Вирусқа қарсы компаниялар, ақпараттық қауіпсіздік бойынша сарапшылар және жай энтузиастар вирустың жаңа нұсқасын «ұстап алу» немесе әдеттен тыс хакерлердің тактикасын анықтау үшін интернетке honeypot жүйелерін орналастырады. Бал құмыраларының кең таралғаны сонша, киберқылмыскерлер иммунитеттің бір түрін дамытты: олар тұзақ алдында тұрғандарын тез анықтап, оны елемейді. Заманауи хакерлердің тактикасын зерттеу үшін біз жеті ай бойы Интернетте өмір сүріп, әртүрлі шабуылдарды тартатын шынайы бал құрдық. Біз зерттеуімізде мұның қалай болғаны туралы айттық »" Зерттеудің кейбір фактілері осы постта.
Бал құмырасының дамуы: бақылау парағы
Біздің супертрапты жасаудағы басты міндет оған қызығушылық танытқан хакерлердің бізді әшкерелеуіне жол бермеу болды. Бұл көп жұмысты қажет етті:
- Қызметкерлердің толық аты-жөні мен фотосуреттерін, телефон нөмірлерін және электрондық пошталарын қамтитын компания туралы шынайы аңыз жасаңыз.
- Біздің компанияның қызметі туралы аңызға сәйкес келетін өндірістік инфрақұрылым үлгісін ойлап табу және енгізу.
- Қандай желі қызметтеріне сырттан қол жеткізуге болатынын шешіңіз, бірақ ол сорғыштар үшін тұзақ болып көрінбеуі үшін осал порттарды ашумен айналыспаңыз.
- Әлсіз жүйе туралы ақпараттың ағып кетуін көрсетуді ұйымдастырыңыз және бұл ақпаратты ықтимал шабуылдаушылар арасында таратыңыз.
- Honeypot инфрақұрылымында хакерлердің әрекеттерін мұқият бақылауды жүзеге асырыңыз.
Ал енді бәрі тәртіппен.
Аңыз құру
Киберқылмыскерлер қазірдің өзінде көптеген бал құмыраларын кездестіруге дағдыланған, сондықтан олардың ең жетілдірілген бөлігі тұзақ емес екеніне көз жеткізу үшін әрбір осал жүйені терең зерттейді. Дәл осы себепті біз бал құмырасының дизайны мен техникалық аспектілері жағынан ғана шынайы емес, сонымен қатар нағыз компанияның келбетін жасауды қамтамасыз етуге тырыстық.
Өзімізді гипотетикалық керемет хакердің орнына қойып, біз нақты жүйені тұзақтан ажырататын тексеру алгоритмін жасадық. Оған бедел жүйесінде компанияның IP мекенжайларын іздеу, IP мекенжайларының тарихын кері зерттеу, компанияға, сондай-ақ оның контрагенттеріне қатысты атаулар мен кілт сөздерді іздеу және басқа да көптеген нәрселер кірді. Нәтижесінде аңыз өте сенімді әрі тартымды болып шықты.
Біз алдамшы зауытты әскери және авиация сегментіндегі өте үлкен анонимді клиенттер үшін жұмыс істейтін шағын өнеркәсіптік прототиптік бутик ретінде орналастыруды шештік. Бұл бізді бұрыннан бар брендті пайдаланумен байланысты құқықтық қиындықтардан құтқарды.
Содан кейін біз ұйымның көзқарасын, миссиясын және атауын табуымыз керек еді. Біздің компанияның әрқайсысы құрылтайшы болып табылатын қызметкерлер саны аз стартап болады деп шештік. Бұл біздің бизнесіміздің мамандандырылған сипаты туралы әңгімеге сенімділікті арттырды, бұл оған ірі және маңызды клиенттер үшін сезімтал жобаларды өңдеуге мүмкіндік береді. Біз компаниямыздың киберқауіпсіздік тұрғысынан әлсіз болып көрінуін қаладық, бірақ сонымен бірге мақсатты жүйелерде маңызды активтермен жұмыс істеп жатқанымыз анық болды.
MeTech honeypot веб-сайтының скриншоты. Дереккөз: Trend Micro
Компания атауы ретінде MeTech сөзін таңдадық. Сайт тегін шаблон негізінде жасалған. Суреттер ең танымал емес суреттерді пайдаланып, оларды азырақ танылмайтын етіп өзгерте отырып, фотосуреттер банктерінен алынды.
