Perusahaan antivirus, pakar keamanan informasi lan mung penggemar nempatake sistem honeypot ing Internet kanggo "nyekel" varian anyar virus utawa ngenali taktik peretas sing ora biasa. Honeypots umum banget yen penjahat cyber wis ngembangake semacam kekebalan: dheweke kanthi cepet ngenali yen ana ing ngarep jebakan lan mung ora nggatekake. Kanggo njelajah taktik peretas modern, kita nggawe honeypot realistis sing urip ing Internet suwene pitung sasi, narik macem-macem serangan. Kita ngomong babagan kedadean iki ing sinau kita "" Sawetara kanyatan saka panliten kasebut ana ing kirim iki.
Pangembangan honeypot: daftar priksa
Tugas utama kanggo nggawe supertrap kita yaiku kanggo nyegah kita ora katon dening peretas sing nuduhake minat kasebut. Iki mbutuhake akeh karya:
- Nggawe legenda nyata babagan perusahaan, kalebu jeneng lengkap lan foto karyawan, nomer telpon lan email.
- Kanggo nggawe lan ngetrapake model infrastruktur industri sing cocog karo legenda babagan kegiatan perusahaan kita.
- Temtokake layanan jaringan endi sing bisa diakses saka njaba, nanging aja lali mbukak port sing rawan supaya ora katon kaya jebakan kanggo nyedhot.
- Atur visibilitas informasi bocor babagan sistem sing rawan lan disebarake informasi kasebut ing antarane panyerang potensial.
- Ngleksanakake ngawasi wicaksana aktivitas hacker ing infrastruktur honeypot.
Lan saiki dhisik dhisik.
Nggawe legenda
Penjahat siber wis biasa nemoni akeh honeypots, mula bagean sing paling maju nindakake investigasi sing jero babagan saben sistem sing rawan kanggo mesthekake yen dudu jebakan. Kanggo alasan sing padha, kita ngupayakake manawa honeypot ora mung realistis babagan desain lan aspek teknis, nanging uga nggawe tampilan perusahaan nyata.
Nempatake awake dhewe ing sepatu hacker keren hipotetis, kita ngembangake algoritma verifikasi sing bakal mbedakake sistem nyata saka jebakan. Iki kalebu nggoleki alamat IP perusahaan ing sistem reputasi, mbalikke riset babagan riwayat alamat IP, nggoleki jeneng lan tembung kunci sing ana gandhengane karo perusahaan, uga mitra, lan liya-liyane. AkibatΓ©, legenda dadi cukup ngyakinake lan atraktif.
Kita mutusake kanggo posisi pabrik decoy minangka butik prototipe industri cilik sing digunakake kanggo klien anonim sing gedhe banget ing segmen militer lan penerbangan. Iki mbebasake kita saka komplikasi hukum sing ana gandhengane karo nggunakake merek sing wis ana.
Sabanjure kita kudu nggawe visi, misi lan jeneng organisasi. Kita mutusake manawa perusahaan kita bakal dadi wiwitan kanthi jumlah karyawan sing sithik, sing saben-saben dadi pendiri. Iki nambah kredibilitas kanggo crita babagan sifat khusus bisnis kita, sing ngidini kanggo nangani proyek sensitif kanggo klien gedhe lan penting. Kita pengin perusahaan kita katon ringkih saka perspektif cybersecurity, nanging ing wektu sing padha jelas yen kita nggarap aset penting ing sistem target.
Gambar saka situs web MeTech honeypot. Sumber: Trend Micro
Kita milih tembung MeTech minangka jeneng perusahaan. Situs kasebut digawe adhedhasar cithakan gratis. Gambar kasebut dijupuk saka bank foto, nggunakake sing paling ora populer lan ngowahi supaya ora bisa dingerteni.
Kita pengin perusahaan katon nyata, mula kita kudu nambah karyawan kanthi katrampilan profesional sing cocog karo profil kegiatan kasebut. We teka munggah karo jeneng lan kapribaden kanggo wong-wong mau lan banjur nyoba kanggo milih gambar saka bank-bank foto miturut etnis.
