AntivÄ«rusu kompÄnijas, informÄcijas droŔības eksperti un vienkÄrÅ”i entuziasti izvieto Honeypot sistÄmas internetÄ, lai ānoÄ·ertuā jaunu vÄ«rusa variantu vai identificÄtu neparastu hakeru taktiku. MeduspodiÅi ir tik izplatÄ«ti, ka kibernoziedzniekiem ir izveidojusies sava veida imunitÄte: viÅi Ätri nosaka, ka atrodas lamatas priekÅ”Ä, un vienkÄrÅ”i to ignorÄ. Lai izpÄtÄ«tu mÅ«sdienu hakeru taktiku, mÄs izveidojÄm reÄlistisku meduspodu, kas septiÅus mÄneÅ”us dzÄ«voja internetÄ, piesaistot dažÄdus uzbrukumus. MÄs runÄjÄm par to, kÄ tas notika mÅ«su pÄtÄ«jumÄ "
Honeypot izstrÄde: kontrolsaraksts
Galvenais uzdevums, veidojot mÅ«su superslazdu, bija neļaut mÅ«s atklÄt hakeriem, kuri izrÄdÄ«ja interesi par to. Tas prasÄ«ja daudz darba:
- Izveidojiet reÄlistisku leÄ£endu par uzÅÄmumu, iekļaujot darbinieku pilnus vÄrdus un fotoattÄlus, tÄlruÅu numurus un e-pasta adreses.
- IzstrÄdÄt un ieviest industriÄlÄs infrastruktÅ«ras modeli, kas atbilst leÄ£endai par mÅ«su uzÅÄmuma darbÄ«bu.
- Izlemiet, kuri tÄ«kla pakalpojumi bÅ«s pieejami no Ärpuses, taÄu neaizraujieties ar ievainojamo portu atvÄrÅ”anu, lai tas neizskatÄ«tos kÄ slazds piesÅ«cÄjiem.
- OrganizÄjiet informÄcijas noplÅ«des par neaizsargÄtu sistÄmu redzamÄ«bu un izplatiet Å”o informÄciju starp potenciÄlajiem uzbrucÄjiem.
- Ieviesiet diskrÄtu hakeru darbÄ«bu uzraudzÄ«bu honeypot infrastruktÅ«rÄ.
Un tagad par visu kÄrtÄ«bÄ.
Leģendas izveide
Kibernoziedznieki jau ir pieraduÅ”i saskarties ar daudziem meduspodiem, tÄpÄc vismodernÄkÄ daļa no viÅiem veic katras neaizsargÄtÄs sistÄmas padziļinÄtu izmeklÄÅ”anu, lai pÄrliecinÄtos, ka tÄ nav slazds. TÄ paÅ”a iemesla dÄļ mÄs centÄmies nodroÅ”inÄt, lai medus pods bÅ«tu ne tikai reÄlistisks dizaina un tehnisko aspektu ziÅÄ, bet arÄ« radÄ«tu Ä«sta uzÅÄmuma izskatu.
Iesaistoties hipotÄtiska forÅ”a hakera vietÄ, mÄs izstrÄdÄjÄm verifikÄcijas algoritmu, kas atŔķirtu Ä«stu sistÄmu no lamatas. Tas ietvÄra uzÅÄmumu IP adreÅ”u meklÄÅ”anu reputÄcijas sistÄmÄs, IP adreÅ”u vÄstures reverso izpÄti, ar uzÅÄmumu, kÄ arÄ« tÄ darÄ«juma partneriem saistÄ«tu vÄrdu un atslÄgvÄrdu meklÄÅ”anu un daudzas citas lietas. RezultÄtÄ leÄ£enda izrÄdÄ«jÄs visai pÄrliecinoÅ”a un pievilcÄ«ga.
MÄs nolÄmÄm pozicionÄt mÄnekļu rÅ«pnÄ«cu kÄ nelielu rÅ«pniecisko prototipu veikalu, kas strÄdÄ Ä¼oti lieliem anonÄ«miem klientiem militÄrajÄ un aviÄcijas segmentÄ. Tas mÅ«s atbrÄ«voja no juridiskiem sarežģījumiem, kas saistÄ«ti ar esoÅ”a zÄ«mola izmantoÅ”anu.
TÄlÄk mums bija jÄizdomÄ organizÄcijas vÄ«zija, misija un nosaukums. MÄs nolÄmÄm, ka mÅ«su uzÅÄmums bÅ«s startup ar nelielu darbinieku skaitu, no kuriem katrs ir dibinÄtÄjs. Tas pievienoja uzticamÄ«bu stÄstam par mÅ«su biznesa specializÄciju, kas ļauj tai apstrÄdÄt sensitÄ«vus projektus lieliem un svarÄ«giem klientiem. MÄs vÄlÄjÄmies, lai mÅ«su uzÅÄmums no kiberdroŔības viedokļa Ŕķiet vÄjÅ”, taÄu tajÄ paÅ”Ä laikÄ bija skaidrs, ka mÄs strÄdÄjam ar svarÄ«giem lÄ«dzekļiem mÄrÄ·a sistÄmÄs.
