言葉では言い表せないほど魅力的: 公開されないハニーポットをどのように作成したか

ウイルス対策会社、情報セキュリティの専門家、そして単なる愛好家は、新種のウイルスの「生き餌を捕まえる」ため、または異常なハッカーの戦術を明らかにするために、インターネット上にハニーポット システムを公開します。 ハニーポットは非常に一般的であるため、サイバー犯罪者は一種の免疫力を身につけています。目の前に罠があることをすぐに認識し、単純に無視します。 現代のハッカーの戦術を調査するために、インターネット上に XNUMX か月間存在し、さまざまな攻撃を引き付ける現実的なハニーポットを作成しました。 それがどのようなものだったのか、私たちは研究で語った」犯罪に巻き込まれる: 現実的な工場ハニーポットを実行して本当の脅威を捕捉する」。 研究から得られたいくつかの事実がこの投稿に記載されています。

ハニーポット開発: チェックリスト

スーパー トラップを作成する際の主な課題は、それに興味を示したハッカーに暴露されないようにすることでした。 これを行うには多大な労力がかかりました。

1. 従業員の氏名と写真、電話番号、電子メールなど、会社に関する現実的な凡例を作成します。
2. 当社の活動の伝説と一致する産業インフラストラクチャ モデルを発明し、実装します。
3. どのネットワーク サービスを外部から利用できるかを決定しますが、単純な人の罠と思われないように、脆弱なポートを開くことに夢中にならないでください。
4. 脆弱なシステムに関する情報漏洩の様子を整理し、この情報を潜在的な攻撃者に広めます。
5. トラップのインフラストラクチャ内でハッカーの行動を慎重に監視します。

そして今、すべてを順番に。

凡例を作成する

サイバー犯罪者はすでに多くのハニーポットを観察することに慣れているため、サイバー犯罪者の最も先進的な部分は、脆弱な各システムを詳細に調査して、これが罠ではないことを確認します。 同じ理由で、ハニーポットをデザインや技術的な面で現実的なものにするだけでなく、実際の会社の外観も作りたかったのです。

私たちは、架空のクールハッカーの立場に立って、実際のシステムとトラップを区別できる検証アルゴリズムを開発しました。 これには、評判システムでの企業の IP アドレスの検索、IP アドレスの履歴の逆調査、企業およびその取引相手に関連する名前とキーワードの検索などが含まれます。 その結果、この伝説は非常に説得力があり、魅力的なものであることが判明しました。

私たちはトラップ ファクトリーを、非常に大規模な匿名の軍事および航空クライアント向けの小規模な工業用プロトタイピング ブティックとして位置づけることにしました。 これにより、既存のブランドの使用に伴う法的な複雑さから解放されました。

次に、組織のビジョン、ミッション、名前を考えなければなりませんでした。 私たちの会社は、従業員数が少なく、全員が創業者であるスタートアップ企業になると決めました。 これにより、当社のビジネスの専門化という伝説に信頼性が加わり、大規模で重要な顧客のデリケートなプロジェクトに取り組むことが可能になりました。 私たちはサイバーセキュリティの観点から当社が弱いように見せたかったのですが、同時にターゲットシステムの重要な資産を扱っていることは明らかでした。

MeTech ハニーポット Web サイトのスクリーンショット。 出典: トレンドマイクロ

私たちはMeTechという言葉を社名に選びました。 当サイトは無料のテンプレートを元に制作しております。 画像はフォトバンクから取得したもので、最も人気のないものを使用し、認識されにくくするために修正されています。

会社を本物らしく見せたかったので、活動のプロファイルに一致する専門スキルを持つ従業員を追加する必要がありました。 私たちは彼らの名前と身元を考え出し、民族別にフォトバンクから画像を選択しようとしました。

MeTech ハニーポット Web サイトのスクリーンショット。 出典: トレンドマイクロ

見つからないように、必要な顔を選択できる高品質の集合写真を探しました。 しかし、潜在的なハッカーが逆画像検索を使用して、当社の「従業員」が写真バンクにのみ存在していることが判明する可能性があるため、このオプションは後に放棄されました。 最終的には、ニューラル ネットワークを使用して作成された、存在しない人物の写真を使用しました。

サイトで公開されている従業員のプロフィールには技術スキルに関する重要な情報が含まれていましたが、特定の教育機関や都市の特定は避けました。
メールボックスを作成するには、ホスティング プロバイダーのサーバーを使用し、その後米国でいくつかの電話番号を借りて、音声メニューと留守番電話を備えた仮想 PBX に結合しました。