Gambar saka situs web MeTech honeypot. Sumber: Trend Micro
Supaya ora ditemokake, kita goleki foto klompok kanthi kualitas apik sing bisa milih pasuryan sing dibutuhake. Nanging, kita banjur nilar pilihan iki, amarga hacker potensial bisa nggunakake telusuran gambar mbalikke lan nemokake sing "karyawan" kita mung manggon ing bank foto. Pungkasane, kita nggunakake foto wong sing ora ana sing digawe nggunakake jaringan saraf.
Profil karyawan sing diterbitake ing situs kasebut ngemot informasi penting babagan katrampilan teknis, nanging kita nyingkiri sekolah utawa kutha tartamtu.
Kanggo nggawe kothak layang, kita nggunakake server panyedhiya hosting, banjur nyewa sawetara nomer telpon ing Amerika Serikat lan digabungake menyang PBX virtual karo menu swara lan mesin panjawab.
Infrastruktur honeypot
Kanggo ngindhari cahya, kita mutusake nggunakake kombinasi hardware industri nyata, komputer fisik lan mesin virtual sing aman. Ing ngarep, kita bakal ujar manawa kita mriksa asil upaya nggunakake mesin telusur Shodan, lan nuduhake manawa honeypot katon kaya sistem industri sing nyata.
Asil scan honeypot nggunakake Shodan. Sumber: Trend Micro
Kita nggunakake papat PLC minangka hardware kanggo trap:
- Siemens S7-1200,
- loro AllenBradley MicroLogix 1100,
- Omron CP1L Kab.
PLC kasebut dipilih amarga popularitas ing pasar sistem kontrol global. Lan saben pengontrol iki nggunakake protokol dhewe, sing ngidini kita mriksa PLC sing bakal diserang luwih asring lan apa sing bakal narik kawigaten sapa wae.
Peralatan kita "pabrik" -trap. Sumber: Trend Micro
Kita ora mung nginstal hardware lan nyambung menyang Internet. We programmed saben controller kanggo nindakake tugas, kalebu
- nyampur,
- kontrol burner lan sabuk conveyor,
- palletizing nggunakake manipulator robot.
Lan kanggo nggawe proses produksi nyata, kita diprogram logika kanggo acak ngganti paramèter umpan balik, simulasi motor miwiti lan mandheg, lan burners nguripake lan mateni.
Pabrik kita duwe telung komputer virtual lan siji fisik. Komputer virtual digunakake kanggo ngontrol tanduran, robot palletizer, lan minangka workstation kanggo insinyur piranti lunak PLC. Komputer fisik makarya minangka server file.
Saliyane ngawasi serangan ing PLC, kita pengin ngawasi status program sing dimuat ing piranti kita. Kanggo nindakake iki, kita nggawe antarmuka sing ngidini kita nemtokake kanthi cepet carane negara aktuator lan panginstalan virtual kita diowahi. Wis ing tataran planning, kita katutup sing luwih gampang kanggo ngleksanakake iki nggunakake program kontrol saka liwat program langsung saka logika controller. Kita mbukak akses menyang antarmuka manajemen piranti honeypot liwat VNC tanpa sandhi.
Robot industri minangka komponen utama manufaktur cerdas modern. Ing babagan iki, kita mutusake kanggo nambah robot lan papan kerja otomatis kanggo ngontrol menyang peralatan pabrik jebakan kita. Kanggo nggawe "pabrik" luwih nyata, kita nginstal piranti lunak nyata ing workstation kontrol, sing digunakake para insinyur kanggo program grafis logika robot. Ya, amarga robot industri biasane ana ing jaringan internal sing terisolasi, kita mutusake kanggo ninggalake akses sing ora dilindhungi liwat VNC mung menyang workstation kontrol.
