Pargîdaniyên antîvîrus, pisporên ewlehiya agahdariyê û bi tenê dilxwazan pergalên honeypot li ser Înternetê datînin da ku guhertoyek nû ya vîrusê "bigirin" an jî taktîkên hacker ên neasayî nas bikin. Honeypots ew qas gelemperî ne ku sûcdarên sîber celebek bêparêziyê pêş xistine: ew zû nas dikin ku ew li ber xefikek in û bi hêsanî wê paşguh dikin. Ji bo vekolîna taktîkên hackerên nûjen, me hingivek rastîn a ku heft mehan li ser Înternetê jiya, kêşa cûrbecûr êrîşan çêkir. Me di lêkolîna xwe de qala vê yekê kir ku "" Hin rastiyên ji lêkolînê di vê postê de ne.
Pêşveçûna Honeypot: lîsteya kontrolê
Karê sereke di afirandina supertrapa me de ew bû ku em nehêlin ji hêla hackerên ku eleqe nîşanî wê didin neyên eşkere kirin. Ji bo vê yekê gelek xebat lazim bû:
- Di derbarê pargîdaniyê de, tevî navên tevahî û wêneyên karmendan, hejmarên têlefonê û e-nameyê, efsaneyek rastîn biafirînin.
- Ji bo ku modelek binesaziya pîşesaziyê ya ku bi efsaneya çalakiyên pargîdaniya me re têkildar e peyda bike û bicîh bîne.
- Biryarê bidin ka kîjan karûbarên torê dê ji derve ve bigihîjin, lê bi vekirina benderên xizan re xwe jê negirin da ku ew ji bo şîrmijkan wekî xefikek xuya neke.
- Di derheqê pergalek xizan de xuyangiya lehiyên agahdariyê organîze bikin û van agahiyê di nav êrişkerên potansiyel de belav bikin.
- Di binesaziya honeypot de çavdêriya berbiçav a çalakiyên hackeran bicîh bikin.
Û niha pêşî tiştên pêşîn.
Çêkirina efsaneyekê
Sûcdarên sîber jixwe tê bikar anîn ku bi gelek honeypotan re rûbirû bibin, ji ber vê yekê beşa herî pêşkeftî ya wan lêkolînek kûr li ser her pergalek xedar dike da ku pê ewle bibe ku ew ne xefik e. Ji ber heman sedemê, me hewil da ku em pê ewle bin ku honeypot ne tenê di warê sêwiran û aliyên teknîkî de realîst e, lê di heman demê de xuyangiya pargîdaniyek rastîn jî biafirînin.
Me xwe davêjin cîhê hackerek sar a hîpotetîk, me algorîtmayek verastkirinê pêş xist ku dê pergalek rastîn ji xefikê veqetîne. Di nav pergalên navûdengê de lêgerîna navnîşanên IP-ya pargîdanî, vekolîna berevajî ya dîroka navnîşanên IP-yê, lêgerîna nav û peyvên sereke yên bi pargîdaniyê re, û her weha hevalbendên wê, û gelek tiştên din ve girêdayî ye. Di encamê de, efsaneya pir qayîl û balkêş derket holê.
Me biryar da ku kargeha deqê wekî bûtîkek prototîpkirina pîşesaziyê ya piçûk bi cîh bikin ku ji bo xerîdarên nenas ên pir mezin di beşa leşkerî û hewavaniyê de dixebite. Vê yekê me ji tevliheviyên qanûnî yên ku bi karanîna marqeyek heyî ve girêdayî ne azad kir.
Dû re diviyabû ku em ji bo rêxistinê nêrînek, mîsyon û navekê derxînin holê. Me biryar da ku şirketa me bibe destpêkek bi hejmareke hindik karmendan, ku her yek ji wan damezrîner e. Vê pêbaweriya çîroka xwezaya pispor a karsaziya me zêde kir, ku dihêle ku ew projeyên hesas ji bo xerîdarên mezin û girîng bi rê ve bibe. Me dixwest ku pargîdaniya me ji perspektîfek ewlehiya sîber qels xuya bibe, lê di heman demê de diyar bû ku em bi malzemeyên girîng re li ser pergalên armanc dixebitin.
