Antivirusinės kompanijos, informacijos saugumo ekspertai ir tiesiog entuziastai įkelia „honeypot“ sistemas į internetą, kad „pagautų“ naują viruso atmainą ar atpažintų neįprastą įsilaužėlių taktiką. Medaus puodukai yra tokie paplitę, kad kibernetiniai nusikaltėliai išsiugdė savotišką imunitetą: jie greitai nustato, kad atsidūrė spąstuose ir tiesiog į tai nepaiso. Norėdami ištirti šiuolaikinių įsilaužėlių taktiką, sukūrėme tikrovišką medaus puodą, kuris gyveno internete septynis mėnesius ir pritraukė įvairių atakų. Mes kalbėjome apie tai, kaip tai atsitiko mūsų tyrime "“ Kai kurie faktai iš tyrimo pateikiami šiame įraše.
Honeypot kūrimas: kontrolinis sąrašas
Pagrindinė užduotis kuriant mūsų superspąstus buvo neleisti mums atskleisti įsilaužėlių, kurie tuo susidomėjo. Tai pareikalavo daug darbo:
- Sukurkite tikrovišką legendą apie įmonę, įskaitant darbuotojų vardus ir nuotraukas, telefonų numerius ir el.
- Sugalvoti ir įgyvendinti pramonės infrastruktūros modelį, atitinkantį legendą apie mūsų įmonės veiklą.
- Nuspręskite, kurios tinklo paslaugos bus pasiekiamos iš išorės, tačiau nesijaudinkite atidarydami pažeidžiamus prievadus, kad tai neatrodytų kaip spąstai siurbėliams.
- Organizuokite informacijos nutekėjimo apie pažeidžiamą sistemą matomumą ir paskirstykite šią informaciją potencialiems užpuolikams.
- Įdiekite diskretišką įsilaužėlių veiklos stebėjimą Honeypot infrastruktūroje.
O dabar apie viską tvarkingai.
Legendos kūrimas
Kibernetiniai nusikaltėliai jau įpratę susidurti su daugybe medaus puodų, todėl pažangiausia jų dalis atlieka nuodugnų kiekvienos pažeidžiamos sistemos tyrimą, kad įsitikintų, jog tai nėra spąstai. Dėl tos pačios priežasties siekėme, kad medaus puodas būtų ne tik realus dizaino ir techniniais aspektais, bet ir sukurtų tikros įmonės įvaizdį.
Atsidūrę hipotetinio šaunaus įsilaužėlio kailyje, sukūrėme patikros algoritmą, kuris atskirtų tikrą sistemą nuo spąstų. Tai apėmė įmonės IP adresų paiešką reputacijos sistemose, atvirkštinį IP adresų istorijos tyrimą, su įmone, taip pat jos partneriais susijusių vardų ir raktinių žodžių paiešką ir daug kitų dalykų. Dėl to legenda pasirodė gana įtikinama ir patraukli.
Nusprendėme jaukų gamyklą pozicionuoti kaip mažą pramoninių prototipų parduotuvę, dirbančią labai dideliems anoniminiams klientams kariniame ir aviacijos segmente. Tai išlaisvino mus nuo teisinių komplikacijų, susijusių su esamo prekės ženklo naudojimu.
Toliau turėjome sugalvoti organizacijos viziją, misiją ir pavadinimą. Nusprendėme, kad mūsų įmonė bus startuolis su nedideliu darbuotojų skaičiumi, kurių kiekvienas yra steigėjas. Tai suteikė daugiau patikimumo istorijai apie specializuotą mūsų verslo pobūdį, leidžiantį tvarkyti jautrius projektus dideliems ir svarbiems klientams. Norėjome, kad mūsų įmonė kibernetinio saugumo požiūriu atrodytų silpna, tačiau tuo pat metu buvo akivaizdu, kad tikslinėse sistemose dirbame su svarbiu turtu.
„MeTech honeypot“ svetainės ekrano kopija. Šaltinis: Trend Micro
Kaip įmonės pavadinimą pasirinkome žodį MeTech. Svetainė buvo sukurta pagal nemokamą šabloną. Vaizdai buvo paimti iš nuotraukų bankų, naudojant pačias nepopuliariausias ir modifikuojant, kad būtų mažiau atpažįstami.
