Antivirusfirmen, Informatiounssécherheetsexperten an einfach Enthusiaster setzen Honeypot Systemer um Internet fir eng nei Variant vum Virus ze "fangen" oder ongewéinlech Hacker Taktiken z'identifizéieren. Honeypots sinn sou heefeg datt Cyberkrimineller eng Aart Immunitéit entwéckelt hunn: si identifizéieren séier datt se virun enger Fal sinn an einfach ignoréieren. Fir d'Taktik vu modernen Hacker z'entdecken, hu mir e realistesche Hunnegpot erstallt, dee siwe Méint um Internet gelieft huet, an eng Vielfalt vun Attacken unzezéien. Mir hu geschwat wéi dëst an eiser Etude geschitt ass "" E puer Fakten aus der Studie sinn an dësem Post.
Honeypot Entwécklung: Checklëscht
D'Haaptaufgab bei der Schafung vun eisem Supertrap war et ze verhënneren, datt mir vun Hacker ausgesat ginn, déi Interesse drun hunn. Dëst erfuerdert vill Aarbecht:
- Erstellt eng realistesch Legend iwwer d'Firma, dorënner voll Nimm a Fotoe vu Mataarbechter, Telefonsnummeren an E-Mailen.
- Fir e Modell vun der industrieller Infrastruktur ze kommen an ëmzesetzen, deen der Legend iwwer d'Aktivitéite vun eiser Firma entsprécht.
- Entscheet wéi eng Netzwierkservicer vu baussen zougänglech sinn, awer gitt net mat der Ouverture vu vulnérabel Ports ewech, sou datt et net wéi eng Fal fir Sucker ausgesäit.
- Organiséiert d'Visibilitéit vun Informatiounsleckungen iwwer e vulnérable System a verdeelt dës Informatioun ënnert potenziellen Ugräifer.
- Implementéiert dezent Iwwerwaachung vun Hackeraktivitéiten an der Honeypot Infrastruktur.
An elo iwwer alles an der Rei.
Schafen eng Legend
Cyberkriminelle si scho gewinnt fir vill Hunnegdëppen ze begéinen, sou datt de fortgeschrattsten Deel vun hinnen eng déif Enquête vun all vulnérable System mécht fir sécher ze stellen datt et keng Fal ass. Aus deemselwechte Grond hu mir versicht ze garantéieren datt den Hunnegpot net nëmme realistesch wat Design an technesch Aspekter ugeet, awer och d'Erscheinung vun enger realer Firma ze kreéieren.
Mir setzen eis an d'Schong vun engem hypotheteschen coolen Hacker, hu mir e Verifizéierungsalgorithmus entwéckelt, deen e richtege System vun enger Fal ënnerscheet. Et abegraff Sich no Firmen IP Adressen an Ruff Systemer, ëmgedréint Fuerschung an der Geschicht vun IP Adressen, Sich no Nimm a Schlësselwieder Zesummenhang mat der Firma, wéi och seng Géigespiller, a vill aner Saachen. Als Resultat huet sech d'Legend ganz iwwerzeegend an attraktiv erausgestallt.
Mir hunn décidéiert d'Decoy Fabréck als eng kleng industriell Prototyping Boutique ze positionéieren fir ganz grouss anonyme Clienten am Militär- a Loftfaartsegment. Dëst huet eis befreit vun de legale Komplikatioune verbonne mat der Benotzung vun enger existéierender Mark.
Als nächst hu mer misse mat enger Visioun, Missioun an Numm fir d'Organisatioun kommen. Mir hunn decidéiert datt eis Firma e Startup mat enger klenger Unzuel u Mataarbechter wier, jidderee vun deenen e Grënner ass. Dëst huet d'Kredibilitéit fir d'Geschicht vun der spezialiséierter Natur vun eisem Geschäft bäigefüügt, wat et erlaabt sensibel Projete fir grouss a wichteg Clienten ze handhaben. Mir wollten datt eis Firma aus enger Cybersecurity Perspektiv schwaach ausgesäit, awer gläichzäiteg war et offensichtlech datt mir mat wichtege Verméigen op Zilsystemer schaffen.
