Vírusvarnarfyrirtæki, upplýsingaöryggissérfræðingar og einfaldlega áhugamenn setja honeypot-kerfi á internetið til að „grípa“ nýtt afbrigði af vírusnum eða bera kennsl á óvenjulegar tölvuþrjótaaðferðir. Hunangspottar eru svo algengir að netglæpamenn hafa þróað með sér eins konar friðhelgi: þeir þekkja fljótt að þeir eru fyrir framan gildru og hunsa hana einfaldlega. Til að kanna tækni nútíma tölvuþrjóta, bjuggum við til raunhæfan hunangspott sem lifði á netinu í sjö mánuði og laðaði að okkur ýmsar árásir. Við töluðum um hvernig þetta gerðist í rannsókninni okkar "" Nokkrar staðreyndir úr rannsókninni eru í þessari færslu.
Honeypot þróun: gátlisti
Aðalverkefnið við að búa til ofurgildru okkar var að koma í veg fyrir að við yrðum afhjúpuð af tölvuþrjótum sem sýndu henni áhuga. Þetta krafðist mikillar vinnu:
- Búðu til raunhæfa goðsögn um fyrirtækið, þar á meðal fullt nöfn og myndir af starfsmönnum, símanúmer og tölvupóst.
- Að koma með og innleiða líkan af iðnaðarinnviðum sem samsvarar goðsögninni um starfsemi fyrirtækisins okkar.
- Ákveðið hvaða netþjónusta verður aðgengileg utan frá, en látið ekki fara í taugarnar á því að opna viðkvæmar hafnir þannig að það líti ekki út eins og gildra fyrir sogskál.
- Skipuleggja sýnileika upplýsingaleka um viðkvæmt kerfi og dreifa þessum upplýsingum meðal hugsanlegra árásarmanna.
- Innleiða næði eftirlit með tölvuþrjótastarfsemi í honeypot innviðum.
Og nú um allt í röð og reglu.
Að búa til goðsögn
Netglæpamenn eru nú þegar vanir að lenda í mörgum hunangspottum, þannig að fullkomnasta hluti þeirra framkvæmir ítarlega rannsókn á hverju viðkvæmu kerfi til að ganga úr skugga um að það sé ekki gildra. Af sömu ástæðu var leitast við að tryggja að hunangspotturinn væri ekki aðeins raunhæfur með tilliti til hönnunar og tæknilegra þátta, heldur einnig til að skapa yfirbragð raunverulegs fyrirtækis.
Með því að setja okkur í spor ímyndaðs flotts tölvuþrjóta, þróuðum við sannprófunaralgrím sem myndi greina raunverulegt kerfi frá gildru. Það fól í sér leit að IP-tölum fyrirtækja í orðsporskerfum, öfugar rannsóknir á sögu IP-talna, leit að nöfnum og leitarorðum tengdum fyrirtækinu, sem og mótaðilum þess, og margt fleira. Fyrir vikið reyndist goðsögnin nokkuð sannfærandi og aðlaðandi.
Við ákváðum að staðsetja tálbeitingaverksmiðjuna sem litla iðnaðarfrumgerðaverslun sem starfar fyrir mjög stóra nafnlausa viðskiptavini í her- og flugmálahlutanum. Þetta leysti okkur undan lagalegum flækjum sem tengjast notkun núverandi vörumerkis.
Næst þurftum við að koma með framtíðarsýn, verkefni og nafn fyrir stofnunina. Við ákváðum að fyrirtækið okkar yrði sprotafyrirtæki með fáa starfsmenn, sem hver um sig er stofnandi. Þetta jók trúverðugleika við söguna um sérhæft eðli viðskipta okkar, sem gerir því kleift að takast á við viðkvæm verkefni fyrir stóra og mikilvæga viðskiptavini. Við vildum að fyrirtækið okkar virtist veikt út frá netöryggissjónarmiðum, en á sama tíma var augljóst að við vorum að vinna með mikilvægar eignir á markkerfum.
Skjáskot af MeTech honeypot vefsíðunni. Heimild: Trend Micro
Við völdum orðið MeTech sem nafn fyrirtækisins. Síðan var gerð út frá ókeypis sniðmáti. Myndirnar voru teknar úr ljósmyndabönkum, notaðar þær óvinsælustu og þeim breytt til að gera þær óþekkjanlegri.