Norėjome, kad įmonė atrodytų tikroviška, todėl reikėjo pridėti darbuotojų, turinčių profesinių įgūdžių, atitinkančių veiklos profilį. Sugalvojome jiems vardus ir asmenybes, o paskui bandėme atrinkti vaizdus iš nuotraukų bankų pagal tautybę.
„MeTech honeypot“ svetainės ekrano kopija. Šaltinis: Trend Micro
Kad nebūtų atrasti, ieškojome geros kokybės grupinių nuotraukų, iš kurių galėtume pasirinkti mums reikalingus veidus. Tačiau tada šios galimybės atsisakėme, nes potencialus įsilaužėlis galėjo pasinaudoti atvirkštine vaizdų paieška ir sužinoti, kad mūsų „darbuotojai“ gyvena tik nuotraukų bankuose. Pabaigoje panaudojome neegzistuojančių žmonių nuotraukas, sukurtas naudojant neuroninius tinklus.
Svetainėje paskelbtuose darbuotojų profiliuose buvo pateikta svarbi informacija apie jų techninius įgūdžius, tačiau vengėme nurodyti konkrečias mokyklas ar miestus.
Kurdami pašto dėžutes naudojome prieglobos paslaugų teikėjo serverį, o vėliau JAV išsinuomojome kelis telefono numerius ir sujungėme juos į virtualų PBX su balso meniu ir atsakikliu.
Honeypot infrastruktūra
Norėdami išvengti poveikio, nusprendėme naudoti tikros pramoninės įrangos, fizinių kompiuterių ir saugių virtualių mašinų derinį. Žvelgdami į ateitį, sakysime, kad savo pastangų rezultatą patikrinome naudodami Shodan paieškos sistemą ir ji parodė, kad medaus puodas atrodo kaip tikra pramoninė sistema.
Medaus puodo nuskaitymo naudojant Shodan rezultatas. Šaltinis: Trend Micro
Savo gaudyklei naudojome keturis PLC kaip aparatinę įrangą:
- Siemens S7-1200,
- du „AllenBradley MicroLogix 1100“,
- Omron CP1L.
Šie PLC buvo atrinkti dėl populiarumo pasaulinėje valdymo sistemų rinkoje. Ir kiekvienas iš šių valdiklių naudoja savo protokolą, kuris leido patikrinti, kuris iš PLC būtų atakuojamas dažniau ir ar jie iš esmės ką nors domintų.
Mūsų „gamyklinės“ gaudyklės įranga. Šaltinis: Trend Micro
Mes ne tik įdiegėme techninę įrangą ir prijungėme ją prie interneto. Mes užprogramavome kiekvieną valdiklį atlikti užduotis, įskaitant
- maišymas,
- degiklio ir konvejerio juostos valdymas,
- paletavimas naudojant robotą manipuliatorių.
O tam, kad gamybos procesas būtų realus, užprogramavome logiką, leidžiančią atsitiktinai keisti grįžtamojo ryšio parametrus, imituoti variklių paleidimą ir stabdymą bei degiklių įsijungimą ir išjungimą.
Mūsų gamykloje buvo trys virtualūs kompiuteriai ir vienas fizinis. Virtualūs kompiuteriai buvo naudojami gamyklai, padėklų krovimo robotui valdyti ir kaip PLC programinės įrangos inžinieriaus darbo vieta. Fizinis kompiuteris veikė kaip failų serveris.
Be atakų prieš PLC stebėjimo, norėjome stebėti į mūsų įrenginius įkeltų programų būseną. Norėdami tai padaryti, sukūrėme sąsają, kuri leido greitai nustatyti, kaip buvo pakeistos mūsų virtualių pavarų ir įrenginių būsenos. Jau planavimo etape išsiaiškinome, kad tai daug lengviau įgyvendinti naudojant valdymo programą, nei tiesiogiai programuojant valdiklio logiką. Mes atidarėme prieigą prie mūsų Honeypot įrenginių valdymo sąsajos per VNC be slaptažodžio.
Pramoniniai robotai yra pagrindinė šiuolaikinės išmaniosios gamybos sudedamoji dalis. Atsižvelgdami į tai, nusprendėme prie mūsų spąstų gamyklos įrangos pridėti robotą ir automatizuotą darbo vietą jam valdyti. Kad „gamykla“ būtų tikroviškesnė, valdymo darbo vietoje įdiegėme realią programinę įrangą, kurią inžinieriai naudoja grafiškai programuodami roboto logiką. Na, o kadangi pramoniniai robotai dažniausiai būna izoliuotame vidiniame tinkle, nusprendėme neapsaugotą prieigą per VNC palikti tik valdymo darbo vietai.