Screenshot vun der MeTech Honeypot Websäit. Quelle: Trend Micro
Mir hunn d'Wuert MeTech als Firma Numm gewielt. De Site gouf op Basis vun enger gratis Schabloun gemaach. D'Biller goufen aus Fotobanken geholl, déi onpopulärst benotzt an se geännert fir se manner erkennbar ze maachen.
Mir wollten datt d'Firma richteg ausgesäit, dofir hu mir Mataarbechter mat beruffleche Fäegkeeten bäigefüügt, déi dem Profil vun der Aktivitéit passen. Mir hunn Nimm a Perséinlechkeeten fir si komm an hu probéiert Biller aus Fotobanken no Ethnie ze wielen.
Screenshot vun der MeTech Honeypot Websäit. Quelle: Trend Micro
Fir net entdeckt ze ginn, hu mir no gudder Qualitéit Gruppefotoen gesicht, aus deenen mir d'Gesiichter auswielen, déi mir gebraucht hunn. Mir hunn dës Optioun dunn awer opginn, well e potenziellen Hacker kéint ëmgedréint Bild Sich benotzen an entdecken datt eis "Mataarbechter" nëmmen a Fotobanken liewen. Zum Schluss hu mir Fotoe vun net existente Leit benotzt, déi mat neuralen Netzwierker erstallt goufen.
Employé Profiler op de Site verëffentlecht abegraff wichteg Informatiounen iwwert hir technesch Fäegkeeten, mee mir verhënnert spezifesch Schoulen oder Stied z'identifizéieren.
Fir Mailboxen ze kreéieren, hu mir de Server vun engem Hosting Provider benotzt, an dann e puer Telefonsnummeren an den USA gelount an se an eng virtuell PBX mat engem Stëmmmenü an enger Äntwertmaschinn kombinéiert.
Honeypot Infrastruktur
Fir Belaaschtung ze vermeiden, hu mir beschloss eng Kombinatioun vun echte industrielle Hardware, kierperleche Computeren a séchere virtuelle Maschinnen ze benotzen. Wann Dir no vir kuckt, wäerte mir soen datt mir d'Resultat vun eisen Efforten mat der Shodan Sichmotor gepréift hunn, an et huet gewisen datt den Honeypot wéi e richtegen industrielle System ausgesäit.
D'Resultat vum Scannen vun engem Honeypot mat Shodan. Quelle: Trend Micro
Mir hunn véier PLCs als Hardware fir eis Fal benotzt:
- Siemens S7-1200,
- zwee AllenBradley MicroLogix 1100,
- Omron CP1L.
Dës PLCs goufen fir hir Popularitéit am global Kontroll System Maart ausgewielt. A jidderee vun dëse Controller benotzt säin eegene Protokoll, deen eis erlaabt huet ze kontrolléieren wéi eng vun de PLCs méi dacks attackéiert ginn an ob se am Prinzip iergendeen interesséieren.
Ausrüstung vun eiser "Fabréck"-Fal. Quelle: Trend Micro
Mir hunn net nëmmen Hardware installéiert an et mam Internet verbonnen. Mir hunn all Controller programméiert fir Aufgaben auszeféieren, inklusiv
- vermëschen,
- Brenner a Fërderband Kontroll,
- palletizing mat engem Roboter Manipulator.
A fir de Produktiounsprozess realistesch ze maachen, hu mir d'Logik programméiert fir zoufälleg Feedbackparameter z'änneren, Motore ze simuléieren an ze starten an ze stoppen, an d'Brenner un an auszeschalten.