Lingkungan RobotStudio kanthi model 3D robot kita. Sumber: Trend Micro
Kita nginstal lingkungan pemrograman RobotStudio saka ABB Robotics ing mesin virtual kanthi workstation kontrol robot. Sawise ngonfigurasi RobotStudio, kita mbukak file simulasi karo robot kita supaya gambar 3D katon ing layar. AkibatΓ©, Shodan lan mesin telusur liyane, nalika ndeteksi server VNC sing ora aman, bakal njupuk gambar layar iki lan nuduhake menyang wong-wong sing nggoleki robot industri kanthi akses mbukak kanggo ngontrol.
Titik perhatian iki kanggo rinci yaiku nggawe target sing menarik lan nyata kanggo para panyerang sing, yen ketemu, bakal bali maneh lan maneh.
Workstation Engineer
Kanggo program logika PLC, kita nambah komputer engineering kanggo infrastruktur. Piranti lunak industri kanggo pemrograman PLC wis diinstal ing:
- Portal TIA kanggo Siemens,
- MicroLogix kanggo pengontrol Allen-Bradley,
- CX-One kanggo Omron.
Kita mutusake manawa ruang kerja teknik ora bisa diakses ing njaba jaringan. Nanging, kita nyetel sandhi sing padha kanggo akun administrator kaya ing workstation kontrol robot lan workstation kontrol pabrik sing bisa diakses saka Internet. Konfigurasi iki cukup umum ing akeh perusahaan.
Sayange, sanajan kabeh usaha kita, ora ana penyerang sing tekan papan kerja insinyur.
Server file
We needed iku minangka umpan kanggo panyerang lan minangka sarana kanggo gawe serep "karya" kita dhewe ing pabrik decoy. Iki ngidini kita nuduhake file karo honeypot nggunakake piranti USB tanpa ninggalake jejak ing jaringan honeypot. Kita nginstal Windows 7 Pro minangka OS kanggo server file, ing ngendi kita nggawe folder bareng sing bisa diwaca lan ditulis dening sapa wae.
Ing wiwitan, kita ora nggawe hirarki folder lan dokumen ing server file. Nanging, kita banjur nemokake manawa panyerang aktif sinau folder iki, mula kita mutusake kanggo ngisi file kasebut. Kanggo nindakake iki, kita nulis skrip python sing nggawe file kanthi ukuran acak kanthi salah sawijining ekstensi sing diwenehake, mbentuk jeneng adhedhasar kamus.
Skrip kanggo ngasilake jeneng file sing menarik. Sumber: Trend Micro
Sawise mbukak skrip, kita entuk asil sing dikarepake ing wangun folder sing diisi file kanthi jeneng sing menarik banget.
Asil saka naskah. Sumber: Trend Micro
Lingkungan ngawasi
Sawise ngentekake akeh gaweyan nggawe perusahaan sing nyata, kita mung ora bisa gagal ing lingkungan kanggo ngawasi "pengunjung". Kita kudu njaluk kabeh data ing wektu nyata tanpa panyerang nyadari yen lagi ditonton.
Kita nindakake iki nggunakake papat USB kanggo adaptor Ethernet, papat SharkTap Ethernet tunyuk, Raspberry Pi 3, lan drive external gedhe. Diagram jaringan kita katon kaya iki:
Diagram jaringan Honeypot kanthi peralatan ngawasi. Sumber: Trend Micro
Kita posisi telung SharkTap tunyuk supaya kanggo ngawasi kabeh lalu lintas external menyang PLC, mung bisa diakses saka jaringan internal. SharkTap kaping papat ngawasi lalu lintas tamu saka mesin virtual sing rawan.
SharkTap Ethernet Tap lan Sierra Wireless AirLink RV50 Router. Sumber: Trend Micro
Raspberry Pi nindakake panangkepan lalu lintas saben dina. Kita nyambung menyang Internet nggunakake router seluler Sierra Wireless AirLink RV50, asring digunakake ing perusahaan industri.