RobotStudio aplinka su mūsų roboto 3D modeliu. Šaltinis: Trend Micro
Virtualioje mašinoje su roboto valdymo darbo vieta įdiegėme RobotStudio programavimo aplinką iš ABB Robotics. Sukonfigūravę RobotStudio, atidarėme modeliavimo failą su savo robotu, kad ekrane būtų matomas jo 3D vaizdas. Dėl to Shodan ir kitos paieškos sistemos, aptikusios neapsaugotą VNC serverį, paims šį ekrano vaizdą ir parodys jį tiems, kurie ieško pramoninių robotų su atvira prieiga prie valdymo.
Šio dėmesio detalėms tikslas buvo sukurti patrauklų ir tikrovišką taikinį užpuolikams, kurie jį radę vėl ir vėl prie jo sugrįžtų.
Inžinieriaus darbo vieta
Norėdami užprogramuoti PLC logiką, į infrastruktūrą įtraukėme inžinerinį kompiuterį. Jame buvo įdiegta pramoninė programinė įranga PLC programavimui:
- TIA portalas, skirtas „Siemens“,
- „MicroLogix“, skirtas Allen-Bradley valdikliui,
- „CX-One“, skirta „Omron“.
Nusprendėme, kad inžinerinė darbo erdvė nebus pasiekiama už tinklo ribų. Vietoje to administratoriaus abonementui nustatome tą patį slaptažodį, kaip ir roboto valdymo darbo vietoje bei gamyklos valdymo darbo vietoje, pasiekiamoje iš interneto. Ši konfigūracija yra gana įprasta daugelyje įmonių.
Deja, nepaisant visų mūsų pastangų, nei vienas užpuolikas nepasiekė inžinieriaus darbo vietos.
Failų serveris
Mums jo prireikė kaip masalo užpuolikams ir kaip savo „darbo“ apgaulių gamykloje atsarginės priemonės. Tai leido mums dalytis failais su mūsų Honeypot naudojant USB įrenginius nepaliekant pėdsakų Honeypot tinkle. Įdiegėme Windows 7 Pro kaip failų serverio OS, kuriame sukūrėme bendrinamą aplanką, kurį gali skaityti ir rašyti bet kas.
Iš pradžių failų serveryje nesukūrėme jokios aplankų ir dokumentų hierarchijos. Tačiau vėliau sužinojome, kad užpuolikai aktyviai tyrinėjo šį aplanką, todėl nusprendėme jį užpildyti įvairiais failais. Norėdami tai padaryti, parašėme python scenarijų, kuris sukūrė atsitiktinio dydžio failą su vienu iš nurodytų plėtinių, sudarydamas pavadinimą pagal žodyną.
Scenarijus patraukliems failų pavadinimams generuoti. Šaltinis: Trend Micro
Paleidę scenarijų, gavome norimą rezultatą aplanko, užpildyto failais labai įdomiais pavadinimais, pavidalu.
Scenarijaus rezultatas. Šaltinis: Trend Micro
Stebėjimo aplinka
Įdėję tiek pastangų kurdami tikrovišką įmonę, tiesiog negalėjome sau leisti nusileisti savo „lankytojų“ stebėjimo aplinkai. Turėjome gauti visus duomenis realiu laiku, užpuolikams nesuvokiant, kad jie yra stebimi.
Tai įgyvendinome naudodami keturis USB į Ethernet adapterius, keturis „SharkTap“ eterneto čiaupus, „Raspberry Pi 3“ ir didelį išorinį diską. Mūsų tinklo schema atrodė taip:
Honeypot tinklo schema su stebėjimo įranga. Šaltinis: Trend Micro
Mes nustatėme tris „SharkTap“ čiaupus, kad galėtume stebėti visą išorinį srautą į PLC, pasiekiamą tik iš vidinio tinklo. Ketvirtasis „SharkTap“ stebėjo pažeidžiamos virtualios mašinos svečių srautą.
