Societates Antivirus, peritis securitatis informationis et simpliciter enthusiastae systemata mellifica in Interreti pone ut "capere" novam variantis virus vel peritiam piraticam insolitam cognoscendi. Melpotae tam communes sunt ut cybercriminales quamdam immunitatem elaboraverunt: celeriter agnoscunt se ante laqueum esse et eam simpliciter ignorare. Ad explorandum peritiam hodiernorum hackersorum, creavimus ollam realem mel, quae in Interrete per septem menses vixit, varios impetus attrahens. Locuti sumus quomodo hoc in studio nostro acciderit "" Quaedam ex studio facta sunt in hac statione.
Honeypot progressionem: maculosus
Praecipuum munus in supertrapibus nostris creandis erat, ne nos ab asseclis qui in ea usuram dabant exponerentur. Hoc multum laboris requiritur;
- Creare legendam realem de comitatu, inter plena nomina et imagines operariorum, numerus telephonicus et electronicas.
- Ut ascendas et efficias exemplar infrastructurae industriae quae legendae de nostris actionibus de comitatu nostro respondet.
- Decerne utra officia retis ab extrinseco pateant, sed aperiendo portubus vulnerabilibus non auferuntur ut non tamquam captionem acetabulis spectant.
- Organizare visibilitatem informationum scillam circa systema vulnerabilem et hanc informationem inter potentes oppugnatores distribuere.
- Exsecutio prudens vigilantia piraticae actionis in melpot infrastructura.
Et iam omnia fere ut.
Creando legenda
Cybercriminales iam ad multum honeypots conveniendi sunt, sic antecedens pars earum investigationem altissimam cuiusque systematis vulnerabilis efficit ut caveat ne laqueus sit. Eadem de causa voluimus curare ut mel potus non solum realistica ratione consiliorum et technicorum, sed etiam verae societatis crearet speciem.
Nos in calceis hypotheticae piraticae refrigerantis positi, verificationem algorithmus elaboravimus, qui systema realem ab laqueis distingueret. Comprehendit inquisitionem societatis IP inscriptionum in systematis famae, investigationis in historia IP inscriptionum reversarum, quaerendo nomina et keywords cum societati relatas, necnon eius versos, et multa alia. Quam ob rem evasit fabula satis probabilis et venustas.
Constituimus officinam inlecebras collocare ut parvae prototyping boutique industrialis operandi pro amplissimis clientibus anonymis in segmento militari et aviation. Hic nos liberavit a complicationibus legalibus cum notam adhibendo.
Deinde per visum, missionem et nomen ad ordinationem ascendendum habuimus. Statuimus ut societas nostra startup cum paucis operariis velit, quorum quisque sit conditor. Hoc additam credibilitatem fabulam de natura propriae negotii nostri, quae sensitivas incepta pro clientibus magnis et magnis tractare permittit. Volumus societas nostra infirma videri ex cybersecuritate perspectiva, sed simul apparebat nos cum magnis bonis in systematibus targetis laborare.
Screenshot of the MeTech honeypot website. Fons: Fossa Micro
Verbum MeTech elegimus in comitatu nominis. Situs factus est ex libera template. Imagines e ripis photographicis desumptae sunt, invidiosis utentes easque immutantes ut minus cognoscibiles facerent.
Nos societatem realem spectare voluimus, ideo operarios operarios cum professionalibus artibus addere opus est quae cum profile actionis congruit. Cum nominibus et personalitatibus eorum advenimus et deinde imagines photographicas ripis iuxta ethnicitatis eligere conati sunt.
Screenshot of the MeTech honeypot website. Fons: Fossa Micro
Ad ne detecta, quaesivimus bonae notae coetus imagines e quibus facies quae nobis necessariae sunt eligere potuimus. Nihilominus hanc optionem relinquimus, quia piratica potentiale retro imaginis inquisitione uti potuit et invenire nostros "employees" tantum in ripis photographicis vivere. Ad extremum imagines hominum non-existentium usi sumus utentium retiacula neuralis creata.
Profiles operariorum editos in situ continebat informationes magnas de artibus technicis, sed vitavimus identitate certas scholas vel civitates.
Ad mailboxes creandum, provisor obnoxius servitori usus est, ac deinde complures telephonicas numeros in Iunctus Civitas conduximus eosque in virtualem PBX cum voce menu et machina respondens coniunximus.
