Neizsakāmi pievilcīgs: kā mēs izveidojām meduspodu, kuru nevar atklāt

Antivīrusu kompānijas, informācijas drošības eksperti un vienkārši entuziasti izvieto Honeypot sistēmas internetā, lai “noķertu” jaunu vīrusa variantu vai identificētu neparastu hakeru taktiku. Meduspodiņi ir tik izplatīti, ka kibernoziedzniekiem ir izveidojusies sava veida imunitāte: viņi ātri nosaka, ka atrodas lamatas priekšā, un vienkārši to ignorē. Lai izpētītu mūsdienu hakeru taktiku, mēs izveidojām reālistisku meduspodu, kas septiņus mēnešus dzīvoja internetā, piesaistot dažādus uzbrukumus. Mēs runājām par to, kā tas notika mūsu pētījumā "Pieķerts: reālistiskas rūpnīcas meduspoda vadīšana, lai fiksētu reālus draudus" Daži fakti no pētījuma ir šajā ierakstā.

Honeypot izstrāde: kontrolsaraksts

Galvenais uzdevums, veidojot mūsu superslazdu, bija neļaut mūs atklāt hakeriem, kuri izrādīja interesi par to. Tas prasīja daudz darba:

1. Izveidojiet reālistisku leģendu par uzņēmumu, iekļaujot darbinieku pilnus vārdus un fotoattēlus, tālruņu numurus un e-pasta adreses.
2. Izstrādāt un ieviest industriālās infrastruktūras modeli, kas atbilst leģendai par mūsu uzņēmuma darbību.
3. Izlemiet, kuri tīkla pakalpojumi būs pieejami no ārpuses, taču neaizraujieties ar ievainojamo portu atvēršanu, lai tas neizskatītos kā slazds piesūcējiem.
4. Organizējiet informācijas noplūdes par neaizsargātu sistēmu redzamību un izplatiet šo informāciju starp potenciālajiem uzbrucējiem.
5. Ieviesiet diskrētu hakeru darbību uzraudzību honeypot infrastruktūrā.

Un tagad par visu kārtībā.

Leģendas izveide

Kibernoziedznieki jau ir pieraduši saskarties ar daudziem meduspodiem, tāpēc vismodernākā daļa no viņiem veic katras neaizsargātās sistēmas padziļinātu izmeklēšanu, lai pārliecinātos, ka tā nav slazds. Tā paša iemesla dēļ mēs centāmies nodrošināt, lai medus pods būtu ne tikai reālistisks dizaina un tehnisko aspektu ziņā, bet arī radītu īsta uzņēmuma izskatu.

Iesaistoties hipotētiska forša hakera vietā, mēs izstrādājām verifikācijas algoritmu, kas atšķirtu īstu sistēmu no lamatas. Tas ietvēra uzņēmumu IP adrešu meklēšanu reputācijas sistēmās, IP adrešu vēstures reverso izpēti, ar uzņēmumu, kā arī tā darījuma partneriem saistītu vārdu un atslēgvārdu meklēšanu un daudzas citas lietas. Rezultātā leģenda izrādījās visai pārliecinoša un pievilcīga.

Mēs nolēmām pozicionēt mānekļu rūpnīcu kā nelielu rūpniecisko prototipu veikalu, kas strādā ļoti lieliem anonīmiem klientiem militārajā un aviācijas segmentā. Tas mūs atbrīvoja no juridiskiem sarežģījumiem, kas saistīti ar esoša zīmola izmantošanu.

Tālāk mums bija jāizdomā organizācijas vīzija, misija un nosaukums. Mēs nolēmām, ka mūsu uzņēmums būs startup ar nelielu darbinieku skaitu, no kuriem katrs ir dibinātājs. Tas pievienoja uzticamību stāstam par mūsu biznesa specializāciju, kas ļauj tai apstrādāt sensitīvus projektus lieliem un svarīgiem klientiem. Mēs vēlējāmies, lai mūsu uzņēmums no kiberdrošības viedokļa šķiet vājš, taču tajā pašā laikā bija skaidrs, ka mēs strādājam ar svarīgiem līdzekļiem mērķa sistēmās.

MeTech honeypot vietnes ekrānuzņēmums. Avots: Trend Micro

Par uzņēmuma nosaukumu izvēlējāmies vārdu MeTech. Vietne tika izveidota, pamatojoties uz bezmaksas veidni. Attēli ņemti no fotobankām, izmantojot visnepopulārākās un pārveidojot tos, lai padarītu tos mazāk atpazīstamus.