„SharkTap Ethernet Tap“ ir „Sierra Wireless AirLink RV50 Router“. Šaltinis: Trend Micro
Raspberry Pi kasdien fiksavo srautą. Prie interneto prisijungėme naudodami korinį maršruto parinktuvą Sierra Wireless AirLink RV50, dažnai naudojamą pramonės įmonėse.
Deja, šis maršrutizatorius neleido pasirinktinai blokuoti atakų, kurios neatitiko mūsų planų, todėl į tinklą įtraukėme Cisco ASA 5505 ugniasienę skaidriu režimu, kad blokavimas būtų atliktas su minimaliu poveikiu tinklui.
Eismo analizė
„Tshark“ ir „tcpdump“ tinka greitai išspręsti esamas problemas, tačiau mūsų atveju jų galimybių nepakako, nes turėjome daug gigabaitų srauto, kurį analizavo keli žmonės. Naudojome AOL sukurtą atvirojo kodo Moloch analizatorių. Savo funkcionalumu jis panašus į „Wireshark“, tačiau turi daugiau galimybių bendradarbiauti, apibūdinti ir žymėti paketus, eksportuoti ir atlikti kitas užduotis.
Kadangi nenorėjome apdoroti surinktų duomenų Honeypot kompiuteriuose, PCAP sąvartynai kasdien buvo eksportuojami į AWS saugyklą, iš kurios jau importavome į Moloch aparatą.
Ekrano įrašymas
Norėdami dokumentuoti įsilaužėlių veiksmus mūsų medaus puodelyje, parašėme scenarijų, kuris tam tikru intervalu padarė virtualiosios mašinos ekrano kopijas ir, palyginę ją su ankstesne ekrano kopija, nustatė, ar ten kažkas vyksta, ar ne. Kai buvo aptikta veikla, scenarijus įtraukė ekrano įrašymą. Šis metodas pasirodė esąs veiksmingiausias. Taip pat bandėme analizuoti VNC srautą iš PCAP sąvartyno, kad suprastume, kokie pokyčiai įvyko sistemoje, tačiau galiausiai mūsų įdiegtas ekrano įrašymas pasirodė paprastesnis ir vizualesnis.
VNC seansų stebėjimas
Tam naudojome Chaosreader ir VNCLogger. Abi programos ištraukia klavišų paspaudimus iš PCAP iškelties, tačiau VNCLogger teisingiau tvarko tokius klavišus kaip Backspace, Enter, Ctrl.
VNCLogger turi du trūkumus. Pirma: jis gali išgauti raktus tik „klausydamas“ srauto sąsajoje, todėl turėjome imituoti VNC seansą naudodami „tcpreplay“. Antrasis VNCLogger trūkumas yra bendras su Chaosreader: jie abu nerodo mainų srities turinio. Norėdami tai padaryti, turėjau naudoti „Wireshark“.
Suviliojame įsilaužėlius
Sukūrėme medaus puodą, kad būtume užpulti. Norėdami tai pasiekti, surengėme informacijos nutekėjimą, kad atkreiptume galimų užpuolikų dėmesį. Medaus puodelyje buvo atidaryti šie uostai:
KPP prievadas turėjo būti uždarytas netrukus po to, kai pradėjome veikti tiesiogiai, nes didžiulis nuskaitymo srautas mūsų tinkle sukėlė našumo problemų.
VNC terminalai iš pradžių veikė tik peržiūros režimu be slaptažodžio, o tada „per klaidą“ perjungėme juos į pilnos prieigos režimą.
Norėdami pritraukti užpuolikų, PasteBin paskelbėme du įrašus su nutekėjusia informacija apie turimą pramoninę sistemą.
Vienas iš įrašų, paskelbtų PasteBin, kad pritrauktų atakas. Šaltinis: Trend Micro
išpuolių
Honeypot internete gyveno apie septynis mėnesius. Pirmoji ataka įvyko praėjus mėnesiui po to, kai Honeypot pateko į internetą.
Skaitytuvai
Didelis srautas buvo iš žinomų firmų skaitytuvų – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye ir kitų. Jų buvo tiek daug, kad turėjome iš analizės neįtraukti jų IP adresų: 610 iš 9452 arba 6,45 % visų unikalių IP adresų priklausė visiškai teisėtiems skaitytuvams.
"Scammers"
Viena iš didžiausių rizikų, su kuriomis susidūrėme, yra mūsų sistemos naudojimas nusikalstamiems tikslams: pirkti išmaniuosius telefonus per abonento sąskaitą, išgryninti oro linijų mylias naudojant dovanų korteles ir kitokio pobūdžio sukčiavimas.
