Сөзсүз жагымдуу: биз ачыкка чыга албай турган бал чөйчөгүн кантип жаратканбыз

Вирустун жаңы вариантын "кармоо" же адаттан тыш хакерлердин тактикасын аныктоо үчүн антивирустук компаниялар, маалыматтык коопсуздук боюнча эксперттер жана жөн гана энтузиасттар бал тутумдарын Интернетке жайгаштырышат. Бал чөйчөкчөлөрү ушунчалык кеңири тарагандыктан, киберкылмышкерлер кандайдыр бир иммунитетти калыптандырышкан: алар тузакка түшкөнүн дароо аныктап, ага көңүл бурбай коюшат. Заманбап хакерлердин тактикасын изилдөө үчүн биз интернетте жети ай жашаган, ар кандай чабуулдарды тарткан реалдуу бал чөйчөгүн түздүк. Биз изилдөөбүздө бул кандай болгонун сүйлөштүк "Акт менен кармалды: Чыныгы коркунучтарды басып алуу үчүн реалдуу заводдун бал чөйчөгүн иштетүү" Изилдөөнүн айрым фактылары бул постто.

Honeypot өнүктүрүү: текшерүү тизмеси

Биздин супертрапты түзүүдөгү негизги милдет ага кызыккан хакерлердин ачыкка чыгышына жол бербөө болчу. Бул көп эмгекти талап кылды:

1. Кызматкерлердин толук аты-жөнүн жана сүрөттөрүн, телефон номерлерин жана электрондук даректерди камтыган компания жөнүндө реалдуу легенда түзүңүз.
2. Биздин компаниянын ишмердүүлүгү жөнүндө легендага дал келген өнөр жай инфраструктурасынын моделин ойлоп табуу жана ишке ашыруу.
3. Кайсы тармак кызматтары сырттан жеткиликтүү болорун чечиңиз, бирок ал соргучтар үчүн тузак болуп калбашы үчүн, аялуу портторду ачуу менен алек болбоңуз.
4. Аялуу система жөнүндө маалыматтын сыртка чыгып кетишинин көрүнүшүн уюштуруңуз жана бул маалыматты потенциалдуу чабуулчулар арасында таратыңыз.
5. Honeypot инфраструктурасында хакерлердин аракеттерине кылдаттык менен мониторинг жүргүзүү.

Ал эми азыр биринчи нерсе.

Легенда түзүү

Киберкылмышкерлер буга чейин эле көптөгөн бал челектерине жолугууга көнүп калышкан, ошондуктан алардын эң алдыңкы бөлүгү ар бир аялуу системанын тузак эмес экенине ынануу үчүн терең иликтөө жүргүзөт. Ошол эле себептен, биз бал челек дизайн жана техникалык аспектилери боюнча гана реалдуу эмес, ошондой эле чыныгы компаниянын көрүнүшүн түзүү үчүн аракет кылдык.

Өзүбүздү гипотетикалык салкын хакердин ордуна коюп, биз чыныгы системаны тузактан айырмалай турган текшерүү алгоритмин иштеп чыктык. Ага репутация системаларында компаниянын IP даректерин издөө, IP даректеринин тарыхын тескери изилдөө, компанияга, ошондой эле анын контрагенттерине тиешелүү аталыштарды жана ачкыч сөздөрдү издөө жана башка көптөгөн нерселер камтылган. Натыйжада, легенда абдан ынанымдуу жана жагымдуу болуп чыкты.

Аскердик жана авиация сегментинде анонимдүү кардарлар үчүн иштеген чакан өнөр жай прототиптерин чыгаруучу фабрика катары жайгаштырууну чечтик. Бул бизди учурдагы брендди колдонуу менен байланышкан юридикалык кыйынчылыктардан бошотту.