Mēs vēlējāmies, lai uzņēmums izskatās īsts, tāpēc mums vajadzēja pievienot darbiniekus ar profesionālām prasmēm, kas atbilst darbības profilam. Mēs izdomājām viņiem vārdus un personības un pēc tam mēģinājām atlasīt attēlus no fotobankām pēc etniskās piederības.

MeTech honeypot vietnes ekrānuzņēmums. Avots: Trend Micro

Lai netiktu atklāti, mēs meklējām labas kvalitātes grupu fotogrāfijas, no kurām varējām izvēlēties sev vajadzīgās sejas. Taču pēc tam mēs atteicāmies no šīs iespējas, jo potenciālais hakeris varēja izmantot reverso attēlu meklēšanu un atklāt, ka mūsu “darbinieki” dzīvo tikai foto bankās. Beigās izmantojām neeksistējošu cilvēku fotogrāfijas, kas izveidotas, izmantojot neironu tīklus.

Vietnē publicētajos darbinieku profilos bija ietverta svarīga informācija par viņu tehniskajām prasmēm, taču mēs izvairījāmies identificēt konkrētas skolas vai pilsētas.
Lai izveidotu pastkastes, mēs izmantojām hostinga pakalpojumu sniedzēja serveri, pēc tam noīrējām vairākus tālruņu numurus ASV un apvienojām tos virtuālā PBX ar balss izvēlni un automātisko atbildētāju.

Honeypot infrastruktūra

Lai izvairītos no iedarbības, mēs nolēmām izmantot reālas rūpnieciskās aparatūras, fizisko datoru un drošu virtuālo mašīnu kombināciju. Raugoties nākotnē, mēs teiksim, ka mēs pārbaudījām mūsu pūliņu rezultātu, izmantojot Shodan meklētājprogrammu, un tas parādīja, ka meduspods izskatās pēc īstas industriālas sistēmas.

Meduspoda skenēšanas rezultāts, izmantojot Shodan. Avots: Trend Micro

Mēs izmantojām četrus PLC kā aparatūru mūsu slazdam:

• Siemens S7-1200,
• divi AllenBradley MicroLogix 1100,
• Omron CP1L.

Šie PLC tika izvēlēti, ņemot vērā to popularitāti globālajā vadības sistēmu tirgū. Un katrs no šiem kontrolieriem izmanto savu protokolu, kas ļāva pārbaudīt, kuram no PLC uzbruktu biežāk un vai tie principā kādu interesētu.

Mūsu “rūpnīcas” lamatas aprīkojums. Avots: Trend Micro

Mēs ne tikai instalējām aparatūru un savienojām to ar internetu. Mēs ieprogrammējām katru kontrolieri, lai veiktu uzdevumus, t.sk

• sajaukšana,
• degļa un konveijera lentes vadība,
• paletēšana, izmantojot robotizētu manipulatoru.

Un, lai ražošanas process būtu reālistisks, mēs ieprogrammējām loģiku, lai nejauši mainītu atgriezeniskās saites parametrus, modelētu motoru iedarbināšanu un apturēšanu, kā arī degļu ieslēgšanos un izslēgšanu.

Mūsu rūpnīcā bija trīs virtuālie datori un viens fiziskais. Virtuālie datori tika izmantoti, lai vadītu rūpnīcu, paletizatoru robotu un kā PLC programmatūras inženiera darbstaciju. Fiziskais dators darbojās kā failu serveris.

Papildus PLC uzbrukumu pārraudzībai mēs vēlējāmies uzraudzīt mūsu ierīcēs ielādēto programmu statusu. Lai to izdarītu, mēs izveidojām saskarni, kas ļāva mums ātri noteikt, kā tika mainīti mūsu virtuālo izpildmehānismu un instalāciju stāvokļi. Jau plānošanas stadijā mēs atklājām, ka to ir daudz vieglāk īstenot, izmantojot vadības programmu, nevis tiešu kontroliera loģikas programmēšanu. Mēs atvērām piekļuvi mūsu Honeypot ierīču pārvaldības saskarnei, izmantojot VNC, bez paroles.

Rūpnieciskie roboti ir mūsdienu viedās ražošanas galvenā sastāvdaļa. Šajā sakarā mēs nolēmām mūsu slazdu rūpnīcas aprīkojumu pievienot robotu un automatizētu darba vietu tā vadīšanai. Lai padarītu “rūpnīcu” reālistiskāku, mēs vadības darbstacijā instalējām reālu programmatūru, ko inženieri izmanto, lai grafiski programmētu robota loģiku. Tā kā industriālie roboti parasti atrodas izolētā iekšējā tīklā, mēs nolēmām atstāt neaizsargātu piekļuvi caur VNC tikai vadības darbstacijai.