Біз компанияның шынайы көрінуін қаладық, сондықтан қызмет профиліне сәйкес келетін кәсіби дағдылары бар қызметкерлерді қосу керек болды. Біз олардың есімдері мен тұлғаларын ойлап таптық, содан кейін фотобанктерден этникалық тегі бойынша суреттерді таңдауға тырыстық.
MeTech honeypot веб-сайтының скриншоты. Дереккөз: Trend Micro
Ашылып қалмау үшін біз өзімізге қажетті беттерді таңдауға болатын сапалы топтық фотосуреттерді іздедік. Алайда, біз бұл опциядан бас тарттық, өйткені әлеуетті хакер кері суретті іздеуді пайдаланып, біздің «қызметкерлердің» тек фотобанктерде тұратынын анықтай алады. Соңында біз нейрондық желілер арқылы жасалған жоқ адамдардың фотосуреттерін қолдандық.
Сайтта жарияланған қызметкерлердің профильдері олардың техникалық дағдылары туралы маңызды ақпаратты қамтыды, бірақ біз нақты мектептерді немесе қалаларды анықтаудан аулақ болдық.
Пошта жәшіктерін жасау үшін біз хостинг провайдерінің серверін пайдаландық, содан кейін Америка Құрама Штаттарында бірнеше телефон нөмірлерін жалға алып, оларды дауыс мәзірі мен жауап беру құрылғысы бар виртуалды АТС-ке біріктірдік.
Honeypot инфрақұрылымы
Экспозицияны болдырмау үшін біз нақты өндірістік аппараттық құралдарды, физикалық компьютерлерді және қауіпсіз виртуалды машиналарды пайдалануды шештік. Алдағы уақытта біз Shodan іздеу жүйесін пайдалана отырып, біздің күш-жігеріміздің нәтижесін тексергенімізді айтамыз және бұл бал құмыраның нағыз өнеркәсіптік жүйеге ұқсайтынын көрсетті.
Шодан көмегімен бал құмырасын сканерлеу нәтижесі. Дереккөз: Trend Micro
Біз тұзақ үшін аппараттық құрал ретінде төрт PLC қолдандық:
- Siemens S7-1200,
- екі AllenBradley MicroLogix 1100,
- Omron CP1L.
Бұл PLC жаһандық басқару жүйесі нарығындағы танымалдылығы үшін таңдалды. Және бұл контроллерлердің әрқайсысы PLC-тердің қайсысы жиі шабуылдалатынын және олардың кез келген адамды қызықтыратынын тексеруге мүмкіндік беретін өз протоколын пайдаланады.
Біздің «зауыт» қақпанының жабдығы. Дереккөз: Trend Micro
Біз жай ғана жабдықты орнатып, оны интернетке қосқан жоқпыз. Біз әрбір контроллерді тапсырмаларды орындауға бағдарламаладық, соның ішінде
- араластыру,
- оттық пен конвейер таспасын басқару,
- роботтық манипулятордың көмегімен паллеттеу.
Өндіріс процесін шынайы ету үшін біз кері байланыс параметрлерін кездейсоқ өзгертуге, қозғалтқыштардың іске қосылуын және тоқтауын, оттықтарды қосу және өшіруді имитациялау үшін логиканы бағдарламаладық.
Біздің зауытта үш виртуалды және бір физикалық компьютер болды. Виртуалды компьютерлер зауытты, паллетизатор роботын басқару үшін және PLC бағдарламалық жасақтамасының инженері үшін жұмыс станциясы ретінде пайдаланылды. Физикалық компьютер файлдық сервер ретінде жұмыс істеді.
PLC-ге шабуылдарды бақылаудан басқа, біз құрылғыларымызға жүктелген бағдарламалардың күйін бақылағымыз келді. Мұны істеу үшін біз виртуалды жетектер мен параметрлердің күйлері қалай өзгертілгенін жылдам анықтауға мүмкіндік беретін интерфейс жасадық. Жоспарлау кезеңінде біз оны контроллер логикасын тікелей бағдарламалаудан гөрі басқару бағдарламасының көмегімен жүзеге асыру әлдеқайда оңай екенін анықтадық. Біз VNC арқылы бал құмыраның құрылғыны басқару интерфейсіне құпия сөзсіз қол жеткіздік.
Өнеркәсіптік роботтар заманауи смарт өндірістің негізгі құрамдас бөлігі болып табылады. Осыған байланысты біз қақпан зауытының жабдықтарына робот пен оны басқаратын автоматтандырылған жұмыс орнын қосуды жөн көрдік. «Зауытты» шынайырақ ету үшін біз басқарушы жұмыс станциясына нақты бағдарламалық жасақтаманы орнаттық, оны инженерлер робот логикасын графикалық бағдарламалау үшін пайдаланады. Өнеркәсіптік роботтар әдетте оқшауланған ішкі желіде орналасқандықтан, біз VNC арқылы қорғалмаған қол жеткізуді тек басқару жұмыс станциясына қалдыруды шештік.