ハニーポットインフラストラクチャ

危険にさらされるのを避けるために、実際の産業用ハードウェア、物理コンピュータ、安全な仮想マシンを組み合わせて使用​​することにしました。 今後を見据えて、Shodan 検索エンジンを使用して取り組みの結果を確認したところ、ハニーポットが実際の産業システムのように見えることがわかりました。

Shodan でハニーポットをスキャンした結果。 出典: トレンドマイクロ

トラップのハードウェアとして XNUMX つの PLC を使用しました。

• シーメンス S7-1200、
• 1100 台の Allen-Bradley MicroLogix XNUMX、
• オムロンCP1Lです。

これらの PLC は、世界の制御システム市場での人気により選ばれました。 そして、これらのコントローラーはそれぞれ独自のプロトコルを使用するため、どの PLC がより頻繁に攻撃されるか、また原則としてそれらが誰かの興味を引くかどうかを確認することができました。

私たちの「工場」の設備は罠です。 出典: トレンドマイクロ

私たちは単に鉄片を設置してインターネットに接続しただけではありません。 各コントローラーをプログラムしてタスクを実行するようにしました。その中には、

• 混合、
• バーナーとコンベアベルトの制御、
• ロボットアームを使ったパレタイジング。

また、生産プロセスを現実的にするために、フィードバック パラメーターをランダムに変更し、モーターの開始と停止、バーナーのオンとオフをシミュレートするロジックをプログラムしました。

私たちの工場には XNUMX 台の仮想コンピューターと XNUMX 台の物理コンピューターがありました。 仮想マシンは、プラント、ロボット パレタイザーの制御、および PLC ソフトウェア エンジニアのワークステーションとして使用されました。 物理コンピューターはファイル サーバーとして機能しました。

PLC に対する攻撃を監視することに加えて、デバイスにダウンロードされたプログラムのステータスも監視したいと考えていました。 これを行うために、仮想アクチュエータと設備の状態がどのように変更されたかを迅速に判断できるインターフェイスを作成しました。 すでに計画段階で、コントローラー ロジックを直接プログラミングするよりも、制御プログラムを使用してこれを実装する方がはるかに簡単であることがわかりました。 パスワードなしで VNC 経由でハニーポットのデバイス管理インターフェイスへのアクセスをオープンしました。

産業用ロボットは、現代のスマート製造の重要なコンポーネントです。 そこで、トラップ工場の設備にロボットとそれを制御するワークステーションを追加することにしました。 「工場」をより現実的にするために、エンジニアがロボットのロジックのグラフィカル プログラミングに使用する実際のソフトウェアを制御ワークステーションにインストールしました。 産業用ロボットは通常、隔離された内部ネットワークに配置されているため、VNC を介した安全でないアクセスを制御ワークステーションのみに残すことにしました。

ロボットの 3D モデルを含む RobotStudio 環境。 出典: トレンドマイクロ

ロボット制御ワークステーションを備えた仮想マシンに、ABB Robotics の RobotStudio プログラミング環境をインストールしました。 RobotStudio をセットアップしたら、ロボットが含まれるシミュレーション ファイルを開いて、その 3D 画像を画面上に表示できるようにしました。 その結果、Shodan やその他の検索エンジンは、安全でない VNC サーバーを見つけると、この画面イメージを取得し、制御にオープンにアクセスできる産業用ロボットを探しているユーザーに表示します。

この細部へのこだわりのポイントは、攻撃者がターゲットを見つけた後、何度もそのターゲットに戻ってくるよう、魅力的で可能な限り現実的なターゲットを作成することでした。

エンジニアのワークステーション

PLC ロジックをプログラムするために、エンジニアリング コンピューターをインフラストラクチャに追加しました。 PLC プログラミング用の産業用ソフトウェアがインストールされています。

• シーメンスの TIA ポータル、
• Allen-Bradley コントローラ用 MicroLogix、
• オムロンのCX-Oneです。

エンジニアリングワークプレイスはネットワーク外では利用できないと決定しました。 代わりに、インターネットにアクセス可能なロボット制御ワークステーションや工場制御ワークステーションと同じ管理者アカウントのパスワードを設定しました。 この構成は多くの企業で非常に一般的です。
残念ながら、私たちのあらゆる努力にもかかわらず、エンジニアのワークステーションに到達した攻撃者は一人もいませんでした。

ファイルサーバー

侵入者の餌として、また罠工場での自分たちの「作品」をバックアップする手段として、それが必要でした。 これにより、トラップ ネットワークに痕跡を残さずに、USB デバイスを使用してハニーポットとファイルを共有できるようになりました。 ファイルサーバーのOSにはWindows 7 Proを導入し、共有フォルダーを誰でも読み書きできるようにしました。