RobotStudio vide ar mūsu robota 3D modeli. Avots: Trend Micro

Mēs instalējām RobotStudio programmēšanas vidi no ABB Robotics virtuālajā mašīnā ar robotu vadības darbstaciju. Pēc RobotStudio konfigurēšanas mēs atvērām simulācijas failu ar mūsu robotu, lai tā 3D attēls būtu redzams ekrānā. Rezultātā Shodan un citas meklētājprogrammas, atklājot nenodrošinātu VNC serveri, satvers šo ekrāna attēlu un parādīs to tiem, kas meklē industriālos robotus ar atvērtu piekļuvi kontrolei.

Šīs detaļām veltītās uzmanības mērķis bija izveidot pievilcīgu un reālistisku mērķi uzbrucējiem, kuri, tiklīdz to atrada, pie tā atgrieztos atkal un atkal.

Inženiera darbstacija

Lai programmētu PLC loģiku, infrastruktūrai pievienojām inženiertehnisko datoru. Tajā tika instalēta rūpnieciskā programmatūra PLC programmēšanai:

• Siemens TIA portāls,
• MicroLogix Allen-Bradley kontrollerim,
• CX-One Omron.

Mēs nolēmām, ka inženiertehniskā darba vieta nebūs pieejama ārpus tīkla. Tā vietā mēs iestatījām tādu pašu paroli administratora kontam kā robotu vadības darbstacijā un rūpnīcas vadības darbstacijā, kas pieejama no interneta. Šī konfigurācija ir diezgan izplatīta daudzos uzņēmumos.
Diemžēl, neskatoties uz visiem mūsu pūliņiem, neviens uzbrucējs nesasniedza inženiera darbstaciju.

Failu serveris

Mums tas bija vajadzīgs kā ēsma uzbrucējiem un kā līdzeklis mūsu pašu “darba” atbalstam mānekļu rūpnīcā. Tas ļāva mums koplietot failus ar mūsu honeypot, izmantojot USB ierīces, neatstājot pēdas Honeypot tīklā. Mēs instalējām Windows 7 Pro kā OS failu serverim, kurā izveidojām koplietotu mapi, kuru var lasīt un rakstīt ikviens.

Sākumā mēs failu serverī neveidojām nekādu mapju un dokumentu hierarhiju. Taču vēlāk atklājām, ka uzbrucēji aktīvi pēta šo mapi, tāpēc nolēmām to aizpildīt ar dažādiem failiem. Lai to izdarītu, mēs uzrakstījām python skriptu, kas izveidoja nejauša izmēra failu ar kādu no norādītajiem paplašinājumiem, veidojot nosaukumu, pamatojoties uz vārdnīcu.

Skripts pievilcīgu failu nosaukumu ģenerēšanai. Avots: Trend Micro

Pēc skripta palaišanas mēs saņēmām vēlamo rezultātu mapes veidā, kas piepildīta ar failiem ar ļoti interesantiem nosaukumiem.

Skripta rezultāts. Avots: Trend Micro

Monitoringa vide

Iztērējot tik daudz pūļu, veidojot reālistisku uzņēmumu, mēs vienkārši nevarējām atļauties kļūdīties mūsu "apmeklētāju" uzraudzības vidē. Mums bija jāiegūst visi dati reāllaikā, uzbrucējiem neapzinoties, ka viņi tiek novēroti.

Mēs to ieviesām, izmantojot četrus USB uz Ethernet adapterus, četrus SharkTap Ethernet pieskārienus, Raspberry Pi 3 un lielu ārējo disku. Mūsu tīkla diagramma izskatījās šādi:

Honeypot tīkla diagramma ar uzraudzības aprīkojumu. Avots: Trend Micro

Mēs novietojām trīs SharkTap pieskārienus, lai uzraudzītu visu ārējo trafiku uz PLC, kas ir pieejama tikai no iekšējā tīkla. Ceturtais SharkTap uzraudzīja neaizsargātas virtuālās mašīnas viesu trafiku.

SharkTap Ethernet Tap un Sierra Wireless AirLink RV50 maršrutētājs. Avots: Trend Micro

Raspberry Pi veica ikdienas satiksmes uztveršanu. Mēs izveidojām savienojumu ar internetu, izmantojot Sierra Wireless AirLink RV50 mobilo maršrutētāju, ko bieži izmanto rūpniecības uzņēmumos.