Eis Fabréck hat dräi virtuelle Computeren an ee kierperlechen. Virtuell Computere goufen benotzt fir eng Planz ze kontrolléieren, e Palletizer Roboter, an als Workstation fir e PLC Software Ingenieur. De kierperleche Computer huet als Dateiserver geschafft.
Zousätzlech fir Attacken op PLCs ze iwwerwaachen, wollte mir de Status vu Programmer iwwerwaachen, déi op eisen Apparater gelueden sinn. Fir dëst ze maachen, hu mir eng Interface erstallt, déi eis erlaabt séier ze bestëmmen wéi d'Staaten vun eise virtuelle Aktuatoren an Astellunge geännert goufen. Schonn an der Planungsphase hu mir entdeckt datt et vill méi einfach ass dëst mat engem Kontrollprogramm ëmzesetzen wéi duerch direkt Programméierung vun der Controllerlogik. Mir opgemaach Zougang zu der Apparat Gestioun Interface vun eisem Honeypot via VNC ouni Passwuert.
Industrieroboter sinn e Schlësselkomponent vun der moderner intelligenter Fabrikatioun. An dëser Hisiicht hu mir décidéiert e Roboter an eng automatiséiert Aarbechtsplaz ze addéieren fir se an d'Ausrüstung vun eiser Trapfabrik ze kontrolléieren. Fir d'"Fabréck" méi realistesch ze maachen, hu mir real Software op der Kontroll Workstation installéiert, déi Ingenieuren benotze fir d'Logik vum Roboter grafesch ze programméieren. Gutt, well industriell Roboteren normalerweis an engem isoléierten internen Netz sinn, hu mir décidéiert fir ongeschützt Zougang iwwer VNC nëmmen op d'Kontroll Workstation ze verloossen.
RobotStudio Ëmfeld mat engem 3D Modell vun eisem Roboter. Quelle: Trend Micro
Mir hunn d'RobotStudio Programméierungsëmfeld vun ABB Robotics op enger virtueller Maschinn mat enger Roboter Kontroll Workstation installéiert. Nodeems Dir RobotStudio konfiguréiert hutt, hu mir eng Simulatiounsdatei mat eisem Roboter opgemaach sou datt säin 3D Bild um Bildschierm sichtbar war. Als Resultat wäerte Shodan an aner Sichmotoren, wann Dir en net geséchert VNC-Server erkennt, dëst Bildschiermbild gräifen a weisen et un déi, déi no industrielle Roboteren mat oppenen Zougang zu Kontroll sichen.
De Punkt vun dëser Opmierksamkeet op Detailer war en attraktivt a realistescht Zil fir Ugräifer ze kreéieren déi, wann se se fonnt hunn, ëmmer erëm dorop zréckkommen.
Ingenieur d'Aarbechtsstatioun
Fir d'PLC Logik ze programméieren, hu mir en Ingenieurscomputer an d'Infrastruktur bäigefüügt. Industriell Software fir PLC Programméierung gouf op et installéiert:
- TIA Portal fir Siemens,
- MicroLogix fir Allen-Bradley Controller,
- CX-One fir Omron.
Mir hunn decidéiert datt den Ingenieursaarbechtsraum net ausserhalb vum Netz zougänglech wier. Amplaz setzen mir dat selwecht Passwuert fir den Administrator Kont wéi op der Roboter Kontroll Workstation an der Fabréck Kontroll Workstation zougänglech vum Internet. Dës Konfiguratioun ass zimlech heefeg a ville Firmen.
Leider, trotz all eisen Efforten, huet keen eenzegen Ugräifer d'Aarbechtsstatioun vum Ingenieur erreecht.
Dateiserver
Mir hunn et gebraucht als Köder fir Ugräifer an als Mëttel fir eis eege "Aarbecht" an der Decoy-Fabréck z'ënnerstëtzen. Dëst erlaabt eis Dateie mat eisem Honeypot mat USB-Geräter ze deelen ouni eng Spuer am Honeypot-Netz ze loossen. Mir hunn Windows 7 Pro als OS fir den Dateiserver installéiert, an deem mir e gemeinsamen Dossier erstallt hunn, dee vu jidderengem gelies a geschriwwe ka ginn.