Sayange, dalan iki ora ngidini kita kanggo selektif mblokir serangan sing ora cocog karo plans kita, supaya kita nambah Cisco ASA 5505 firewall kanggo jaringan ing mode transparent kanggo nindakake pamblokiran karo impact minimal ing jaringan.
Analisis lalu lintas
Tshark lan tcpdump cocok kanggo ngrampungake masalah saiki kanthi cepet, nanging ing kasus kita, kemampuane ora cukup, amarga kita duwe akeh lalu lintas gigabyte, sing dianalisis dening sawetara wong. Kita nggunakake analisa Moloch open-source sing dikembangake dening AOL. Iku iso dibandhingke ing fungsi kanggo Wireshark, nanging wis luwih kapabilitas kanggo collaboration, njlèntrèhaké lan menehi tag paket, ngekspor lan tugas liyane.
Amarga kita ora pengin ngolah data sing diklumpukake ing komputer honeypot, dumps PCAP diekspor saben dina menyang panyimpenan AWS, saka ngendi kita wis ngimpor menyang mesin Moloch.
Ngrekam layar
Kanggo nyathet tumindak peretas ing honeypot, kita nulis skrip sing njupuk gambar saka mesin virtual ing interval tartamtu lan, mbandhingake karo gambar sadurunge, nemtokake manawa ana kedadeyan utawa ora. Nalika aktivitas dideteksi, skrip kasebut kalebu rekaman layar. Pendekatan iki dadi sing paling efektif. Kita uga nyoba kanggo njelasno lalu lintas VNC saka mbucal PCAP kanggo ngerti apa owah-owahan wis kedaden ing sistem, nanging ing pungkasan rekaman layar kita dipun ginakaken dadi luwih prasaja lan visual.
Ngawasi sesi VNC
Iki digunakake Chaosreader lan VNCLogger. Loro-lorone utilitas extract keystrokes saka mbucal PCAP, nanging VNCLogger nangani tombol kaya Backspace, Enter, Ctrl luwih bener.
VNCLogger duwe rong kekurangan. Pisanan: mung bisa ngekstrak tombol kanthi "ngrungokake" lalu lintas ing antarmuka, mula kita kudu nyimulasi sesi VNC kanggo nggunakake tcpreplay. Kerugian kapindho VNCLogger umum karo Chaosreader: loro-lorone ora nuduhake isi clipboard. Kanggo nindakake iki, aku kudu nggunakake Wireshark.
Kita nggodho peretas
Kita nggawe honeypot kanggo diserang. Kanggo nggayuh iki, kita nganakake bocor informasi kanggo narik kawigaten para panyerang potensial. Port ing ngisor iki dibukak ing honeypot:
Port RDP kudu ditutup sakcepete sawise kita urip amarga jumlah lalu lintas mindhai ing jaringan kita nyebabake masalah kinerja.
Terminal VNC pisanan makarya ing mode tampilan mung tanpa sandhi, lan banjur kita "kanthi salah" ngalih menyang mode akses lengkap.
Kanggo narik panyerang, kita ngirim rong kiriman kanthi informasi bocor babagan sistem industri sing kasedhiya ing PasteBin.
Salah sawijining kiriman sing dikirim ing PasteBin kanggo narik serangan. Sumber: Trend Micro
Serangan
Honeypot urip online watara pitung sasi. Serangan pisanan kedadeyan sasi sawise honeypot online.
Pengimbal
Ana akeh lalu lintas saka scanner perusahaan kondhang - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye lan liya-liyane. Ana akeh banget sing kudu ngilangi alamat IP saka analisis: 610 saka 9452 utawa 6,45% kabeh alamat IP unik kalebu scanner sing sah.