最初は、ファイル サーバー上にフォルダーやドキュメントの階層を作成しませんでした。 しかし、攻撃者がこのフォルダーを積極的に研究していることが後で判明したため、このフォルダーにさまざまなファイルを入れることにしました。 これを行うために、辞書に基づいて名前を形成し、指定された拡張子の XNUMX つを持つランダムなサイズのファイルを作成する Python スクリプトを作成しました。

魅力的なファイル名を生成するスクリプト。 出典: トレンドマイクロ

スクリプトを実行すると、非常に興味深い名前のファイルが詰まったフォルダーの形で望ましい結果が得られました。

スクリプトの結果。 出典: トレンドマイクロ

監視環境

現実的な会社づくりに多大な労力を費やしてきた私たちにとって、「訪問者」を監視する環境で失敗するわけにはいきません。 攻撃者が監視されていることに気付かないような方法で、すべてのデータをリアルタイムで取得する必要がありました。

これは、3 つの USB - イーサネット アダプター、XNUMX つの SharkTap イーサネット タップ、Raspberry Pi XNUMX、および大型の外付けドライブを使用して実行しました。 ネットワーク図は次のようになります。

監視装置を備えたハニーポット ネットワーク図。 出典: トレンドマイクロ

内部ネットワークからのみアクセスできる、PLC へのすべての外部トラフィックを監視できるように XNUMX つの SharkTap タップを配置しました。 XNUMX 番目の SharkTap は、脆弱な仮想マシンのゲストのトラフィックを追跡しました。

SharkTap イーサネット タップと Sierra Wireless AirLink RV50 ルーター。 出典: トレンドマイクロ

Raspberry Pi は毎日のトラフィック キャプチャを実行しました。 私たちは、産業企業でよく使用されている Sierra Wireless AirLink RV50 セルラー ルーターを使用してインターネットに接続しました。

残念ながら、このルータでは計画と一致しない攻撃を選択的にブロックすることができなかったため、ネットワークへの影響を最小限に抑えてブロックするために、透過モードでネットワークに Cisco ASA 5505 ファイアウォールを追加しました。

トラフィック分析

Tshark と tcpdump は現在の問題を迅速に解決するのに適していますが、私たちの場合は数ギガバイトのトラフィックがあり、それらを数人で分析したため、それらの機能では十分ではありませんでした。 AOL が開発したオープンソースの Moloch アナライザーを使用しました。 機能の点では Wireshark に匹敵しますが、コラボレーション、パケットの記述とタグ付け、エクスポート、その他のタスクのためのオプションがさらに豊富です。

収集したデータをハニーポット マシンで処理したくなかったため、PCAP ダンプは毎日 AWS ストレージにエクスポートされ、そこからすでに Moloch マシンにインポートされていました。

画面記録

ハニーポット内のハッカーの行動を文書化するために、一定の間隔で仮想マシンのスクリーンショットを撮り、前のスクリーンショットと比較して、そこで何かが起こっているかどうかを判断するスクリプトを作成しました。 アクティビティが検出されると、スクリプトは画面録画をオンにしました。 このアプローチが最も効果的であることが判明しました。 また、システムにどのような変化が起こったのかを理解するために、PCAP ダンプから VNC トラフィックを分析しようとしましたが、最終的には、実装した画面録画の方がシンプルで視覚的であることが判明しました。

VNCセッションの監視

このために、Chaosreader と VNCLogger を使用しました。 どちらのユーティリティも PCAP ダンプからキーストロークを抽出しますが、VNCLogger は Backspace、Enter、Ctrl などのキーをより正確に処理します。

VNCLogger には XNUMX つの欠点があります。 まず、インターフェイス上のトラフィックを「リッスン」することによってのみキーを取得できるため、tcpreplay を使用して VNC セッションをシミュレートする必要がありました。 VNCLogger の XNUMX 番目の欠点は Chaosreader と共通であり、どちらもクリップボードの内容を表示しません。 このためには Wireshark を使用する必要がありました。

ハッカーをおびき寄せる

攻撃対象となるハニーポットを作成しました。 これを達成するために、潜在的なハッカーの注意を引くように設計された情報漏洩を計画しました。 ハニーポット上で次のポートが開かれています。

ネットワーク上の大量のスキャン トラフィックによりパフォーマンスの問題が発生したため、作業の開始後すぐに RDP ポートを閉じる必要がありました。
VNC 端末は当初、パスワードなしで「表示専用」モードで動作していましたが、その後「誤って」フル アクセス モードに切り替えてしまいました。