Андан кийин биз уюмдун көз карашын, миссиясын жана аталышын ойлоп табышыбыз керек болчу. Биздин компания аз сандагы кызматкерлерден турган, ар бири негиздөөчүсү болгон стартап болот деп чечтик. Бул биздин бизнестин адистештирилген табияты жөнүндөгү окуяга ишенимди арттырды, бул ага ири жана маанилүү кардарлар үчүн сезимтал долбоорлорду башкарууга мүмкүндүк берет. Биз компаниябыздын киберкоопсуздук көз карашынан алсыз болуп көрүнүшүн кааладык, бирок ошол эле учурда максаттуу системалар боюнча маанилүү активдер менен иштеп жатканыбыз айкын болду.

MeTech honeypot веб-сайтынын скриншоту. Булак: Trend Micro

Компаниянын аталышы катары MeTech деген сөздү тандап алдык. Сайт бекер шаблондун негизинде жасалган. Сүрөттөр эң популярдуу эмес сүрөттөрдү колдонуп, аларды анча таанылгыс кылып өзгөртүп, фотобанктардан алынган.

Биз компаниянын чыныгы көрүнүшүн кааладык, андыктан иш профилине дал келген профессионалдык жөндөмү бар кызматкерлерди кошуу керек болду. Биз алар үчүн ысымдарды жана инсандарды ойлоп таптык, анан фотобанктардан улутуна жараша сүрөттөрдү тандап алууга аракет кылдык.

MeTech honeypot веб-сайтынын скриншоту. Булак: Trend Micro

Ачылып калбаш үчүн, биз керектүү жүздөрдү тандап ала турган сапаттуу топтук сүрөттөрдү издедик. Бирок, биз андан кийин бул опциядан баш тарттык, анткени потенциалдуу хакер тескери сүрөт издөөнү колдонуп, биздин “кызматкерлер” фотобанктарда гана жашаарын аныкташы мүмкүн. Акыр-аягы, биз нейрондук тармактардын жардамы менен түзүлгөн жок адамдардын сүрөттөрүн колдондук.

Сайтта жарыяланган кызматкерлердин профилдеринде алардын техникалык жөндөмдөрү тууралуу маанилүү маалыматтар камтылган, бирок биз белгилүү бир мектептерди же шаарларды аныктоодон качканбыз.
Почта ящиктерин түзүү үчүн биз хостинг провайдеринин серверин колдондук, андан кийин АКШда бир нече телефон номерлерин ижарага алып, аларды үн менюсу жана жооп берүүчү машинасы бар виртуалдык АТСке бириктирдик.

Honeypot инфраструктурасы

Экспозицияны болтурбоо үчүн биз чыныгы өнөр жай жабдыктарын, физикалык компьютерлерди жана коопсуз виртуалдык машиналарды колдонууну чечтик. Алдыга карап, биз Shodan издөө системасын колдонуп, биздин күч-аракетибиздин натыйжасын текшерип, бал чөйчөк чыныгы өнөр жай системасы сыяктуу экенин көрсөттү деп айтабыз.

Шодандын жардамы менен бал чөйчөгүн сканерлөөнүн натыйжасы. Булак: Trend Micro

Биз капкан үчүн аппараттык каражат катары төрт PLC колдондук:

• Siemens S7-1200,
• эки AllenBradley MicroLogix 1100,
• Omron CP1L.

Бул PLCs дүйнөлүк башкаруу системасынын рыногунда популярдуулугу үчүн тандалып алынган. Жана бул контроллерлордун ар бири өзүнүн протоколун колдонушат, бул бизге PLCтердин кайсынысына көбүрөөк кол салууга дуушар болорун жана алар принцибинде кимдир-бирөөнү кызыктырарын текшерүүгө мүмкүндүк берди.

Биздин «заводдун» жаб-дуулары. Булак: Trend Micro

Биз жөн гана жабдыктарды орнотуп, интернетке туташтырган жокпуз. Биз ар бир контроллерди, анын ичинде тапшырмаларды аткарууга программалаганбыз

• аралаштыруу,
• күйгүчтү жана конвейерди башкаруу,
• роботтук манипулятордун жардамы менен паллеттөө.