Am Ufank hu mir keng Hierarchie vun Ordner an Dokumenter um Dateiserver erstallt. Wéi och ëmmer, mir hunn spéider entdeckt datt Ugräifer dësen Dossier aktiv studéiert hunn, also hu mir beschloss et mat verschiddene Dateien ze fëllen. Fir dëst ze maachen, hu mir e Python-Skript geschriwwen, deen e Fichier mat enger zoufälleger Gréisst mat enger vun de gegebenen Extensiounen erstallt huet, en Numm baséiert op dem Wierderbuch.
Skript fir attraktiv Dateinumm ze generéieren. Quelle: Trend Micro
Nodeems mir de Skript lafen, hu mir dat gewënschte Resultat a Form vun engem Dossier gefëllt mat Dateien mat ganz interessanten Nimm.
D'Resultat vum Skript. Quelle: Trend Micro
Iwwerwachung Ëmfeld
Nodeems mir sou vill Efforte verbruecht hunn, eng realistesch Firma ze kreéieren, konnten mir eis einfach net leeschte fir eis "Besucher" ze iwwerwaachen. Mir mussen all d'Donnéeën an Echtzäit kréien ouni datt d'Ugräifer gemierkt hunn datt se gekuckt ginn.
Mir hunn dëst mat véier USB zu Ethernet Adapter implementéiert, véier SharkTap Ethernet Krunn, e Raspberry Pi 3, an e groussen externen Drive. Eis Netzwierkdiagramm huet esou ausgesinn:
Honeypot Reseau Diagramm mat Iwwerwachung Equipement. Quelle: Trend Micro
Mir hunn dräi SharkTap Krunn positionéiert fir all externen Traffic op d'PLC ze iwwerwaachen, nëmmen aus dem internen Netzwierk zougänglech. Déi véiert SharkTap iwwerwaacht de Traffic vun de Gäscht vun enger vulnérabel virtueller Maschinn.
SharkTap Ethernet Tap a Sierra Wireless AirLink RV50 Router. Source: Trend Micro
Raspberry Pi huet deeglech Traffic Capture gemaach. Mir hunn un den Internet verbonne mat engem Sierra Wireless AirLink RV50 Cellular Router, dacks an industriellen Entreprisen benotzt.
Leider huet dëse Router eis net erlaabt Attacken selektiv ze blockéieren, déi net mat eise Pläng passen, also hu mir eng Cisco ASA 5505 Firewall an d'Netzwierk am transparenten Modus bäigefüügt fir d'Blockéierung mat minimalem Impakt op d'Netz ze maachen.
Verkéier Analyse
Tshark an tcpdump si passend fir séier aktuell Themen ze léisen, awer an eisem Fall waren hir Fäegkeeten net genuch, well mir vill Gigabytes Traffic haten, déi vu verschiddene Leit analyséiert goufen. Mir hunn den Open-Source Moloch Analyser benotzt, entwéckelt vun AOL. Et ass vergläichbar a Funktionalitéit mat Wireshark, awer huet méi Fäegkeeten fir Zesummenaarbecht, Packagen ze beschreiwen an ze taggen, exportéieren an aner Aufgaben.
Well mir déi gesammelten Donnéeën op Honeypot Computeren net wollten verarbeiten, goufen PCAP Dumps all Dag an d'AWS-Späichere exportéiert, vu wou mir se schonn op d'Moloch-Maschinn importéiert hunn.