Við vildum að fyrirtækið liti raunverulegt út og því þurftum við að bæta við starfsmönnum með faglega hæfileika sem passa við prófíl starfseminnar. Við fundum upp nöfn og persónur fyrir þá og reyndum svo að velja myndir úr myndabönkum eftir þjóðerni.
Skjáskot af MeTech honeypot vefsíðunni. Heimild: Trend Micro
Til að forðast að verða uppgötvuð leituðum við að góðum hópmyndum þar sem við gátum valið andlitin sem við þurftum. Hins vegar hættum við þennan valmöguleika þar sem hugsanlegur tölvuþrjótur gæti notað öfuga myndaleit og uppgötvað að „starfsmenn“ okkar búa aðeins í myndabönkum. Í lokin notuðum við ljósmyndir af fólki sem ekki var til með því að nota taugakerfi.
Starfsmannaprófílar sem birtir voru á síðunni innihéldu mikilvægar upplýsingar um tæknilega færni þeirra, en við forðumst að bera kennsl á sérstaka skóla eða borgir.
Til að búa til pósthólf notuðum við netþjón hýsingaraðila og leigðum síðan nokkur símanúmer í Bandaríkjunum og sameinuðum þau í sýndarsímstöð með raddvalmynd og símsvara.
Honeypot innviðir
Til að forðast útsetningu ákváðum við að nota blöndu af alvöru iðnaðarvélbúnaði, líkamlegum tölvum og öruggum sýndarvélum. Þegar horft er fram á veginn munum við segja að við höfum athugað árangur viðleitni okkar með Shodan leitarvélinni og hún sýndi að hunangspotturinn lítur út eins og alvöru iðnaðarkerfi.
Niðurstaðan af því að skanna hunangspott með Shodan. Heimild: Trend Micro
Við notuðum fjóra PLC sem vélbúnað fyrir gildruna okkar:
- Siemens S7-1200,
- tveir AllenBradley MicroLogix 1100,
- Omron CP1L.
Þessar PLCs voru valdar fyrir vinsældir þeirra á alþjóðlegum stjórnkerfismarkaði. Og hver þessara stýringa notar sína eigin siðareglur, sem gerði okkur kleift að athuga hvaða af PLCs yrði ráðist oftar og hvort þeir myndu vekja áhuga einhvers í grundvallaratriðum.
Búnaður í "verksmiðju"-gildru okkar. Heimild: Trend Micro
Við settum ekki bara upp vélbúnað og tengdum hann við internetið. Við forrituðum hvern stjórnanda til að framkvæma verkefni, þar á meðal
- blanda,
- stjórna brennara og færibands,
- bretti með því að nota vélmenni.
Og til að gera framleiðsluferlið raunhæft, forrituðum við rökfræði til að breyta endurgjöfarbreytum af handahófi, líkja eftir mótorum sem fara í gang og stoppa og brennara að kveikja og slökkva á.
Verksmiðjan okkar var með þrjár sýndartölvur og eina líkamlega. Sýndartölvur voru notaðar til að stjórna verksmiðju, palletizer vélmenni og sem vinnustöð fyrir PLC hugbúnaðarverkfræðing. Líkamlega tölvan virkaði sem skráaþjónn.
Auk þess að fylgjast með árásum á PLC, vildum við fylgjast með stöðu forrita sem hlaðið var á tæki okkar. Til að gera þetta bjuggum við til viðmót sem gerði okkur kleift að ákvarða fljótt hvernig ástandi sýndarstýringanna okkar og stillingum var breytt. Þegar á skipulagsstigi komumst við að því að það er miklu auðveldara að innleiða þetta með því að nota stýriprógram en með beinni forritun á stýringarrökfræðinni. Við opnuðum aðgang að tækjastjórnunarviðmóti hunangspottsins okkar í gegnum VNC án lykilorðs.
Iðnaðarvélmenni eru lykilþáttur í nútíma snjallframleiðslu. Í þessu sambandi ákváðum við að bæta vélmenni og sjálfvirkum vinnustað til að stjórna því við búnað gildruverksmiðjunnar okkar. Til að gera „verksmiðjuna“ raunsærri settum við upp raunverulegan hugbúnað á stýrivinnustöðinni, sem verkfræðingar nota til að forrita rökfræði vélmennisins á myndrænan hátt. Jæja, þar sem iðnaðarvélmenni eru venjulega staðsett í einangruðu innra neti, ákváðum við að skilja eftir óvarðan aðgang í gegnum VNC aðeins að stjórnunarvinnustöðinni.