Dîmenê malpera MeTech honeypot. Çavkanî: Trend Micro
Me peyva MeTech wekî navê pargîdaniyê hilbijart. Malper li ser bingeha şablonek belaş hate çêkirin. Wêneyên ji bankeyên wêneyan hatine girtin, yên herî ne populer bikar tînin û wan diguhezînin da ku ew kêm werin naskirin.
Me dixwest ku pargîdanî rast xuya bike, ji ber vê yekê me hewce kir ku xebatkarên xwedan jêhatîbûnên profesyonel ên ku bi profîla çalakiyê re têkildar in zêde bikin. Me nav û kesayetî ji wan re peyda kir û paşê me hewl da ku li gorî etnîkî wêneyan ji bankên wêneyan hilbijêrin.
Dîmenê malpera MeTech honeypot. Çavkanî: Trend Micro
Ji bo ku em neyên keşfkirin, me li wêneyên komê yên qalîteya baş geriya ku ji nav wan em dikarin rûyên ku em hewce ne hilbijêrin. Lêbelê, me dûv re dev ji vê vebijarkê berda, ji ber ku hackerek potansiyel dikare lêgerîna wêneya berevajî bikar bîne û kifş bike ku "karmendên" me tenê di bankên wêneyan de dijîn. Di dawiyê de, me wêneyên mirovên neheyî ku bi karanîna torên neuralî hatine afirandin bikar anîn.
Profîlên karmendan ên ku li ser malperê hatine şandin agahdariya girîng di derbarê jêhatîbûna wan a teknîkî de hene, lê me ji naskirina dibistan an bajarên taybetî dûr xist.
Ji bo afirandina qutiyên posteyê, me serverek pêşkêşkarek mêvandar bikar anî, û dûv re çend hejmarên têlefonê li Dewletên Yekbûyî kirê kirin û wan di nav PBXek virtual de bi menuya deng û makîneya bersivdanê re berhev kirin.
binesaziya Honeypot
Ji bo ku em ji ber çavan dûr nekevin, me biryar da ku em berhevokek hardware pîşesaziyê, komputerên laşî û makîneyên virtual ewledar bikar bînin. Li pêş çavan, em ê bibêjin ku me encama hewildanên xwe bi karanîna motora lêgerînê ya Shodan kontrol kir, û wê destnîşan kir ku honeypot mîna pergalek pîşesaziyê ya rastîn xuya dike.
Encama şopandina honeypotek bi karanîna Shodan. Çavkanî: Trend Micro
Me çar PLC wekî hardware ji bo xefika xwe bikar anî:
- Siemens S7-1200,
- du AllenBradley MicroLogix 1100,
- Omron CP1L.
Van PLC ji bo populerbûna xwe di bazara pergala kontrola gerdûnî de hatin hilbijartin. Û her yek ji van kontrolkeran protokola xwe bikar tîne, ku destûr da me ku em kontrol bikin ka kîjan ji PLC-ê dê pir caran êrîş bibe û gelo ew ê di prensîbê de kesek eleqedar bikin.
Amûrên "fabrîka"-xefika me. Çavkanî: Trend Micro
Me tenê hardware saz nekir û bi Înternetê ve girêda. Me her kontrolkerek bername kir ku peywiran pêk bîne, di nav de
- tevlihevkirin,
- kontrolkirina şewat û kembera veguhastinê,
- paletkirina bi karanîna manipulatorek robotîkî.
Û ji bo ku em pêvajoya hilberînê realîst bikin, me mantiq bername kir da ku bi rasthatinî parametreyên bersivdayînê biguhezîne, motorên dest pêkirin û sekinandinê, û şewitandin û vemirandinên şewitandinê simule bikin.