Écran Opnahmen
Fir d'Aktioune vun Hacker an eisem Hunnegpot ze dokumentéieren, hu mir e Skript geschriwwen, deen Screenshots vun der virtueller Maschinn mat engem bestëmmten Intervall gemaach huet an, am Verglach mam fréiere Screenshot, feststellt ob eppes do geschitt ass oder net. Wann Aktivitéit festgestallt gouf, enthält de Skript Bildschirmopnam. Dës Approche huet sech als déi effektiv erausgestallt. Mir hunn och probéiert VNC Traffic vun engem PCAP Dump ze analyséieren fir ze verstoen wat Ännerungen am System geschitt sinn, awer um Enn huet d'Bildschirmopnam, déi mir implementéiert hunn, méi einfach a méi visuell erausgestallt.
Iwwerwachung VNC Sessiounen
Fir dëst hu mir Chaosreader a VNCLogger benotzt. Béid Utilities extrahéieren Tastekombinatiounen aus engem PCAP Dump, awer VNCLogger handhabt Schlësselen wéi Backspace, Enter, Ctrl méi korrekt.
VNCLogger huet zwee Nodeeler. Als éischt: et kann nëmmen Schlësselen extrahéieren andeems Dir de Traffic op der Interface "lauschtert", also hu mir eng VNC-Sessioun fir et mat tcpreplay ze simuléieren. Den zweeten Nodeel vum VNCLogger ass üblech mam Chaosreader: si weisen allebéid net den Inhalt vum Clipboard. Fir dëst ze maachen, muss ech Wireshark benotzen.
Mir lackele Hacker
Mir hunn Honeypot geschaf fir ugegraff ze ginn. Fir dëst z'erreechen, hu mir en Informatiounsleck inszenéiert fir d'Opmierksamkeet vu potenziellen Ugräifer unzezéien. Déi folgend Häfen goufen op Honeypot opgemaach:
De RDP Hafen huet misse zougemaach ginn kuerz nodeems mir live gaangen sinn, well de massive Betrag u Scannerverkéier op eisem Netz d'Leeschtungsproblemer verursaacht huet.
D'VNC-Terminaler hunn fir d'éischt am View-only Modus ouni Passwuert geschafft, an dunn hu mir se "duerch Feeler" op de vollen Zougangsmodus gewiesselt.
Fir Ugräifer unzezéien, hu mir zwee Posts gepost mat geleckten Informatioun iwwer de verfügbaren industrielle System op PasteBin.
Ee vun de Posts op PasteBin gepost fir Attacken unzezéien. Quelle: Trend Micro
Attacken
Honeypot gelieft online fir ronn siwe Méint. Déi éischt Attack ass e Mount nom Honeypot online gaangen.
Scanner
Et war vill Traffic vu Scanner vu bekannte Firmen - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye an anerer. Et waren esou vill vun hinnen, datt mir hir IP Adressen aus der Analyse hu missen ausschléissen: 610 vun 9452 oder 6,45% vun all eenzegaarteg IP Adresse gehéieren zu komplett legitime Scanner.
Scammers
Ee vun de gréisste Risiken, déi mir konfrontéiert hunn, ass d'Benotzung vun eisem System fir kriminell Zwecker: Smartphones iwwer de Kont vun engem Abonnent ze kafen, Fluchgesellschaften ausbezuelen mat Kaddokaarten an aner Zorte vu Bedruch.
Miner
Ee vun den éischte Besucher vun eisem System huet sech als Miner erausgestallt. Hien erofgeluede Monero Biergbau Software op et. Hien hätt net vill Suen op eise bestëmmte System kënne verdéngen wéinst der gerénger Produktivitéit. Wéi och ëmmer, wa mir d'Efforte vun e puer Dosen oder souguer Honnerte vun esou Systemer kombinéieren, kéint et ganz gutt erauskommen.