Diemžēl šis maršrutētājs mums neļāva selektīvi bloķēt uzbrukumus, kas neatbilst mūsu plāniem, tāpēc mēs pievienojām tīklam Cisco ASA 5505 ugunsmūri caurspīdīgā režīmā, lai veiktu bloķēšanu ar minimālu ietekmi uz tīklu.

Satiksmes analīze

Tshark un tcpdump ir piemēroti, lai ātri atrisinātu aktuālās problēmas, taču mūsu gadījumā ar to iespējām nebija pietiekami, jo mums bija daudz gigabaitu trafika, ko analizēja vairāki cilvēki. Mēs izmantojām AOL izstrādāto atvērtā koda Moloch analizatoru. Tā funkcionalitāte ir salīdzināma ar Wireshark, taču tai ir vairāk iespēju sadarbībai, pakotņu aprakstīšanai un marķēšanai, eksportēšanai un citiem uzdevumiem.

Tā kā savāktos datus nevēlējāmies apstrādāt honeypot datoros, PCAP izgāztuves katru dienu tika eksportētas uz AWS krātuvi, no kurienes tās jau importējām Moloch mašīnā.

Ekrāna ierakstīšana

Lai dokumentētu hakeru darbības mūsu meduspotā, mēs uzrakstījām skriptu, kas noteiktā intervālā uzņēma virtuālās mašīnas ekrānuzņēmumus un, salīdzinot to ar iepriekšējo ekrānuzņēmumu, noteica, vai tur kaut kas notiek vai nē. Kad darbība tika konstatēta, skripts ietvēra ekrāna ierakstīšanu. Šī pieeja izrādījās visefektīvākā. Mēs arī mēģinājām analizēt VNC trafiku no PCAP izgāztuves, lai saprastu, kādas izmaiņas ir notikušas sistēmā, taču galu galā mūsu ieviestais ekrāna ieraksts izrādījās vienkāršāks un vizuālāks.

VNC sesiju uzraudzība

Šim nolūkam mēs izmantojām Chaosreader un VNCLogger. Abas utilītas izņem taustiņsitienus no PCAP izgāztuves, bet VNCLogger pareizāk apstrādā taustiņus, piemēram, Backspace, Enter, Ctrl.

VNCLogger ir divi trūkumi. Pirmkārt: tas var iegūt atslēgas, tikai “klausoties” interfeisa trafiku, tāpēc mums bija jāmodelē VNC sesija, izmantojot tcpreplay. Otrs VNCLogger trūkums ir izplatīts Chaosreader: tie abi nerāda starpliktuves saturu. Lai to izdarītu, man bija jāizmanto Wireshark.

Mēs pievilinām hakerus

Mēs izveidojām meduspodu, lai uzbruktu. Lai to panāktu, mēs veicām informācijas noplūdi, lai piesaistītu potenciālo uzbrucēju uzmanību. Meduspodā tika atvērtas šādas ostas:

RDP ports bija jāslēdz neilgi pēc tiešraides, jo lielais skenēšanas datplūsmas apjoms mūsu tīklā izraisīja veiktspējas problēmas.
VNC termināļi vispirms strādāja tikai skatīšanas režīmā bez paroles, un pēc tam mēs “kļūdas dēļ” tos pārslēdzām uz pilnas piekļuves režīmu.

Lai piesaistītu uzbrucējus, PasteBin ievietojām divus ierakstus ar nopludinātu informāciju par pieejamo industriālo sistēmu.

Viens no ierakstiem, kas ievietots vietnē PasteBin, lai piesaistītu uzbrukumus. Avots: Trend Micro

Uzbrukumi

Honeypot tiešsaistē dzīvoja apmēram septiņus mēnešus. Pirmais uzbrukums notika mēnesi pēc honeypot nokļūšanas tiešsaistē.

Skeneri

Liela trafika bija no pazīstamu firmu skeneriem – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye un citiem. To bija tik daudz, ka mums bija jāizslēdz to IP adreses no analīzes: 610 no 9452 jeb 6,45% no visām unikālajām IP adresēm piederēja pilnīgi likumīgiem skeneriem.

Scammers

Viens no lielākajiem riskiem, ar ko esam saskārušies, ir mūsu sistēmas izmantošana noziedzīgos nolūkos: viedtālruņu iegāde, izmantojot abonenta kontu, aviokompāniju jūdzes, izmantojot dāvanu kartes, un cita veida krāpšana.