Өндүрүш процессин реалдуу кылуу үчүн, биз логиканы кокустук менен кайтарым байланыш параметрлерин өзгөртүүгө, кыймылдаткычтарды иштетүүнү жана токтотууну, күйгүзүүчүлөрдү күйгүзүү жана өчүрүү үчүн программалашты.

Биздин заводдо үч виртуалдык жана бир физикалык компьютер бар болчу. Виртуалдык компьютерлер заводду, паллетизатор роботун башкаруу үчүн жана PLC программалык камсыздоо инженери үчүн жумушчу станция катары колдонулган. Физикалык компьютер файл сервери катары иштеген.

PLCтерге чабуулдарды көзөмөлдөөдөн тышкары, биз түзмөктөрүбүзгө жүктөлгөн программалардын абалын көзөмөлдөгүбүз келди. Бул үчүн биз виртуалдык кыймылдаткычтарыбыздын жана орнотууларыбыздын абалы кандайча өзгөртүлгөнүн тез аныктоого мүмкүндүк берген интерфейсти түздүк. Пландаштыруу стадиясында биз муну контроллердин логикасын түз программалоого караганда башкаруу программасын колдонуу менен ишке ашыруу алда канча жеңил экенин байкадык. Биз VNC аркылуу бал чөнтөгүбүздүн аппаратты башкаруу интерфейсине сырсөзсүз кирүүнү ачтык.

Өнөр жай роботтору заманбап акылдуу өндүрүштүн негизги компоненти болуп саналат. Ушуга байланыштуу биз роботту жана аны башкаруучу автоматташтырылган жумуш ордун капкан заводубуздун жабдууларына кошууну чечтик. "Заводду" реалдуураак кылуу үчүн биз башкаруучу жумушчу станцияга реалдуу программалык камсыздоону орноттук, аны инженерлер роботтун логикасын графикалык түрдө программалоо үчүн колдонушат. Өнөр жай роботтору адатта обочолонгон ички тармакта жайгашкандыктан, биз VNC аркылуу корголбогон кирүү мүмкүнчүлүгүн башкаруучу жумушчу станцияга гана калтырууну чечтик.

Биздин роботтун 3D модели менен RobotStudio чөйрөсү. Булак: Trend Micro

Биз ABB Robotics компаниясынан RobotStudio программалоо чөйрөсүн роботту башкаруучу жумушчу станциясы бар виртуалдык машинага орноттук. RobotStudio конфигурациялагандан кийин, биз анын 3D сүрөтү экранда көрүнүп тургандай, андагы робот менен симуляция файлын ачтык. Натыйжада, Shodan жана башка издөө системалары корголбогон VNC серверин тапканда, бул экрандагы сүрөттү кармап, башкарууга ачык мүмкүнчүлүгү бар өнөр жай роботторун издегендерге көрсөтөт.

Бул майда-чүйдөсүнө чейин көңүл буруунун максаты чабуулчулар үчүн жагымдуу жана реалдуу бута түзүү болчу, алар аны тапкандан кийин ага кайра-кайра кайтып келишет.

Инженердин жумушчу станциясы

PLC логикасын программалоо үчүн инфраструктурага инженердик компьютерди коштук. Ага PLC программалоо үчүн өнөр жай программасы орнотулган:

• Siemens үчүн TIA порталы,
• Аллен-Брэдли контроллери үчүн MicroLogix,
• Omron үчүн CX-One.

Биз инженердик иш мейкиндигине тармактан тышкары кирүүгө болбойт деп чечтик. Тескерисинче, биз роботту башкаруу жумушчу станциясында жана Интернеттен жеткиликтүү болгон фабрикалык башкаруу жумушчу станциясындагыдай эле, администратор эсеби үчүн сырсөздү койдук. Бул конфигурация көптөгөн компанияларда кеңири таралган.
Тилекке каршы, биздин бардык аракеттерибизге карабастан, бир дагы чабуулчу инженердин иш ордуна жеткен жок.