Ransomware
Wärend der Aarbecht vum Honeypot hu mir zweemol richteg Ransomware Viren begéint. Am éischte Fall war et Crysis. Seng Betreiber hu sech iwwer VNC an de System ageloggt, awer hunn dann TeamViewer installéiert an et benotzt fir weider Aktiounen auszeféieren. Nodeems mir op eng Erpressungsmeldung gewaart hunn, déi e Léisegeld vun $ 10 an BTC erfuerdert, hu mir Korrespondenz mat de Krimineller aginn, a si gefrot fir eng vun den Dateien fir eis ze entschlësselen. Si hunn d'Demande respektéiert an d'Léisegeld widderholl. Mir hunn et fäerdeg bruecht bis zu 6 dausend Dollar ze verhandelen, duerno hu mir de System einfach op eng virtuell Maschinn nei eropgelueden, well mir all déi néideg Informatioune kruten.
Déi zweet Ransomware huet sech als Phobos erausgestallt. Den Hacker, deen et installéiert huet, huet eng Stonn verbruecht fir den Honeypot Dateiesystem ze surfen an d'Netz ze scannen, an dann endlech d'Ransomware installéiert.
Déi drëtt Ransomware Attack huet sech als gefälscht erausgestallt. En onbekannte "Hacker" huet d'haha.bat-Datei op eise System erofgelueden, duerno hu mir eng Zäit gekuckt wéi hien probéiert et ze schaffen. Ee vun de Versich war et ëmbenennen haha.bat zu haha.rnsmwr.
De "Hacker" vergréissert d'Schädlechkeet vun der Fliedermausdatei andeems se seng Extensioun op .rnsmwr änneren. Quelle: Trend Micro
Wéi d'Batchdatei endlech ugefaang huet ze lafen, huet den "Hacker" se geännert, d'Léisegeld vun $200 op $750 erhéicht. Duerno huet hien all d'Dateien "verschlësselt", eng Erpressungsmeldung um Desktop hannerlooss a verschwonnen, d'Passwierder op eisem VNC z'änneren.
E puer Deeg méi spéit ass den Hacker zréck an, fir sech selwer z'erënneren, lancéiert eng Batchdatei déi vill Fënstere mat enger Porno-Site opgemaach huet. Anscheinend huet hien op dës Manéier probéiert op seng Demande opmierksam ze maachen.
Resultater
Wärend der Studie huet sech erausgestallt datt soubal Informatioun iwwer d'Schwachheet publizéiert gouf, Honeypot opmierksam gemaach huet, mat Aktivitéit déi Dag fir Dag wuessen. Fir d'Fal opmierksam ze maachen, huet eis fiktiv Firma misse verschidde Sécherheetsverstéiss leiden. Leider ass dës Situatioun wäit vun ongewéinlech bei villen realen Firmen déi keng Vollzäit IT- an Informatiounssécherheet Mataarbechter hunn.
Am Allgemengen sollten Organisatiounen de Prinzip vum mannsten Privileg benotzen, wärend mir de genaue Géigendeel dovun ëmgesat hunn fir Ugräifer unzezéien. A wat mir méi laang d'Attacke nogekuckt hunn, dest méi raffinéiert goufen se am Verglach mat Standard Penetratiounstestmethoden.
A virun allem wieren all dës Attacke gescheitert, wann adäquat Sécherheetsmoossname beim Opbau vum Netz ëmgesat goufen. Organisatiounen mussen dofir suergen datt hir Ausrüstung an industriell Infrastrukturkomponenten net vum Internet zougänglech sinn, sou wéi mir speziell an eiser Fal gemaach hunn.
Och wa mir net eng eenzeg Attack op d'Aarbechtsstatioun vun engem Ingenieur opgeholl hunn, trotz der Benotzung vum selwechte lokalen Administrateur Passwuert op all Computer, sollt dës Praxis vermeit ginn fir d'Méiglechkeet vun Andréngen ze minimiséieren. Schliisslech déngt schwaach Sécherheet als zousätzlech Invitatioun fir industriell Systemer z'attackéieren, déi laang Zäit fir Cyberkrimineller interesséieren.
Source: will.com