RobotStudio umhverfi með þrívíddarlíkani af vélmenni okkar. Heimild: Trend Micro
Við settum upp RobotStudio forritunarumhverfið frá ABB Robotics á sýndarvél með vélmennastjórnunarvinnustöð. Eftir að hafa stillt RobotStudio, opnuðum við uppgerðaskrá með vélmenninu okkar í þannig að þrívíddarmynd þess væri sýnileg á skjánum. Fyrir vikið munu Shodan og aðrar leitarvélar, þegar þeir finna ótryggðan VNC netþjón, grípa þessa skjámynd og sýna þeim sem eru að leita að iðnaðarvélmenni með opinn aðgang að stjórn.
Tilgangurinn með þessari athygli á smáatriðum var að búa til aðlaðandi og raunhæft skotmark fyrir árásarmenn sem, þegar þeir fundu það, myndu snúa aftur og aftur til þess.
Vinnustöð vélstjóra
Til að forrita PLC rökfræðina bættum við verkfræðitölvu við innviðina. Iðnaðarhugbúnaður fyrir PLC forritun var settur upp á það:
- TIA Portal fyrir Siemens,
- MicroLogix fyrir Allen-Bradley stjórnandi,
- CX-One fyrir Omron.
Við ákváðum að verkfræðivinnusvæðið yrði ekki aðgengilegt utan netkerfisins. Þess í stað setjum við sama lykilorð fyrir stjórnandareikninginn og á vélmennastjórnunarvinnustöðinni og verksmiðjustýringarvinnustöðinni sem er aðgengileg af internetinu. Þessi uppsetning er nokkuð algeng í mörgum fyrirtækjum.
Því miður, þrátt fyrir alla viðleitni okkar, náði ekki einn einasti árásarmaður vinnustöð verkfræðingsins.
Skráaþjónn
Við þurftum á því að halda sem agn fyrir árásarmenn og sem leið til að styðja okkar eigin „vinnu“ í tálbeitingarverksmiðjunni. Þetta gerði okkur kleift að deila skrám með honeypot okkar með því að nota USB tæki án þess að skilja eftir spor á honeypot netinu. Við settum upp Windows 7 Pro sem stýrikerfi fyrir skráarþjóninn, þar sem við bjuggum til sameiginlega möppu sem allir geta lesið og skrifað.
Í fyrstu bjuggum við ekki til nein stigveldi möppur og skjala á skráarþjóninum. Hins vegar uppgötvuðum við síðar að árásarmenn voru virkir að rannsaka þessa möppu, svo við ákváðum að fylla hana af ýmsum skrám. Til að gera þetta skrifuðum við python forskrift sem bjó til skrá af handahófskenndri stærð með einni af tilteknum framlengingum og myndaði nafn byggt á orðabókinni.
Forskrift til að búa til aðlaðandi skráarnöfn. Heimild: Trend Micro
Eftir að hafa keyrt handritið fengum við þá niðurstöðu sem óskað var eftir í formi möppu fyllt með skrám með mjög áhugaverðum nöfnum.
Niðurstaða handritsins. Heimild: Trend Micro
Eftirlitsumhverfi
Eftir að hafa eytt svo miklu átaki í að búa til raunhæft fyrirtæki, höfðum við einfaldlega ekki efni á að bregðast við umhverfinu til að fylgjast með „gestum“ okkar. Við þurftum að fá öll gögn í rauntíma án þess að árásarmennirnir áttuðu sig á því að verið væri að fylgjast með þeim.
Við útfærðum þetta með því að nota fjóra USB til Ethernet millistykki, fjóra SharkTap Ethernet krana, Raspberry Pi 3 og stórt utanáliggjandi drif. Skýringarmynd netkerfisins okkar leit svona út:
Honeypot netmynd með vöktunarbúnaði. Heimild: Trend Micro
Við settum þrjá SharkTap krana þannig að við gætum fylgst með allri utanaðkomandi umferð til PLC, aðeins aðgengileg frá innra neti. Fjórða SharkTap fylgdist með umferð gesta á viðkvæmri sýndarvél.