Honeypot infrastructure
Ad detectionem vitandam, constituimus uti complexione verae ferrariae industrialis, computatoribus physicis et machinis virtualis secure. Prospicientes, dicemus nos eventum conatuum nostrorum inquisitionis Shodan pervestigationis repressisse et ostendit mellis ollam similem systematis industrialis esse.
Ex perspiciendo mellis utens Shodan. Fons: Fossa Micro
Quattuor PLCs pro hardware nostrae captionis usi sumus:
- Siemens S7-1200;
- duo AllenBradley MicroLogix MC,
- Omron CP1L.
Hi PLCs popularitatis suae in mercatu systematis globali dili sunt. Uterque moderatoris horum protocollo suo utitur, quod nobis permisit inhibere quemnam PLCs saepius impugnaretur, et utrum cuilibet in principio interessent.
Nostrae instrumenti "officinae" -trap. Fons: Fossa Micro
Non solum ferramentum instituimus et eam cum Interreti connectimus. Programma unumquemque moderatorem ad munia exequenda, comprehendo
- mixtio;
- turibulum et TRADUCTOR balteum imperium;
- palletizing usus robotic tractatori.
Et ut processus efficiendi realistica, logicam programma programmatis passim mutare feedback parametri, motores incipientes et desinentes simulamus, et turibula interdum versantes.
Nostra officina tres habebat computatores virtuales et unum physicum. Virtuales computatores ad plantam, robot palletizer regere solebant, et sicut officina PLC machinalis machinalis adhibita est. Computatorium physicum cum lima server laboravit.
Praeter impetus vigilantiae in PLCs, statum programmatum nostris machinis onustum monitorem esse voluimus. Ad hoc efficiendum, interfacem fecimus, quae nobis permisit celeriter determinare quomodo status actuatorum nostrorum et occasus virtualis modificantur. Iam in scenis agendi rationibus perspectum est multo facilius efficere hanc programmatis moderandi rationem quam per directam rationem moderatoris logicae. Accessum aperuimus ad administratione instrumenti mellis nostri per VNC sine tessera.
Robots industriales key elementum est hodiernae machinationis dolor. Hac de re nos decrevimus fabricam roboti addere et fabricam automated ut eam reprimere ad fabricam laquei nostri instrumenti. Ut "officinam" melioris redderet, realem programmatum in operatatione moderante instituimus, quo fabrum graphice programmatis logicae roboti utuntur. Bene, cum robots industriales in retis internis solitariis collocari soleant, accessum indefensum relinquere decrevimus per VNC solum ad imperium workstation.
RobotStudio environment cum 3D exemplar roboti nostri. Fons: Fossa Micro
RobotStudio instituimus ambitum programmandi ab ABB Robotics in machina virtuali cum operata potestate roboti. Configuratus RobotStudio, simulationem fasciculi cum robot nostro in eo aperuimus ut eius 3D imago in velo apparuerit. Quam ob rem, Shodan et alia tormenta quaesita, cum VNC servo securo detecto, hoc tegumentum imagini capiet et ostendet iis qui robots industriales quaerunt aperta accessu ad regendum.
Eius rei cura erat ut scopum attractivum et realisticum oppugnatoribus crearet qui, cum eam invenissent, iterum iterumque redirent.
Engineer's workstation
Ad PLC logicam programmata, computatorium machinatorium infrastructurae addidimus. programmatio industrialis pro PLC programmatio in ea inauguratus est:
- TIA Portal pro Siemens,
- MicroLogix pro Allen-Bradley moderatoris;
- CX-Unus pro Omron.
Constituimus ipsum workspace adiri extra ornatum non esse. Sed eandem tesseram administratoris rationem ponimus quam in robot potestate workstation et officinas ditionis operas e Internet pervias constituimus. Haec figuratio in multis societatibus satis communis est.
Infeliciter, quamquam omnes conatus nostros nullus oppugnator laborattationum fabrum attigit.
File servo
Nobis opus est ut oppugnatoribus esca et ut instrumentum subsidii nostri "laboris" in officina inlecebrarum. Hoc nobis permisit ut cum fasciculis nostris mellis usus USB machinis communicaretur, nec vestigium in retis mellis relinquens. Windows 7 Pro sicut OS pro tabella servo constituimus, in quo folder quod communes creavimus ab aliquo legi et scribi potest.