Di kargeha me de sê komputerên virtual û yek jî fizîkî hebûn. Komputerên virtual ji bo kontrolkirina nebatek, robotek paletîzer û wekî cîhek xebatê ji bo endezyarek nermalava PLC-ê hatine bikar anîn. Komputera fizîkî wekî serverek pelan dixebitî.
Digel şopandina êrîşên li ser PLC-yan, me xwest ku rewşa bernameyên ku li ser cîhazên me hatine barkirin bişopînin. Ji bo kirina vê yekê, me navgînek çêkir ku rê da me ku em zû diyar bikin ka çawa halên çalakker û mîhengên me yên virtual hatine guheztin. Jixwe di qonaxa plansaziyê de, me kifş kir ku pêkanîna vê yekê bi karanîna bernameyek kontrolê ji bernameya rasterast a mantiqa kontrolker pir hêsantir e. Me bi navgîniya VNC ve bêyî şîfreyek gihîştina navrûya rêveberiya cîhazê ya honeypot-a xwe vekir.
Robotên pîşesaziyê hêmanek bingehîn a hilberîna hişmend a nûjen in. Di vî warî de, me biryar da ku em robotek û cîhek kar a otomatîkî zêde bikin da ku wê li alavên kargeha xweya xefikê kontrol bikin. Ji bo ku "fabrîk" rasttir bibe, me nermalava rastîn li ser rawestgeha xebatê ya kontrolê saz kir, ku endezyar ji bo bernamekirina mentiqa robotê bi grafîkî bikar tînin. Welê, ji ber ku robotên pîşesaziyê bi gelemperî di torgilokek hundurîn a veqetandî de cih digirin, me biryar da ku em bi riya VNC-ê tenê ji stasyona xebatê ya kontrolê re bihêlin.
Jîngeha RobotStudio bi modela 3D ya robotê me. Çavkanî: Trend Micro
Me hawîrdora bernamekirinê ya RobotStudio ji ABB Robotics li ser makîneyek virtual ya bi stasyona xebatê ya kontrolkirina robotan saz kir. Piştî ku RobotStudio mîheng kir, me bi robotê xwe re pelek simulasyonê vekir da ku wêneya wê ya 3D li ser ekranê xuya bibe. Wekî encamek, Shodan û motorên lêgerînê yên din, bi dîtina serverek VNC ya ne ewledar, dê vê wêneya ekranê bigirin û wê nîşanî kesên ku li robotên pîşesaziyê yên bi gihandina vekirî ya kontrolê digerin, bidin.
Mebesta vê balkişandina bi hûrgulî ew bû ku ji bo êrîşkeran armancek balkêş û realîst biafirîne ku, gava ku ew dît, dê dîsa û dîsa vegere ser wê.
qereqola xebatê ya endezyar
Ji bo bernamekirina mantiqa PLC, me komputerek endezyariyê li binesaziyê zêde kir. Nermalava pîşesaziyê ji bo bernameya PLC-ê li ser hate saz kirin:
- Portala TIA ji bo Siemens,
- MicroLogix ji bo kontrolkerê Allen-Bradley,
- CX-One ji bo Omron.
Me biryar da ku cîhê xebata endezyariyê dê li derveyî torê negihîje. Di şûna wê de, me ji bo hesabê rêveberê heman şîfreya ku li ser qereqola xebatê ya kontrolkirina robot û stasyona xebatê ya kontrolkirina fabrîkî ya ku ji Înternetê tê gihîştin destnîşan dike. Ev veavakirin di gelek pargîdaniyan de pir hevpar e.
Mixabin tevî hemû hewldanan jî yek êrîşkar jî negihîşt cihê karê endezyar.
