereka memenuhi permintaan tersebut dan mengulangi permintaan tebusan. Kami berhasil menawar hingga 6 ribu dolar, setelah itu kami cukup mengunggah sistem ke mesin virtual, karena kami menerima semua informasi yang diperlukan.
Ransomware kedua adalah Phobos. Peretas yang menginstalnya melewati sistem file honeypot dan memindai jaringan selama satu jam, lalu menginstal ransomware.
Serangan ransomware ketiga ternyata palsu. Seorang "peretas" yang tidak dikenal mengunduh file haha.bat ke sistem kami, setelah itu kami menonton sebentar saat dia mencoba membuatnya berfungsi. Salah satu upaya adalah mengganti nama haha.bat menjadi haha.rnsmwr.
"Peretas" meningkatkan kejahatan file kelelawar dengan mengubah ekstensinya menjadi .rnsmwr. Sumber: Trend Micro
Ketika file batch akhirnya mulai berjalan, "peretas" mengeditnya, meningkatkan uang tebusan dari $200 menjadi $750. Setelah itu, dia "mengenkripsi" semua file, meninggalkan pesan berlebihan di desktop dan menghilang, mengubah kata sandi di VNC kami.
Beberapa hari kemudian, peretas kembali dan, untuk mengingatkan dirinya sendiri, meluncurkan file batch yang membuka banyak jendela dengan situs porno. Rupanya, dengan cara ini dia mencoba menarik perhatian atas permintaannya.
Hasil
Selama penelitian, ternyata begitu informasi tentang kerentanan dipublikasikan, honeypot menarik perhatian, dan aktivitasnya bertambah dari hari ke hari. Agar jebakan tersebut menarik perhatian, banyak pelanggaran keamanan perusahaan fiktif kami harus dilakukan. Sayangnya, situasi ini jauh dari biasa di antara banyak perusahaan nyata yang tidak memiliki karyawan TI dan keamanan informasi penuh waktu.
Secara umum, organisasi harus menggunakan prinsip hak istimewa terkecil, sementara kami telah menerapkan kebalikannya untuk menarik penyerang. Dan semakin lama kami mengamati serangan, semakin canggih mereka dibandingkan dengan metode pengujian penetrasi standar.
Dan yang terpenting, semua serangan ini akan gagal jika langkah-langkah keamanan yang memadai diterapkan selama penyiapan jaringan. Organisasi harus memastikan bahwa peralatan dan komponen infrastruktur industri mereka tidak dapat diakses dari Internet, seperti yang kami lakukan secara khusus dalam perangkap kami.
Meskipun kami belum mencatat satu serangan pun pada stasiun kerja insinyur, meskipun menggunakan kata sandi administrator lokal yang sama di semua komputer, praktik ini harus dihindari untuk meminimalkan kemungkinan intrusi. Lagi pula, keamanan yang lemah berfungsi sebagai undangan tambahan untuk menyerang sistem industri yang telah lama menjadi perhatian penjahat dunia maya.
Sumber: www.habr.com