攻撃者を引き寄せるために、利用可能な産業システムに関する「漏洩」情報を含む XNUMX つの投稿を PasteBin に投稿しました。

攻撃を誘致するために PasteBin に投稿された投稿の XNUMX つ。 出典: トレンドマイクロ

攻撃

ハニーポットは約 XNUMX か月間オンラインで暮らしていました。 最初の攻撃は、ハニーポットがオンラインになってから XNUMX か月後に発生しました。

スキャナー

ip-ip、Rapid、Shadow Server、Shodan、ZoomEye などの有名な企業のスキャナからのトラフィックが大量にありました。 それらの数が非常に多かったので、分析から IP アドレスを除外する必要がありました。610 個のうち 9452 個、つまりすべての一意の IP アドレスの 6,45% が、完全に正規のスキャナーに属していました。

Мошенники

私たちが直面している最大のリスクの XNUMX つは、犯罪目的でのシステムの使用です。加入者のアカウントを通じてスマートフォンを購入したり、ギフトカードを使用して航空会社のマイルを現金化したり、その他の種類の詐欺を行うことです。

鉱夫

私たちのシステムへの最初の訪問者の XNUMX 人がマイナーであることが判明しました。 彼はそれにMoneroマイニングソフトウェアをロードしました。 私たちの特定のシステムでは、パフォーマンスが低いため、彼は多くの収入を得ることができなかったでしょう。 しかし、数十、あるいは数百のそのようなシステムの取り組みを組み合わせれば、かなりうまくいく可能性があります。

ランサムウェア

ハニーポットの運用中に、本物のランサムウェア ウイルスに 10 回遭遇しました。 最初のケースではCrysisでした。 彼のオペレーターは VNC 経由でシステムにログインしましたが、その後 TeamViewer をインストールし、それを使用してさらなるアクションを実行しました。 BTC で 6 ドルの身代金を要求する法外なメッセージを待った後、私たちは犯罪者と通信を開始し、ファイルの XNUMX つを解読するよう依頼しました。 彼らは要求に応じ、身代金の要求を繰り返しました。 最大 XNUMX ドルまで交渉することができました。その後、必要な情報をすべて受け取ったので、システムを仮想マシンにアップロードするだけで済みました。

XNUMX 番目のランサムウェアは Phobos でした。 これをインストールしたハッカーは、ハニーポットのファイル システムを調べてネットワークを XNUMX 時間スキャンした後、ランサムウェアをインストールしました。
XNUMX 回目のランサムウェア攻撃は偽物であることが判明しました。 未知の「ハッカー」が haha​​.bat ファイルを私たちのシステムにダウンロードし、その後私たちは彼がそれを機能させようとするのをしばらく観察しました。 XNUMX つの試みは、haha.bat の名前を haha​​.rnsmwr に変更することでした。

「Hacker」は、bat ファイルの拡張子を .rnsmwr に変更することで、その悪意を高めます。 出典: トレンドマイクロ

バッチ ファイルが最終的に実行を開始すると、「ハッカー」がそれを編集し、身代金が 200 ドルから 750 ドルに増加しました。 その後、彼はすべてのファイルを「暗号化」し、デスクトップに法外なメッセージを残して姿を消し、VNC のパスワードを変更しました。

数日後、ハッカーは戻ってきて、自分に思い出させるために、ポルノ サイトを含む多くのウィンドウを開くバッチ ファイルを起動しました。 どうやら、このようにして彼は自分の要求に注意を引こうとしたようです。

結果

調査の過程で、この脆弱性に関する情報が公開されるとすぐに、ハニーポットが注目を集め、活動が日に日に増大していることが判明しました。 この罠が注目を集めるためには、架空の会社で多くのセキュリティ侵害が行われる必要がありました。 残念ながら、この状況は、フルタイムの IT および情報セキュリティ従業員を持たない多くの現実の企業では決して珍しいことではありません。

一般に、組織は最小特権の原則を使用する必要がありますが、私たちは攻撃者を引き付けるためにまったく逆の原則を実装しました。 そして、攻撃を観察する期間が長くなるほど、標準的な侵入テスト手法と比較して攻撃はより洗練されたものになっていきました。

そして最も重要なことは、ネットワークのセットアップ中に適切なセキュリティ対策が実装されていれば、これらの攻撃はすべて失敗したはずです。 組織は、私たちが罠で具体的に行ったように、機器や産業インフラのコンポーネントにインターネットからアクセスできないようにする必要があります。

すべてのコンピュータで同じローカル管理者パスワードを使用しているにもかかわらず、エンジニアのワークステーションに対する攻撃は XNUMX 件も記録されていませんが、侵入の可能性を最小限に抑えるために、この行為は避けるべきです。 結局のところ、脆弱なセキュリティは、サイバー犯罪者が長い間関心を寄せてきた産業システムへの攻撃をさらに招くことになります。

出所： habr.com