Kalnrači

Viens no pirmajiem mūsu sistēmas apmeklētājiem izrādījās kalnracis. Viņš tajā lejupielādēja Monero ieguves programmatūru. Viņš nebūtu varējis nopelnīt daudz naudas mūsu konkrētajā sistēmā zemās produktivitātes dēļ. Taču, ja apvienotu vairāku desmitu vai pat simtu šādu sistēmu pūles, tas varētu izdoties diezgan labi.

Ransomware

Honeypot darba laikā mēs divreiz sastapāmies ar īstiem izspiedējvīrusiem. Pirmajā gadījumā tas bija Crysis. Tās operatori pieteicās sistēmā caur VNC, bet pēc tam instalēja TeamViewer un izmantoja to turpmāko darbību veikšanai. Sagaidījuši izspiešanas ziņojumu, kurā tika pieprasīta izpirkuma maksa 10 6 USD apmērā BTC, mēs uzsākām saraksti ar noziedzniekiem, lūdzot viņiem atšifrēt vienu no failiem mūsu vietā. Viņi izpildīja lūgumu un atkārtoja izpirkuma maksu. Mums izdevās sarunāt līdz XNUMX tūkstošiem dolāru, pēc tam mēs vienkārši atkārtoti augšupielādējām sistēmu virtuālajā mašīnā, jo saņēmām visu nepieciešamo informāciju.

Otrais izspiedējvīruss izrādījās Phobos. Hakeris, kurš to instalēja, pavadīja stundu, pārlūkojot Honeypot failu sistēmu un skenējot tīklu, un pēc tam beidzot instalēja izspiedējvīrusu.
Trešais ransomware uzbrukums izrādījās viltots. Nezināms “hakeris” lejupielādēja failu haha.bat mūsu sistēmā, pēc tam kādu laiku skatījāmies, kā viņš mēģināja to iedarbināt. Viens no mēģinājumiem bija pārdēvēt haha.bat par haha.rnsmwr.

“Hakeris” palielina sikspārņu faila kaitīgumu, mainot tā paplašinājumu uz .rnsmwr. Avots: Trend Micro

Kad sērijveida fails beidzot sāka darboties, "hakeris" to rediģēja, palielinot izpirkuma maksu no 200 USD līdz 750 USD. Pēc tam viņš "šifrēja" visus failus, atstāja izspiešanas ziņojumu uz darbvirsmas un pazuda, mainot paroles mūsu VNC.

Pēc pāris dienām hakeris atgriezās un, lai atgādinātu sev, palaida sērijveida failu, kas atvēra daudzus logus ar porno vietni. Acīmredzot tādā veidā viņš centās pievērst uzmanību savai prasībai.

Rezultāti

Pētījuma laikā noskaidrojās, ka, tiklīdz tika publicēta informācija par ievainojamību, Houspot piesaistīja uzmanību, aktivitātei pieaugot ar katru dienu. Lai slazds pievērstu uzmanību, mūsu fiktīvajam uzņēmumam bija jāpiedzīvo vairāki drošības pārkāpumi. Diemžēl šī situācija nebūt nav nekas neparasts daudzu reālu uzņēmumu vidū, kuriem nav pilnas slodzes IT un informācijas drošības darbinieku.

Kopumā organizācijām būtu jāizmanto mazāko privilēģiju princips, savukārt mēs ieviesām tieši pretējo, lai piesaistītu uzbrucējus. Un jo ilgāk mēs skatījāmies uzbrukumus, jo sarežģītāki tie kļuva, salīdzinot ar standarta iespiešanās pārbaudes metodēm.

Un pats galvenais, visi šie uzbrukumi būtu bijuši neveiksmīgi, ja tīkla izveides laikā būtu ieviesti atbilstoši drošības pasākumi. Organizācijām ir jānodrošina, lai to aprīkojums un rūpnieciskās infrastruktūras komponenti nebūtu pieejami no interneta, kā mēs to darījām savā slazdā.

Lai gan mēs neesam reģistrējuši nevienu uzbrukumu inženiera darbstacijai, lai gan visos datoros tiek izmantota viena un tā pati vietējā administratora parole, no šādas prakses vajadzētu izvairīties, lai samazinātu ielaušanās iespēju. Galu galā vājā drošība kalpo kā papildu aicinājums uzbrukt industriālajām sistēmām, kas jau sen interesējušas kibernoziedzniekus.

Avots: www.habr.com