Primo non creavimus aliquam hierarchiam folder et documenta in TABULA server. Autem, postea deprehendimus oppugnatores hoc folder actuose investigare, ut eam variis fasciculis replere decrevimus. Ad hoc faciendum Pythonem scriptionem scripsimus qui fasciculum incerti amplitudinis cum una ex parte datarum extensionum creaverunt, nomen dictionarii innixum formantes.
Scriptor pro generans nomina file gratus. Fons: Fossa Micro
Post scriptionem currens, optatum exitum sumpsimus in forma folder limalis refertum nominibus valde interesting.
Ex scriptura. Fons: Fossa Micro
Cras environment
Tanto labore consumpto in creando comitatu realistica, simpliciter in ambitu nostro "visitatores" vigilantes deficere non potuimus. Non opus erat ut omnes notitias in tempore reali, sine oppugnatoribus, animadverterent se observare.
Hoc utens quattuor USB ad adaptatores Aernei, quattuor Taps SharkTap Ethernet, Raspberry Pi 3, et magna externa coegi. Reticuli nostri schematis sic quasi:
Honeypot network diagram with vigilanting equipment. Fons: Fossa Micro
Tres tapas SharkTap collocavimus ut monitorem omnium rerum externarum ad PLC, solum ex retis internis pervias. Quartum SharkTap mercaturam hospitum virtualis apparatus vulnerabilis viverra.
SharkTap Aer ICTUS et Mons Wireless AirLink RV50 iter itineris. Fons: Fossa Micro
Raspberry Pi cotidie captae negotiationis fecerunt. Interreti connectimus utentem Sierra Wireless AirLink RV50 iter cellularum, saepe in conatibus industrialibus adhibitum.
Infeliciter, hoc iter non permisit nos oppugnationes selectas obsistere quae consiliis nostris non congruunt, itaque Cisco ASA 5505 murus ignis ad modum retis perlucidum admisimus ut intercluderent minimam ictum in retiaculis faciendis.
Negotiationis analysis
Tshark et tcpdump aptae sunt ad cito solvendas quaestiones currentes, sed in casu nostro eorum facultates non satis fuerunt, cum multas gigabytas negotiationis habuimus quae a pluribus enucleatae sunt. Aper-fonte Moloch analystoris enucleata ab AOL usi sumus. Comparari potest in functione cum Wireshark, sed plus facultatem habet ad collaborationem, sarcinas describendas et tagging, alia opera educenda.
Cum notitias collectas in mellis computatris procedere noluimus, eri PCAP cotidie ad AWS repositiones exportabantur, unde iam eos in machinam Moloch importavimus.
Screen Book
Ad documentum de actionibus piratarum in melle nostro, scriptum scripsimus quod emissiones machinae virtualis in dato intervallo sumpsit et, cum praecedente tortore iectionis comparans, utrum aliquid ibi factum esset necne, statuerunt. Cum actio deprehensa est, scriptum in actis tentoriis comprehensum est. Aditus haec efficacissima evasit. Etiam VNC mercaturam e PCAP TUBER analyse conati sumus ut mutationes quae in systemate acciderant intelligeremus, sed in fine tabulae screen recordationis effectum esse ut simplicior et magis visiva essemus.
Cras VNC sessiones
Hacc usi sumus Chaosreader et VNCLogger. Utraque utilitas keystros ex TUBER PCAP eliciunt, sed VNCLogger claves tractat sicut Spatium, Intra, Ctrl rectius.
VNCLogger duo incommoda habet. Primum: tantum claves extrahere potest per "audire" ad commercium interfaciei, ergo habuimus sessionem VNC simulare pro eo utens tcpreplay. Alterum incommodum VNCLogger commune est cum Chaosreader: uterque contenta clipboard non ostendunt. Ad hoc faciendum debebam uti Wireshark.
Nos elicere gratis
Melpot nos creavit impugnari. Ad hoc assequendum, rimantes informationes effluo ad attrahendum impetum oppugnantium potentialium. Portus sequentes in melle patebant;
Portus RDP claudendus erat paulo postquam nos vivimus quod ingens moles negotiationis in retis nostris faciendis quaestiones causabat.
VNC terminales primum in conspectu tantum modo sine tessera laboraverunt, deinde "per errorem" eos mutaverunt ad plenam accessum modum.