SharkTap Ethernet Tap og Sierra Wireless AirLink RV50 leið. Heimild: Trend Micro
Raspberry Pi framkvæmdi daglega umferðartöku. Við tengdumst internetinu með Sierra Wireless AirLink RV50 farsímabeini, sem oft er notaður í iðnaðarfyrirtækjum.
Því miður leyfði þessi beini okkur ekki að loka fyrir árásir sem passa ekki við áætlanir okkar, svo við bættum Cisco ASA 5505 eldvegg við netið í gagnsæjum ham til að framkvæma blokkun með lágmarksáhrifum á netið.
Umferðargreining
Tshark og tcpdump eru viðeigandi til að leysa núverandi vandamál fljótt, en í okkar tilviki var hæfileiki þeirra ekki nægur, þar sem við höfðum mörg gígabæt af umferð, sem voru greind af nokkrum aðilum. Við notuðum opinn uppspretta Moloch greiningartækið þróað af AOL. Það er sambærilegt í virkni og Wireshark, en hefur meiri möguleika fyrir samvinnu, lýsingu og merkingu pakka, útflutning og önnur verkefni.
Þar sem við vildum ekki vinna úr söfnuðum gögnum á honeypot tölvum, voru PCAP ruslar fluttir út á hverjum degi í AWS geymslu, þaðan sem við fluttum þau inn á Moloch vélina.
Skjáupptaka
Til að skjalfesta aðgerðir tölvuþrjóta í hunangspottinum okkar skrifuðum við handrit sem tók skjáskot af sýndarvélinni með ákveðnu millibili og við að bera það saman við fyrri skjáskot, ákvarðað hvort eitthvað væri að gerast þar eða ekki. Þegar virkni fannst var skjáupptaka í handritinu. Þessi aðferð reyndist árangursríkust. Við reyndum líka að greina VNC umferð frá PCAP sorphaug til að skilja hvaða breytingar hefðu orðið á kerfinu, en á endanum reyndist skjáupptakan sem við innleiddum einfaldari og sjónrænni.
Eftirlit með VNC fundum
Fyrir þetta notuðum við Chaosreader og VNCLogger. Bæði tólin draga út takkaáslátt úr PCAP sorphaugi, en VNCLogger meðhöndlar lykla eins og Backspace, Enter, Ctrl betur.
VNCLogger hefur tvo ókosti. Í fyrsta lagi: það getur aðeins dregið út lykla með því að „hlusta“ á umferð á viðmótinu, svo við urðum að líkja eftir VNC lotu fyrir það með því að nota tcpreplay. Annar ókosturinn við VNCLogger er algengur með Chaosreader: þeir sýna báðir ekki innihald klemmuspjaldsins. Til að gera þetta þurfti ég að nota Wireshark.
Við tælum tölvuþrjóta
Við bjuggum til hunangspott til að ráðast á. Til að ná þessu settum við á svið upplýsingaleka til að vekja athygli hugsanlegra árásarmanna. Eftirfarandi hafnir voru opnaðar á honeypot:
Loka þurfti RDP-tenginu stuttu eftir að við fórum í loftið vegna þess að gríðarleg magn skannarumferðar á netinu okkar olli afköstum.
VNC skautanna virkuðu fyrst í skoðunarham án lykilorðs og síðan breyttum við þeim „fyrir mistök“ yfir í fullan aðgangsham.
Til að laða að árásarmenn sendum við tvær færslur með lekum upplýsingum um tiltækt iðnaðarkerfi á PasteBin.
Ein af færslunum sem settar voru á PasteBin til að laða að árásir. Heimild: Trend Micro
Árásir
Honeypot bjó á netinu í um sjö mánuði. Fyrsta árásin átti sér stað mánuði eftir að honeypot fór á netið.
Skannar
Mikil umferð var frá skönnum þekktra fyrirtækja - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye og fleiri. Þeir voru svo margir að við urðum að útiloka IP-tölur þeirra frá greiningunni: 610 af 9452 eða 6,45% af öllum einstökum IP-tölum tilheyrðu fullkomlega lögmætum skanna.
Svindlari
Ein stærsta áhættan sem við höfum staðið frammi fyrir er notkun kerfisins okkar í glæpsamlegum tilgangi: til að kaupa snjallsíma í gegnum reikning áskrifenda, greiða út flugmílur með gjafakortum og annars konar svik.