Файл сервери

Ал бизге кол салуучуларга жем катары жана декун фабрикасында өзүбүздүн «ишибизди» колдоонун каражаты катары керек болчу. Бул бизге бал чөйчөк тармагында из калтырбастан USB түзмөктөрү аркылуу файлдарды бөлүшүүгө мүмкүндүк берди. Биз Windows 7 Pro'ну файл сервери үчүн ОС катары орноттук, анда биз каалаган адам окуй жана жаза ала турган жалпы папканы түздүк.

Алгач биз файл серверинде папкалардын жана документтердин иерархиясын түзгөн жокпуз. Бирок, кийинчерээк чабуулчулар бул папканы активдүү изилдеп жатышканын байкадык, ошондуктан аны ар кандай файлдар менен толтурууну чечтик. Бул үчүн биз сөздүктүн негизинде аталышты түзүп, берилген кеңейтүүлөрдүн бири менен кокус өлчөмдөгү файлды түзгөн питон сценарийин жаздык.

Жагымдуу файл аталыштарын түзүү үчүн скрипт. Булак: Trend Micro

Скриптти иштеткенден кийин, биз абдан кызыктуу аттары бар файлдар менен толтурулган папка түрүндө каалаган натыйжаны алдык.

Сценарийдин жыйынтыгы. Булак: Trend Micro

Мониторинг чөйрөсү

Реалдуу компанияны түзүү үчүн ушунчалык көп күч-аракет жумшагандыктан, биз "конокторубузга" мониторинг жүргүзүү үчүн чөйрөдө ийгиликке жете алган жокпуз. Биз бардык маалыматтарды реалдуу убакыт режиминде кол салуучулар байкабай туруп алышыбыз керек болчу.

Биз муну төрт USBдан Ethernet адаптерин, төрт SharkTap Ethernet кранын, Raspberry Pi 3 жана чоң тышкы дискти колдонуп ишке ашырдык. Биздин тармак диаграммасы мындай көрүндү:

Мониторинг жабдуулары менен Honeypot тармагынын диаграммасы. Булак: Trend Micro

Биз PLCге ички тармактан гана жеткиликтүү болгон бардык тышкы трафикти көзөмөлдөө үчүн үч SharkTap кранын жайгаштырдык. Төртүнчү SharkTap аялуу виртуалдык машинанын конокторунун трафигин көзөмөлдөгөн.

SharkTap Ethernet Tap жана Sierra Wireless AirLink RV50 роутери. Булак: Trend Micro

Raspberry Pi күн сайын трафикти басып алууну аткарды. Интернетке көбүнчө өнөр жай ишканаларында колдонулган Sierra Wireless AirLink RV50 уюлдук роутерин колдонуп туташтык.

Тилекке каршы, бул роутер биздин пландарыбызга дал келбеген чабуулдарды тандап бөгөт коюуга мүмкүндүк берген жок, ошондуктан тармакка минималдуу таасири менен бөгөт коюуну ишке ашыруу үчүн Cisco ASA 5505 брандмауэрин ачык режимде коштук.

Трафик анализи

Tshark жана tcpdump учурдагы маселелерди тез чечүү үчүн ылайыктуу, бирок биздин учурда алардын мүмкүнчүлүктөрү жетишсиз болчу, анткени бизде көп гигабайт трафик бар болчу, аларды бир нече адамдар талдап чыгышкан. Биз AOL тарабынан иштелип чыккан ачык булактуу Moloch анализаторун колдондук. Функционалдыгы боюнча аны Wireshark менен салыштырууга болот, бирок кызматташуу, пакеттерди сүрөттөө жана белгилөө, экспорттоо жана башка тапшырмалар үчүн көбүрөөк мүмкүнчүлүктөр бар.

Биз чогулган маалыматтарды бал чөнтөк компьютерлеринде иштетүүнү каалабагандыктан, PCAP таштандылары күн сайын AWS сактагычына экспорттолчу, ал жерден биз аларды Moloch машинасына импорттогонбуз.