Ad oppugnatores alliciendum, duas tabellas posuimus cum informationes quaeras de systemate industriali in PasteBin praesto sunt.
Una e statione missae in PasteBin ad impetus alliciendos. Fons: Fossa Micro
impetus
Honeypot Online circiter septem menses vixit. Primum impetum in mense post honeypot abiit online.
scanners
Multa negotiatio e lustratoribus notarum societatum - ip-ip, Celeri, Servo Shadow, Shodan, ZoomEye et aliis. Tot erant eorum ut inscriptiones IP ab analysi excludere debebamus: 610 e 9452 vel 6,45% omnium singularum IP inscriptionum quae omnino legitimae erant lustratoriae.
scammers
Unus e maximis periculorum quae ante obmisimus est usus systematis nostri ad criminalia proposita: emere smartphones per subscribens rationem, nummi ex airline miliaribus utentibus chartis doni et aliis speciebus fraudis.
fossores
Unus ex primis visitatoribus ad nostram rationem fossorem evasit. Monero fodienda software in eam accipiebat. Non potuisset multam pecuniam in nostra particulari ratione facere propter gravis fructibus. Tamen, si conatus plurium duodenarum vel etiam centenarum talium systematum coniungimus, satis bene evenire potuit.
Ransomware
In opere mellis, verum virus redemptionis bis invenimus. In primo casu Crysis fuit. Operatores eius in systemate per VNC initium fecerunt, sed TeamViewer inauguravit et eo usus est ad actiones ulteriores faciendas. Nuntium repetundarum exspectantes redemptionem $ 10 in BTC postulantes, cum latronibus in correspondentiam ingressi sumus, rogantes ut unam tabellariorum nobis decryptam postularet. Paruerunt precibus et repetunt redemptionem. Nos usque ad VI milia dollariorum tractare potuimus, post quam rationem simpliciter machinae virtualis re- onerati sumus, quia omnia informationes necessarias accepimus.
Alterum pretium evasit Phobos. Piratica qui inauguravit eam horam persensit, mellis vasorum fasciculi pascendi rationem et retiaculum intuens, et tunc demum pretium redemptionis inauguravit.
Tertium impetum commutationis fictum evasit. Incognitus "hacker" limam haha.bat in nostram rationem interpretatus est, postquam aliquandiu observavimus illud ad operandum. Una conatus erat rename haha.bat ad haha.rnsmwr.
"Piratica" noxam fasciculi vespertilionis auget mutando extensionem suam ad .rnsmwr. Fons: Fossa Micro
Cum fasciculus fasciculus tandem currere incepit, "Piratica" id edidit, redemptionem ab $200 ad $750 augens. Postea, "encrypted" omnia tabularia, nuntium repetundarum in escritorio reliquit et evanuit, tesseras nostras VNC mutans.
Biduo post, Piratica rediit et, ut se admoneret, fasciculum batchrum immisit, qui multas fenestras porn site aperuit. Ita videtur quod ad petitionem suam admonere nitebatur.
results
In studio, evenit ut simul ac notitia de vulnerabilitate divulgata est, mellis potus attentionem habuit, cum actione in dies ingravescens. Ut insidiae operam darent, societas ficticia nostra multiplicis securitatis ruinas pati debebat. Infeliciter, haec condicio longe a raro inter multas veras societates, quae IT plenum tempus non habent, securitatis informationes conductos habet.
In genere, institutiones uterentur principii minimi privilegii, dum oppositum suum ad attrahendum impugnatores exsequemur. Et quo diutius impetus speculabatur, eo magis urbanus factus est ad moduli acumen probandi modos comparandus.
Maxime autem omnes hi impetus defuissent si mensurae securitatis idoneae in retiaculis constituendis fuissent effectae. Instituta curare debent ut instrumenta et industriae infrastructurae eorum non adeundae sint a Interrete, sicut in muscipulis nostris nominatim fecimus.
Etsi unicum impetum in operatificationis fabrum non memoravimus, licet eodem password administratore locali in omnibus computers utendo, haec praxis vitanda est ut intrusionum possibilitatem minuat. Post omnes, securitas infirma additis invitationem ad systemata industrialia oppugnanda, quae iam pridem in cybercriminalibus usuris fuit.
Source: www.habr.com