Námumenn
Einn af fyrstu gestunum í kerfinu okkar reyndist vera námumaður. Hann hlaðið niður Monero námuvinnsluhugbúnaði á það. Hann hefði ekki getað grætt mikið á tilteknu kerfi okkar vegna lítillar framleiðni. Hins vegar, ef við sameinum krafta nokkurra tuga eða jafnvel hundruða slíkra kerfa, gæti það reynst nokkuð vel.
Ransomware
Í starfi honeypot lentum við tvisvar sinnum í alvöru lausnarhugbúnaðarvírusum. Í fyrra tilvikinu var það Crysis. Rekstraraðilar þess skráðu sig inn í kerfið í gegnum VNC, en settu síðan upp TeamViewer og notuðu það til að framkvæma frekari aðgerðir. Eftir að hafa beðið eftir fjárkúgunarskilaboðum þar sem krafist var lausnargjalds upp á $10 í BTC, fórum við í bréfaskipti við glæpamennina og báðum þá um að afkóða eina af skránum fyrir okkur. Þeir urðu við beiðninni og ítrekuðu lausnargjaldskröfuna. Okkur tókst að semja um allt að 6 þúsund dollara, eftir það hlóðum við kerfinu einfaldlega aftur upp á sýndarvél, þar sem við fengum allar nauðsynlegar upplýsingar.
Seinni lausnarhugbúnaðurinn reyndist vera Phobos. Tölvuþrjóturinn sem setti það upp eyddi klukkutíma í að skoða honeypot skráarkerfið og skanna netið og setti svo upp lausnarhugbúnaðinn.
Þriðja lausnarhugbúnaðarárásin reyndist vera fölsuð. Óþekktur „hakkari“ hlóð niður haha.bat skránni á kerfið okkar, eftir það horfðum við í smá stund á hvernig hann reyndi að koma henni í gang. Ein af tilraununum var að endurnefna haha.bat í haha.rnsmwr.
„Tölvusnápur“ eykur skaðsemi geggjaðurskrárinnar með því að breyta endingu hennar í .rnsmwr. Heimild: Trend Micro
Þegar hópskráin byrjaði loksins að keyra breytti „hackerinn“ henni og hækkaði lausnargjaldið úr $200 í $750. Eftir það „dulkóðaði“ hann allar skrárnar, skildi eftir fjárkúgunarskilaboð á skjáborðinu og hvarf og breytti lykilorðunum á VNC okkar.
Nokkrum dögum síðar kom tölvuþrjóturinn aftur og, til að minna sig á, setti af stað hópskrá sem opnaði marga glugga með klámsíðu. Svo virðist sem hann hafi reynt að vekja athygli á kröfu sinni.
Niðurstöður
Við rannsóknina kom í ljós að um leið og upplýsingar um varnarleysið voru birtar vakti hunangspottur athygli og virknin jókst dag frá degi. Til þess að gildran næði athygli þurfti gervifyrirtækið okkar að verða fyrir mörgum öryggisbrotum. Því miður er þetta ástand langt frá því að vera óalgengt meðal margra raunverulegra fyrirtækja sem eru ekki með starfsmenn í upplýsingatækni og upplýsingaöryggi í fullu starfi.
Almennt séð ættu stofnanir að nota meginregluna um minnstu forréttindi, á meðan við innleiddum hið gagnstæða við það til að laða að árásarmenn. Og því lengur sem við horfðum á árásirnar, því flóknari urðu þær miðað við staðlaðar skarpskyggniprófunaraðferðir.
Og síðast en ekki síst, allar þessar árásir hefðu mistekist ef fullnægjandi öryggisráðstafanir hefðu verið framkvæmdar við uppsetningu netsins. Stofnanir verða að tryggja að búnaður þeirra og íhlutir iðnaðarinnviða séu ekki aðgengilegir af internetinu, eins og við gerðum sérstaklega í gildru okkar.
Þrátt fyrir að við höfum ekki skráð eina einasta árás á vinnustöð verkfræðings, þrátt fyrir að nota sama staðbundnu lykilorð stjórnanda á öllum tölvum, ætti að forðast þessa framkvæmd til að lágmarka möguleika á innbrotum. Þegar öllu er á botninn hvolft þjónar veikt öryggi sem viðbótarboð um að ráðast á iðnaðarkerfi, sem hafa lengi verið áhugaverð fyrir netglæpamenn.
Heimild: www.habr.com