Экранды жаздыруу

Биздин балдагы хакерлердин иш-аракеттерин документтештирүү үчүн, биз виртуалдык машинанын скриншотторун берилген интервалда тартып алган сценарийди жаздык жана аны мурунку скриншот менен салыштырып, ал жерде бир нерсе болуп жатканын же жокпу, аныктадык. Активдүүлүк аныкталганда, скриптте экран жазуусу камтылган. Бул ыкма эң натыйжалуу болуп чыкты. Биз ошондой эле системада кандай өзгөрүүлөр болгонун түшүнүү үчүн PCAP таштандысынан VNC трафигин талдап көрүүгө аракет кылдык, бирок аягында биз ишке ашырган экранды жаздыруу жөнөкөй жана визуалдык болуп чыкты.

VNC сеанстарына мониторинг жүргүзүү

Бул үчүн биз Chaosreader жана VNCLogger колдондук. Эки утилита тең PCAP таштандысынан баскыч басууларды чыгарат, бирок VNCLogger Backspace, Enter, Ctrl сыяктуу баскычтарды туурараак иштетет.

VNCLogger эки кемчиликтери бар. Биринчи: ал интерфейстеги трафикти "угуу" аркылуу гана ачкычтарды чыгара алат, андыктан tcpreplay аркылуу ал үчүн VNC сеансын имитациялашыбыз керек болчу. VNCLoggerдин экинчи кемчилиги Chaosreader менен кеңири таралган: экөө тең алмашуу буферинин мазмунун көрсөтпөйт. Бул үчүн мен Wireshark колдонушум керек болчу.

Биз хакерлерди азгырабыз

Биз бал челекти кол салуу үчүн жараттык. Буга жетүү үчүн биз потенциалдуу чабуулчулардын көңүлүн буруу үчүн маалыматтын сыртка чыгышын уюштурдук. Honeypot боюнча төмөнкү порттор ачылган:

RDP порту биз түз эфирге чыккандан көп өтпөй жабылышы керек болчу, анткени биздин тармагыбыздагы сканерлөө трафигинин чоң көлөмү аткарууда көйгөйлөрдү жаратып жаткан.
VNC терминалдары адегенде сырсөзсүз гана көрүү режиминде иштеген, андан кийин биз "ката" аларды толук мүмкүнчүлүк режимине өткөрдүк.

Чабуулчуларды тартуу үчүн биз PasteBin сайтында жеткиликтүү өнөр жай системасы жөнүндө ачыкка чыккан маалыматы бар эки пост жарыяладык.

Кол салууларды тартуу үчүн PasteBin сайтында жарыяланган билдирүүлөрдүн бири. Булак: Trend Micro

кол салуулар

Honeypot жети айга жакын онлайн режиминде жашаган. Биринчи чабуул бал чөйчөгү интернетке чыккандан бир айдан кийин болгон.

сканерлер

Белгилүү компаниялардын сканерлеринен трафик көп болгон - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye жана башкалар. Алардын саны ушунчалык көп болгондуктан, алардын IP даректерин анализден алып салууга туура келди: 610ден 9452у же бардык уникалдуу IP даректердин 6,45% толугу менен мыйзамдуу сканерлерге таандык.

Абайлагыла

Биз туш болгон эң чоң тобокелчиликтердин бири – бул биздин системаны кылмыштуу максатта колдонуу: абоненттин эсеби аркылуу смартфондорду сатып алуу, белек карталарын колдонуу менен авиа мильдерди накталай алуу жана башка алдамчылык түрлөрү.

Шахтерлор

Биздин системага биринчи келгендердин бири шахтёр болуп чыкты. Ал ага Monero тоо-кен казып алуу программасын жүктөп алган. Ал аз өндүрүмдүүлүктөн улам биздин конкреттүү системада көп акча таба алмак эмес. Бирок, эгерде биз бир нече ондогон, ал тургай, жүздөгөн мындай системалардын күч-аракетин бириктирсек, бул абдан жакшы болушу мүмкүн.