Kalnakasiai
Vienas pirmųjų mūsų sistemos lankytojų pasirodė esąs kalnakasys. Jis atsisiuntė Monero kasybos programinę įrangą. Dėl žemo našumo jis nebūtų galėjęs daug uždirbti iš mūsų sistemos. Tačiau sujungus kelių dešimčių ar net šimtų tokių sistemų pastangas, tai gali pasirodyti visai neblogai.
Ransomware
Honeypot darbo metu su tikrais ransomware virusais susidūrėme du kartus. Pirmuoju atveju tai buvo Crysis. Jos operatoriai prisijungė prie sistemos per VNC, bet tada įdiegė TeamViewer ir naudojo jį tolesniems veiksmams atlikti. Sulaukę pranešimo apie turto prievartavimą, reikalaujančio 10 6 USD išpirkos BTC, susirašinėjome su nusikaltėliais, prašydami iššifruoti vieną iš failų mums. Jie įvykdė prašymą ir pakartojo išpirkos reikalavimą. Pavyko susiderėti iki XNUMX tūkstančių dolerių, po to tiesiog iš naujo įkėlėme sistemą į virtualią mašiną, nes gavome visą reikiamą informaciją.
Antroji išpirkos programa pasirodė esanti „Phobos“. Jį įdiegęs įsilaužėlis valandą laiko naršydamas „Honeypot“ failų sistemoje ir nuskaitydamas tinklą, galiausiai įdiegė išpirkos reikalaujančią programinę įrangą.
Trečioji „ransomware“ ataka pasirodė netikra. Nežinomas „hakeris“ atsisiuntė failą haha.bat į mūsų sistemą, po to kurį laiką stebėjome, kaip jis bandė jį įjungti. Vienas iš bandymų buvo pervadinti haha.bat į haha.rnsmwr.
"Hakeris" padidina bat failo kenksmingumą pakeisdamas jo plėtinį į .rnsmwr. Šaltinis: Trend Micro
Kai paketinis failas pagaliau pradėjo veikti, „hakeris“ jį redagavo, padidindamas išpirką nuo 200 USD iki 750 USD. Po to jis „užšifravo“ visus failus, paliko prievartavimo pranešimą darbalaukyje ir dingo, pakeitęs slaptažodžius mūsų VNC.
Po poros dienų įsilaužėlis grįžo ir, norėdamas sau priminti, paleido paketinį failą, kuris atidarė daugybę langų su pornografine svetaine. Matyt, tokiu būdu jis bandė atkreipti dėmesį į savo reikalavimą.
rezultatai
Tyrimo metu paaiškėjo, kad vos paskelbus informaciją apie pažeidžiamumą, medaus puodas patraukė dėmesį, o aktyvumas augo kiekvieną dieną. Kad spąstai susilauktų dėmesio, mūsų fiktyvi įmonė turėjo patirti daugybę saugumo pažeidimų. Deja, tokia situacija toli gražu nėra neįprasta daugeliui realių įmonių, kurios neturi etatinio IT ir informacijos saugos darbuotojų.
Apskritai organizacijos turėtų naudoti mažiausios privilegijos principą, o mes įgyvendinome visiškai priešingą principą, kad pritrauktume užpuolikus. Ir kuo ilgiau stebėjome atakas, tuo jos tapo sudėtingesnės, palyginti su standartiniais skverbties bandymo metodais.
Ir svarbiausia, kad visos šios atakos būtų žlugusios, jei nustatant tinklą būtų įgyvendintos tinkamos saugumo priemonės. Organizacijos turi užtikrinti, kad jų įranga ir pramonės infrastruktūros komponentai nebūtų pasiekiami iš interneto, kaip mes konkrečiai padarėme savo spąstuose.
Nors neužfiksavome nė vienos atakos prieš inžinieriaus darbo vietą, nepaisant to, kad visuose kompiuteriuose naudojamas tas pats vietinio administratoriaus slaptažodis, šios praktikos reikėtų vengti, kad būtų sumažinta įsilaužimo galimybė. Juk silpnas saugumas tarnauja kaip papildomas kvietimas atakuoti pramonines sistemas, kurios jau seniai domino kibernetinius nusikaltėlius.
Šaltinis: www.habr.com