Pêşkêşkara pelê
Pêdiviya me bi wê hebû ku ji bo êrîşkaran û wekî navgînek piştgirîkirina "xebata" xwe ya di kargeha deqê de. Vê yekê hişt ku em bêyî ku şopek li ser tora honeypot-ê bihêlin, bi karanîna cîhazên USB-ê bi honeypot-a xwe re parve bikin. Me Windows 7 Pro wekî OS-ya servera pelê saz kir, ku tê de me peldankek hevpar çêkir ku dikare ji hêla her kesî ve were xwendin û nivîsandin.
Di destpêkê de me tu hiyerarşiya peldank û belgeyan li ser servera pelan çênekir. Lêbelê, me paşê kifş kir ku êrîşkar bi rengek çalak li ser vê peldankê dixwînin, ji ber vê yekê me biryar da ku wê bi pelên cihêreng tijî bikin. Ji bo vê yekê, me skrîptek python nivîsand ku pelek bi mezinahiya rasthatî bi yek ji pêvekên diyarkirî re çêkir, navek li ser bingeha ferhengê ava kir.
Skrîpta ji bo afirandina navên pelên balkêş. Çavkanî: Trend Micro
Piştî xebitandina skrîptê, me di forma peldankek ku bi pelên bi navên pir balkêş dagirtî ye, encamek xwestî wergirt.
Encama senaryoyê. Çavkanî: Trend Micro
Jîngeha Şopandinê
Ji ber ku ew qas hewildan di afirandina pargîdaniyek realîst de xerc kirin, me bi tenê nikarîbû li ser jîngehê ji bo şopandina "mêvanên xwe" têk biçin. Pêwîst bû ku me hemî daneyan di demek rast de bi dest bixista bêyî ku êrîşkar fam bikin ku ew têne temaşe kirin.
Me vê yekê bi karanîna çar adapterên USB-ya Ethernet, çar tapên SharkTap Ethernet, Raspberry Pi 3, û ajokerek mezin a derveyî bicîh kir. Diagrama torê ya me bi vî rengî xuya bû:
Diagrama torê ya Honeypot bi alavên çavdêriyê. Çavkanî: Trend Micro
Me sê tapên SharkTap danîn da ku hemî seyrûsefera derveyî ya PLC-yê bişopînin, ku tenê ji tora hundurîn tê gihîştin. Çaremîn SharkTap seyrûsefera mêvanên makîneyek virtual ya xedar şopand.
SharkTap Ethernet Tap û Sierra Wireless AirLink RV50 Router. Çavkanî: Trend Micro
Raspberry Pi girtina seyrûsefera rojane pêk anî. Me bi Înternetê ve bi karanîna routerek hucreyî ya Sierra Wireless AirLink RV50 ve girêda, ku pir caran di pargîdaniyên pîşesaziyê de tê bikar anîn.
Mixabin, vê router rê neda me ku em bi bijartî êrişên ku bi planên me re li hev nakin asteng bikin, ji ber vê yekê me dîwarek Cisco ASA 5505 di moda şefaf de li torê zêde kir da ku astengkirinê bi bandorek hindiktirîn li ser torê pêk bîne.
Analîza trafîkê
Tshark û tcpdump ji bo çareserkirina zû pirsgirêkên heyî guncan in, lê di rewşa me de kapasîteyên wan ne bes bûn, ji ber ku me gelek gigabayt seyrûsefer hebûn, ku ji hêla gelek kesan ve hatî analîz kirin. Me analyzera Moloch-çavkaniya vekirî ya ku ji hêla AOL ve hatî pêşve xistin bikar anî. Ew di fonksiyonê de bi Wireshark re hevaheng e, lê ji bo hevkarî, ravekirin û nîşankirina pakêtan, hinardekirin û karên din bêtir jêhatî ye.
Ji ber ku me nexwest ku daneyên berhevkirî li ser komputerên honeypot bişopînin, avêtina PCAP-ê her roj ji bo hilanîna AWS-ê dihatin hinardekirin, ji wir jî me berê wan dianî ser makîneya Moloch.