Ransomware

Honeypot менен иштөө учурунда биз чыныгы ransomware вирустарын эки жолу жолуктурдук. Биринчи учурда бул Crysis болгон. Анын операторлору системага VNC аркылуу кирип, бирок андан кийин TeamViewerди орнотуп, андан аркы аракеттерди аткаруу үчүн колдонушкан. BTC боюнча 10 6 доллар кун талап кылган опузалап акча талап кылган билдирүүнү күткөндөн кийин, биз кылмышкерлер менен кат жазышып, алардан файлдардын бирин чечип берүүнү сурандык. Алар талапты аткарып, кун талабын кайталашты. Биз XNUMX миң долларга чейин сүйлөшүүгө жетиштик, андан кийин системаны виртуалдык машинага кайра жүктөдүк, анткени биз бардык керектүү маалыматты алдык.

Экинчи ransomware Phobos болуп чыкты. Аны орноткон хакер бир саат honeypot файлдык тутумун карап чыгып, тармакты сканерлеп, акыры ransomware орноткон.
Үчүнчү ransomware чабуулу жасалма болуп чыкты. Белгисиз "хакер" haha.bat файлын биздин системага жүктөп алды, андан кийин биз аны иштетүүгө аракет кылып жатканда бир аз карап турдук. Аракеттердин бири haha.bat атын haha.rnsmwr деп өзгөртүү болду.

"Хакер" .rnsmwr кеңейтүүсүн өзгөртүү менен бат файлынын зыяндуулугун жогорулатат. Булак: Trend Micro

Пакеттик файл акыры иштей баштаганда, "хакер" аны оңдоп, кунду 200 доллардан 750 долларга чейин көбөйткөн. Андан кийин, ал бардык файлдарды "шифрлеп", иш тактасында опузалап талап кылуу билдирүүсүн калтырып, биздин VNCдеги сырсөздөрдү өзгөртүп, жок болду.

Бир-эки күндөн кийин хакер кайтып келип, өзүн эстетип, порно сайты менен көптөгөн терезелерди ачкан пакеттик файлды ишке киргизген. Сыягы, ушинтип өзүнүн талабына көңүл бурууга аракет кылган окшойт.

натыйжалары

Изилдөөнүн жүрүшүндө алсыздык тууралуу маалымат жарыяланары менен бал чөйчөктүн активдүүлүгү күндөн-күнгө өсүп, көңүл бурганы белгилүү болду. Тузак көңүл буруу үчүн, биздин ойдон чыгарылган компания бир нече коопсуздук бузууларга дуушар болушу керек болчу. Тилекке каршы, бул жагдай IT жана маалыматтык коопсуздук боюнча штаттык кызматкерлери жок көптөгөн реалдуу компаниялардын арасында сейрек эмес.

Жалпысынан алганда, уюмдар эң аз артыкчылык принцибин колдонушу керек, ал эми биз чабуулчуларды тартуу үчүн анын так тескерисин ишке ашырдык. Жана биз чабуулдарды канчалык узакка караган сайын, алар стандарттык кирүү тестирлөө ыкмаларына салыштырмалуу ошончолук татаалдашты.

Эң негизгиси, тармакты орнотууда адекваттуу коопсуздук чаралары көрүлгөндө, бул чабуулдардын баары ишке ашпай калмак. Уюмдар алардын жабдыктары жана өнөр жай инфраструктурасынын компоненттери Интернеттен жеткиликтүү болбошун камсыз кылышы керек, муну биз атайын тузакка түшүргөнбүз.

Бардык компьютерлерде бир эле локалдык администратордун сырсөзүн колдонгонубузга карабастан, биз инженердин жумушчу станциясына бир дагы чабуулду каттабасак да, интрузия мүмкүнчүлүгүн азайтуу үчүн бул практикадан качуу керек. Анткени, алсыз коопсуздук киберкылмышкерлерди көптөн бери кызыктырып келген өнөр жай системаларына чабуул жасоого кошумча чакыруу болуп саналат.

Source: www.habr.com