Біздің роботтың 3D үлгісі бар RobotStudio ортасы. Дереккөз: Trend Micro
Біз ABB Robotics компаниясының RobotStudio бағдарламалау ортасын роботты басқару жұмыс станциясы бар виртуалды машинаға орнаттық. RobotStudio-ны конфигурациялай отырып, біз оның 3D бейнесі экранда көрінетіндей етіп роботымызбен симуляциялық файлды аштық. Нәтижесінде Shodan және басқа іздеу жүйелері қорғалмаған VNC серверін анықтаған кезде, бұл экран кескінін алып, басқаруға ашық қол жетімді өнеркәсіптік роботтарды іздейтіндерге көрсетеді.
Бұл егжей-тегжейге назар аударудың мақсаты шабуылдаушылар үшін тартымды және шынайы нысананы жасау болды, олар оны тапқаннан кейін оған қайта-қайта оралады.
Инженердің жұмыс орны
PLC логикасын бағдарламалау үшін инфрақұрылымға инженерлік компьютер қостық. Оған PLC бағдарламалауға арналған өнеркәсіптік бағдарламалық қамтамасыз ету орнатылды:
- Siemens үшін TIA порталы,
- Аллен-Брэдли контроллеріне арналған MicroLogix,
- Omron үшін CX-One.
Біз инженерлік жұмыс кеңістігіне желіден тыс кіруге болмайды деп шештік. Оның орнына біз роботты басқару жұмыс станциясындағы және интернеттен қол жетімді зауыттық басқару жұмыс станциясындағыдай әкімші тіркелгісіне бірдей құпия сөзді орнаттық. Бұл конфигурация көптеген компанияларда жиі кездеседі.
Өкінішке орай, барлық күш-жігерімізге қарамастан, бірде-бір шабуылдаушы инженердің жұмыс орнына жеткен жоқ.
Файл сервері
Бұл бізге шабуылдаушыларға жем ретінде және алдамшы зауыттағы өз «жұмысымызды» сақтаудың құралы ретінде қажет болды. Бұл бізге бал құмырасы желісінде із қалдырмай USB құрылғыларының көмегімен файлдарды бал құмырасымен бөлісуге мүмкіндік берді. Біз Windows 7 Pro жүйесін файл серверіне арналған операциялық жүйе ретінде орнаттық, онда біз кез келген адам оқи алатын және жаза алатын ортақ қалтаны жасадық.
Алдымен біз файлдық серверде қалталар мен құжаттар иерархиясын жасамадық. Алайда, кейінірек біз шабуылдаушылар бұл қалтаны белсенді түрде зерттеп жатқанын анықтадық, сондықтан оны әртүрлі файлдармен толтыруды шештік. Ол үшін біз сөздік негізінде атау құра отырып, берілген кеңейтімдердің бірімен кездейсоқ өлшемді файлды жасайтын питон сценарийін жаздық.
Тартымды файл атауларын жасауға арналған сценарий. Дереккөз: Trend Micro
Сценарийді іске қосқаннан кейін біз өте қызықты атаулары бар файлдармен толтырылған қалта түрінде қажетті нәтиже алдық.
Сценарийдің нәтижесі. Дереккөз: Trend Micro
Бақылау ортасы
Шынайы компанияны құру үшін көп күш жұмсағандықтан, біз «келушілерді» бақылау үшін ортада сәтсіздікке ұшырай алмадық. Бізге барлық деректерді шабуылдаушылар оларды бақылап жатқанын түсінбестен нақты уақыт режимінде алу керек болды.
Біз мұны төрт USB-ден Ethernet адаптері, төрт SharkTap Ethernet крандары, Raspberry Pi 3 және үлкен сыртқы диск арқылы жүзеге асырдық. Біздің желілік диаграмма келесідей болды:
Бақылау жабдығы бар Honeypot желісінің диаграммасы. Дереккөз: Trend Micro
Біз PLC-ге тек ішкі желіден қол жеткізуге болатын барлық сыртқы трафикті бақылау үшін үш SharkTap кранын орналастырдық. Төртінші SharkTap осал виртуалды машинаның қонақтарының трафигін бақылаған.
SharkTap Ethernet Tap және Sierra Wireless AirLink RV50 маршрутизаторы. Дереккөз: Trend Micro
Raspberry Pi күнделікті трафикті түсіруді орындады. Біз Интернетке өнеркәсіптік кәсіпорындарда жиі қолданылатын Sierra Wireless AirLink RV50 ұялы маршрутизаторы арқылы қосылдық.