Qeydkirina ekranê
Ji bo belgekirina kiryarên hackeran di honeypota xwe de, me senaryoyek nivîsand ku di navberek diyar de dîmenên makîneya virtual dikişand û, bi dîmendera berê re berhev dikir, diyar kir ku tiştek li wir diqewime an na. Dema ku çalakî hate tesbît kirin, skrîptê tomarkirina ekranê vedihewand. Ev nêzîkatiya herî bi bandor derket holê. Di heman demê de me hewl da ku seyrûsefera VNC-ê ji çolê PCAP-ê analîz bikin da ku fêm bikin ka çi guhertin di pergalê de çêbûne, lê di dawiyê de tomarkirina ekrana ku me bicîh anîbû sadetir û dîtbartir derket.
Şopandina danişînên VNC
Ji bo vê yekê me Chaosreader û VNCLogger bikar anîn. Her du karûbar bişkojkên bişkojka PCAP-ê derdixin, lê VNCLogger bişkojkên mîna Backspace, Enter, Ctrl rasttir digire dest.
VNCLogger du kêmasiyên xwe hene. Yekem: ew tenê bi "guhdarî"kirina seyrûsefera li ser navberê dikare bişkokan derxe, ji ber vê yekê me neçar ma ku ji bo wê bi tcpreplay danişînek VNC simule bikin. Kêmasiya duyemîn a VNCLogger bi Chaosreader-ê re hevpar e: ew her du jî naveroka clipboard-ê nîşan nadin. Ji bo vê yekê ez neçar bûm ku Wireshark bikar bînim.
Em hackeran dixapînin
Me hingiv çêkir ku em êrîş bikin. Ji bo ku em bigihîjin vê yekê, me ji bo ku bala êrîşkerên potansiyel bikişîne, lekeyek agahdarî pêk anî. Portên jêrîn li ser honeypot hatin vekirin:
Pêwîst bû ku porta RDP di demek kurt de piştî ku em zindî bûn bihata girtin ji ber ku girseya seyrûsefera li ser tora me bû sedema pirsgirêkên performansê.
Termînalên VNC pêşî di moda tenê-dîtinê de bêyî şîfre xebitîn, û dûv re me "bi xeletî" wan veguherand moda gihîştina tevahî.
Ji bo balkişandina êrîşkaran, me du postên bi agahdariya derçûyî li ser pergala pîşesaziyê ya berdest li ser PasteBin şandin.
Yek ji wan postên ku li ser PasteBin hatine şandin ku êrişan bikişînin. Çavkanî: Trend Micro
êrîşên
Honeypot bi qasî heft mehan serhêl jiya. Êrîşa yekem mehek piştî ku honeypot serhêl bû pêk hat.
Scanners
Ji skanerên pargîdaniyên navdar - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye û yên din gelek seyrûsefer hebû. Gelek ji wan hebûn ku me neçar ma ku navnîşanên IP-ya wan ji analîzê derxînin: 610 ji 9452 an 6,45% ji hemî navnîşanên IP-ya bêhempa yên skanerên bi tevahî rewa bûn.
Ammermker
Yek ji xetereyên herî mezin ên ku em pê re rû bi rû ne, karanîna pergala me ji bo mebestên sûcdar e: kirîna smartphone bi navgîniya hesabek abonetiyek, dravê mîleyên balafirgehê bi karanîna kartên diyariyê û celebên din ên sextekariyê.
Miners
Yek ji mêvanên yekem ên pergala me derket ku ew mêtînger bû. Wî nermalava madenê ya Monero li ser dakêşand. Ew ê nikaribe ji ber hilberîna kêm li ser pergala meya taybetî pir drav qezenc bike. Lêbelê, heke em hewildanên çend deh an jî bi sedan pergalên weha bidin hev, ew dikare pir baş derkeve.