Scammers
Salah sawijining risiko paling gedhe sing kita alami yaiku nggunakake sistem kita kanggo tujuan pidana: tuku smartphone liwat akun pelanggan, awis mil maskapai nggunakake kertu hadiah lan jinis penipuan liyane.
panambang
Salah sawijining pengunjung pisanan ing sistem kita dadi penambang. Dheweke ndownload piranti lunak pertambangan Monero ing kana. Dheweke ora bakal bisa entuk dhuwit akeh ing sistem tartamtu amarga produktivitas sing kurang. Nanging, yen kita gabungke efforts sawetara rolas utawa malah atusan sistem kuwi, iku bisa dadi cukup apik.
Ransomware
Sajrone karya honeypot, kita nemoni virus ransomware nyata kaping pindho. Ing kasus pisanan iku Crysis. Operator kasebut mlebu ing sistem kasebut liwat VNC, nanging banjur nginstal TeamViewer lan digunakake kanggo nindakake tindakan luwih lanjut. Sawise ngenteni pesen pemerasan nuntut tebusan $ 10 ing BTC, kita mlebu korespondensi karo para penjahat, njaluk supaya dekripsi salah sawijining file kanggo kita. Dheweke nuruti panjaluk kasebut lan mbaleni panjaluk tebusan. Kita bisa rembugan nganti 6 ewu dolar, sawise iku mung upload maneh sistem kanggo mesin virtual, awit kita nampa kabeh informasi sing perlu.
Ransomware kapindho dadi Phobos. Peretas sing nginstal kasebut ngenteni sejam browsing sistem file honeypot lan mindhai jaringan, banjur pungkasane nginstal ransomware kasebut.
Serangan ransomware katelu ternyata palsu. "Hacker" sing ora dingerteni ngundhuh file haha.bat menyang sistem kita, sawise kita nonton sawetara wektu nalika dheweke nyoba supaya bisa digunakake. Salah sawijining upaya yaiku ngganti jeneng haha.bat dadi haha.rnsmwr.
Ing "hacker" mundhak harmfulness saka file bat kanthi ngganti extension kanggo .rnsmwr. Sumber: Trend Micro
Nalika file kumpulan pungkasane wiwit mbukak, "peretas" nyunting, nambah tebusan saka $200 dadi $750. Sawise iku, dheweke "ndhelik" kabeh file, ninggalake pesen extortion ing desktop lan ilang, ngganti tembung sandhi ing VNC kita.
Sawetara dina sabanjure, peretas bali lan, kanggo ngelingake awake dhewe, ngluncurake file batch sing mbukak akeh jendela kanthi situs porno. Ketoke, kanthi cara iki dheweke nyoba narik kawigaten marang panjaluke.
Hasil
Sajrone panliten kasebut, ternyata sanalika informasi babagan kerentanan kasebut diterbitake, honeypot narik perhatian, kanthi kegiatan tambah saben dina. Supaya jebakan kasebut bisa narik kawigaten, perusahaan fiktif kita kudu ngalami pirang-pirang pelanggaran keamanan. Sayange, kahanan iki ora umum ing antarane akeh perusahaan nyata sing ora duwe karyawan IT lan keamanan informasi full-time.
UmumΓ©, organisasi kudu nggunakake prinsip hak istimewa sing paling ora, nalika kita ngetrapake kebalikane kanggo narik panyerang. Lan suwene kita nonton serangan kasebut, luwih canggih dibandhingake karo metode tes penetrasi standar.
Lan sing paling penting, kabeh serangan kasebut bakal gagal yen langkah-langkah keamanan sing cukup ditindakake nalika nyetel jaringan. Organisasi kudu mesthekake yen peralatan lan komponen infrastruktur industri ora bisa diakses saka Internet, kaya sing ditindakake ing jebakan kita.
Senajan kita wis ora ngrekam serangan siji ing workstation engineer, senadyan nggunakake sandi administrator lokal padha ing kabeh komputer, laku iki kudu nyingkiri kanggo nyilikake kamungkinan saka intrusions. Sawise kabeh, keamanan sing lemah dadi undhangan tambahan kanggo nyerang sistem industri, sing wis suwe dadi minat para penjahat cyber.
Source: www.habr.com