Өкінішке орай, бұл маршрутизатор біздің жоспарларымызға сәйкес келмейтін шабуылдарды таңдап блоктауға мүмкіндік бермеді, сондықтан желіге аз әсер ететін блоктауды орындау үшін желіге Cisco ASA 5505 брандмауэрін мөлдір режимде қостық.
Жол қозғалысын талдау
Tshark және tcpdump ағымдағы мәселелерді жылдам шешу үшін қолайлы, бірақ біздің жағдайда олардың мүмкіндіктері жеткіліксіз болды, өйткені бізде көптеген гигабайт трафик болды, оны бірнеше адам талдады. Біз AOL әзірлеген ашық бастапқы Moloch анализаторын қолдандық. Функционалдық жағынан оны Wireshark-пен салыстыруға болады, бірақ бірлесіп жұмыс істеу, пакеттерді сипаттау және белгілеу, экспорттау және басқа тапсырмалар үшін көбірек мүмкіндіктерге ие.
Жиналған деректерді балдық компьютерлерде өңдегіміз келмегендіктен, PCAP қоқыстары күн сайын AWS қоймасына экспортталатын, сол жерден біз оларды Moloch құрылғысына импорттадық.
Экранға жазу
Біздің балдағы хакерлердің әрекеттерін құжаттау үшін біз виртуалды машинаның скриншоттарын берілген аралықта түсіретін сценарий жаздық және оны алдыңғы скриншотпен салыстыра отырып, онда бірдеңе болып жатқанын немесе жоқтығын анықтадық. Белсенділік анықталған кезде, сценарий экранды жазуды қамтиды. Бұл әдіс ең тиімді болып шықты. Жүйеде қандай өзгерістер болғанын түсіну үшін біз PCAP демпінен VNC трафигін талдауға тырыстық, бірақ соңында біз енгізген экранды жазу оңайырақ және көрнекі болып шықты.
VNC сеанстарын бақылау
Ол үшін Chaosreader және VNCLogger қолдандық. Екі утилита да PCAP демпінен пернелерді басып шығарады, бірақ VNCLogger Backspace, Enter, Ctrl сияқты пернелерді дұрысырақ өңдейді.
VNCLogger екі кемшілігі бар. Біріншіден: ол интерфейстегі трафикті «тыңдау» арқылы кілттерді ғана шығара алады, сондықтан tcpreplay арқылы ол үшін VNC сеансын имитациялауға тура келді. VNCLogger-тің екінші кемшілігі Chaosreader-де ортақ: екеуі де алмасу буферінің мазмұнын көрсетпейді. Мұны істеу үшін маған Wireshark пайдалану керек болды.
Біз хакерлерді тартамыз
Біз бал құмырасын шабуыл жасау үшін жасадық. Бұған қол жеткізу үшін біз ықтимал шабуылдаушылардың назарын аудару үшін ақпараттың ағып кетуін ұйымдастырдық. Бал құмырасында келесі порттар ашылды:
RDP порты желіге қосылғаннан кейін көп ұзамай жабылуға тура келді, себебі желідегі сканерлеу трафигінің үлкен көлемі өнімділік мәселелерін тудырды.
VNC терминалдары алдымен құпия сөзсіз тек қарау режимінде жұмыс істеді, содан кейін біз оларды «қателесіп» толық кіру режиміне ауыстырдық.
Шабуылшыларды тарту үшін біз PasteBin сайтында қол жетімді өнеркәсіптік жүйе туралы ағып кеткен ақпараты бар екі хабарлама орналастырдық.
Шабуылдарды тарту үшін PasteBin сайтында жарияланған жазбалардың бірі. Дереккөз: Trend Micro
Шабуылдар
Honeypot жеті айға жуық онлайн өмір сүрді. Алғашқы шабуыл honeypot желіге қосылғаннан кейін бір айдан кейін болды.
Сканерлер
Белгілі компаниялардың сканерлерінен трафик көп болды - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye және т.б. Олардың көп болғаны сонша, олардың IP мекенжайларын талдаудан алып тастауға тура келді: 610-нің 9452-ы немесе барлық бірегей IP мекенжайларының 6,45% толығымен заңды сканерлерге тиесілі.
Scammers
Біз бетпе-бет келген ең үлкен тәуекелдердің бірі – біздің жүйені қылмыстық мақсатта пайдалану: абоненттік шот арқылы смартфон сатып алу, сыйлық карталарын пайдаланып авиа мильдерді қолма-қол ақшаға айналдыру және басқа да алаяқтық түрлері.