Ransomware
Di dema xebata honeypot de, em du caran rastî vîrusên ransomware yên rastîn hatin. Di doza yekem de ew Crysis bû. Operatorên wê bi navgîniya VNC ve ketin pergalê, lê dûv re TeamViewer saz kirin û ew bikar anîn da ku çalakiyên din pêk bînin. Piştî ku em li benda peyamek xerckirinê bûn ku ji BTC-yê 10 dolar fîdye tê xwestin, em bi sûcdaran re ketin têkiliyê, ji wan xwest ku yek ji pelan ji me re deşîfre bikin. Wan ev daxwaz bi cih anîn û daxwaza fîdyeyê dubare kirin. Me karî heta 6 hezar dolar danûstandinan bikin, piştî wê me tenê pergalê ji nû ve li makîneyek virtual dakêşand, ji ber ku me hemî agahdariya pêwîst wergirt.
Ransomware duyemîn derket ku Phobos e. Hakerê ku ew saz kir, saetek li pergala pelan a honeypot gerand û torê şopand, û dûv re ransomware saz kir.
Êrîşa ransomware ya sêyemîn sexte derket. "Hacker"ek nenas pela haha.bat dakêşand ser pergala me, piştî ku me demekê temaşe kir ku wî hewl da ku wê bixebitîne. Yek ji hewldanan ew bû ku navê haha.bat bi haha.rnsmwr were guhertin.
"Hacker" zirara pelê batê bi guherandina dirêjahiya wê ya .rnsmwr zêde dike. Çavkanî: Trend Micro
Dema ku pela hevîrê di dawiyê de dest bi xebitandinê kir, "hacker" ew guhert, fîdyeyê ji 200 dolaran berbi 750 dolaran zêde kir. Piştî wê, wî hemî pelan "şîfre kir", peyamek xerckirinê li ser sermaseyê hişt û winda bû, şîfreyên li ser VNC-ya me guhezand.
Çend roj şûnda, hacker vegeriya û, ji bo ku xwe bîne bîra xwe, dosyayek berhev kir ku gelek pencereyên bi malperek porno vekir. Xuyaye, bi vî awayî hewl daye balê bikşîne ser daxwaza xwe.
Encam
Di dema lêkolînê de derket holê ku her ku agahiyên der barê qelsiyê de hatin weşandin, honeypot balê dikişîne û roj bi roj çalakî mezin dibe. Ji bo ku xefik balê bikişîne, pargîdaniya me ya xeyalî neçar ma ku gelek binpêkirinên ewlehiyê bikişîne. Mixabin, ev rewş di nav gelek pargîdaniyên rastîn de ku ne xwediyê xebatkarên ewlekariya IT û agahdariya tev-demjimê ne, ji nedîtî ve ye.
Bi gelemperî, rêxistin divê prensîba kêmtirîn îmtiyazê bikar bînin, dema ku me tam berevajiyê wê bicîh anî da ku êrîşkaran bikişîne. Û her ku me dirêjtir li êrîşan temaşe dikir, ew li gorî rêbazên ceribandina penetînê yên standard sofîstîketir dibûn.
Û ya herî girîng jî, ger dema sazkirina torê tedbîrên ewlehiyê yên têr bihatana cîbicîkirin, dê hemî van êrişan têk biçûya. Pêdivî ye ku rêxistin piştrast bikin ku alavên wan û pêkhateyên binesaziya pîşesaziyê ji Înternetê nayên gihîştin, wekî ku me bi taybetî di xefika xwe de kir.
Her çend me yek êrîşek li ser qereqola xebatê ya endezyarek tomar nekiribe jî, tevî ku heman şîfreya rêveberê herêmî li ser hemî komputeran bikar tîne, divê ji vê pratîkê dûr were girtin da ku îhtîmala destwerdan kêm bibe. Beriya her tiştî, ewlehiya qels wekî vexwendinek zêde ji bo êrişkirina pergalên pîşesaziyê, yên ku ji mêj ve ji sûcdarên sîber re eleqedar in, xizmet dike.
Source: www.habr.com