Кеншілер
Біздің жүйеге алғашқы келушілердің бірі кенші болып шықты. Ол оған Monero майнинг бағдарламалық құралын жүктеп алды. Ол өнімділігі төмен болғандықтан біздің нақты жүйеде көп ақша таба алмас еді. Дегенмен, егер біз бірнеше ондаған, тіпті жүздеген осындай жүйелердің күш-жігерін біріктіретін болсақ, бұл өте жақсы болуы мүмкін.
Ransomware
Honeypot жұмысы кезінде біз нақты ransomware вирустарын екі рет кездестірдік. Бірінші жағдайда бұл Crysis болды. Оның операторлары жүйеге VNC арқылы кірді, бірақ содан кейін TeamViewer орнатып, одан әрі әрекеттерді орындау үшін пайдаланды. BTC бойынша 10 6 доллар төлем талап ететін бопсалау хабарламасын күткеннен кейін, біз қылмыскерлермен хат жазысып, олардан файлдардың біреуін шифрдан шығаруды сұрадық. Олар талапты орындап, төлем талабын қайталады. Біз XNUMX мың долларға дейін келіссөз жүргізе алдық, содан кейін жүйені виртуалды машинаға қайта жүктедік, өйткені біз барлық қажетті ақпаратты алдық.
Екінші төлем бағдарламасы Phobos болып шықты. Оны орнатқан хакер бір сағат бойы honeypot файлдық жүйесін шолып, желіні сканерлеген, содан кейін төлем бағдарламалық құралын орнатқан.
Үшінші ransomware шабуылы жалған болып шықты. Белгісіз «хакер» haha.bat файлын біздің жүйеге жүктеп алды, содан кейін ол оны іске қосуға тырысып жатқанын біраз уақыт бақылап отырдық. Әрекеттердің бірі haha.bat атауын haha.rnsmwr деп өзгерту болды.
«Хакер» кеңейтімін .rnsmwr етіп өзгерту арқылы bat файлының зияндылығын арттырады. Дереккөз: Trend Micro
Пакеттік файл жұмыс істей бастағанда, «хакер» оны өңдеп, төлемді 200 доллардан 750 долларға дейін арттырды. Осыдан кейін ол барлық файлдарды «шифрлап», жұмыс үстелінде бопсалау туралы хабарлама қалдырды және біздің VNC парольдерін өзгертіп, жоғалып кетті.
Бір-екі күннен кейін хакер қайтып оралды және өзін еске түсіру үшін порно сайты бар көптеген терезелерді ашатын пакеттік файлды іске қосты. Осы арқылы ол өз талабына назар аударуға тырысса керек.
Нәтижелері
Зерттеу барысында осалдық туралы ақпарат жариялана салысымен, бал құмырасының белсенділік күннен күнге артып отырғаны белгілі болды. Тұзақ назарын аудару үшін біздің жалған компания қауіпсіздікті бірнеше рет бұзуға мәжбүр болды. Өкінішке орай, бұл жағдай АТ және ақпараттық қауіпсіздік бойынша штаттық қызметкерлері жоқ көптеген нақты компаниялар арасында сирек емес.
Тұтастай алғанда, ұйымдар ең аз артықшылық принципін қолдануы керек, ал біз шабуылдаушыларды тарту үшін оған мүлдем қарама-қарсы әрекет жасадық. Біз шабуылдарды неғұрлым ұзақ бақылаған сайын, олар енуді тексерудің стандартты әдістерімен салыстырғанда неғұрлым күрделі болды.
Ең бастысы, желіні орнату кезінде тиісті қауіпсіздік шаралары орындалса, бұл шабуылдардың барлығы сәтсіз болар еді. Ұйымдар өз жабдықтары мен өнеркәсіптік инфрақұрылым құрамдастарына Интернеттен қолжетімсіз болуын қамтамасыз етуі керек, өйткені біз тұзаққа түсіргенбіз.
Барлық компьютерлерде бірдей жергілікті әкімші құпия сөзін пайдаланғанымызға қарамастан, инженердің жұмыс станциясына бірде-бір шабуылды тіркемегенімізге қарамастан, кіру мүмкіндігін азайту үшін бұл тәжірибеден аулақ болу керек. Өйткені, әлсіз қауіпсіздік киберқылмыскерлерді бұрыннан қызықтырған өнеркәсіптік жүйелерге шабуылға қосымша шақыру ретінде қызмет етеді.
Ақпарат көзі: www.habr.com