MeTech honeypot vietnes ekrÄnuzÅÄmums. Avots: Trend Micro
Par uzÅÄmuma nosaukumu izvÄlÄjÄmies vÄrdu MeTech. Vietne tika izveidota, pamatojoties uz bezmaksas veidni. AttÄli Åemti no fotobankÄm, izmantojot visnepopulÄrÄkÄs un pÄrveidojot tos, lai padarÄ«tu tos mazÄk atpazÄ«stamus.
MÄs vÄlÄjÄmies, lai uzÅÄmums izskatÄs Ä«sts, tÄpÄc mums vajadzÄja pievienot darbiniekus ar profesionÄlÄm prasmÄm, kas atbilst darbÄ«bas profilam. MÄs izdomÄjÄm viÅiem vÄrdus un personÄ«bas un pÄc tam mÄÄ£inÄjÄm atlasÄ«t attÄlus no fotobankÄm pÄc etniskÄs piederÄ«bas.
MeTech honeypot vietnes ekrÄnuzÅÄmums. Avots: Trend Micro
Lai netiktu atklÄti, mÄs meklÄjÄm labas kvalitÄtes grupu fotogrÄfijas, no kurÄm varÄjÄm izvÄlÄties sev vajadzÄ«gÄs sejas. TaÄu pÄc tam mÄs atteicÄmies no Ŕīs iespÄjas, jo potenciÄlais hakeris varÄja izmantot reverso attÄlu meklÄÅ”anu un atklÄt, ka mÅ«su ādarbiniekiā dzÄ«vo tikai foto bankÄs. BeigÄs izmantojÄm neeksistÄjoÅ”u cilvÄku fotogrÄfijas, kas izveidotas, izmantojot neironu tÄ«klus.
VietnÄ publicÄtajos darbinieku profilos bija ietverta svarÄ«ga informÄcija par viÅu tehniskajÄm prasmÄm, taÄu mÄs izvairÄ«jÄmies identificÄt konkrÄtas skolas vai pilsÄtas.
Lai izveidotu pastkastes, mÄs izmantojÄm hostinga pakalpojumu sniedzÄja serveri, pÄc tam noÄ«rÄjÄm vairÄkus tÄlruÅu numurus ASV un apvienojÄm tos virtuÄlÄ PBX ar balss izvÄlni un automÄtisko atbildÄtÄju.
Honeypot infrastruktūra
Lai izvairÄ«tos no iedarbÄ«bas, mÄs nolÄmÄm izmantot reÄlas rÅ«pnieciskÄs aparatÅ«ras, fizisko datoru un droÅ”u virtuÄlo maŔīnu kombinÄciju. Raugoties nÄkotnÄ, mÄs teiksim, ka mÄs pÄrbaudÄ«jÄm mÅ«su pÅ«liÅu rezultÄtu, izmantojot Shodan meklÄtÄjprogrammu, un tas parÄdÄ«ja, ka meduspods izskatÄs pÄc Ä«stas industriÄlas sistÄmas.
Meduspoda skenÄÅ”anas rezultÄts, izmantojot Shodan. Avots: Trend Micro
MÄs izmantojÄm Äetrus PLC kÄ aparatÅ«ru mÅ«su slazdam:
- Siemens S7-1200,
- divi AllenBradley MicroLogix 1100,
- Omron CP1L.
Å ie PLC tika izvÄlÄti, Åemot vÄrÄ to popularitÄti globÄlajÄ vadÄ«bas sistÄmu tirgÅ«. Un katrs no Å”iem kontrolieriem izmanto savu protokolu, kas ļÄva pÄrbaudÄ«t, kuram no PLC uzbruktu biežÄk un vai tie principÄ kÄdu interesÄtu.
MÅ«su ārÅ«pnÄ«casā lamatas aprÄ«kojums. Avots: Trend Micro
MÄs ne tikai instalÄjÄm aparatÅ«ru un savienojÄm to ar internetu. MÄs ieprogrammÄjÄm katru kontrolieri, lai veiktu uzdevumus, t.sk
- sajaukŔana,
- degļa un konveijera lentes vadība,
- paletÄÅ”ana, izmantojot robotizÄtu manipulatoru.
Un, lai ražoÅ”anas process bÅ«tu reÄlistisks, mÄs ieprogrammÄjÄm loÄ£iku, lai nejauÅ”i mainÄ«tu atgriezeniskÄs saites parametrus, modelÄtu motoru iedarbinÄÅ”anu un apturÄÅ”anu, kÄ arÄ« degļu ieslÄgÅ”anos un izslÄgÅ”anu.
MÅ«su rÅ«pnÄ«cÄ bija trÄ«s virtuÄlie datori un viens fiziskais. VirtuÄlie datori tika izmantoti, lai vadÄ«tu rÅ«pnÄ«cu, paletizatoru robotu un kÄ PLC programmatÅ«ras inženiera darbstaciju. Fiziskais dators darbojÄs kÄ failu serveris.
Papildus PLC uzbrukumu pÄrraudzÄ«bai mÄs vÄlÄjÄmies uzraudzÄ«t mÅ«su ierÄ«cÄs ielÄdÄto programmu statusu. Lai to izdarÄ«tu, mÄs izveidojÄm saskarni, kas ļÄva mums Ätri noteikt, kÄ tika mainÄ«ti mÅ«su virtuÄlo izpildmehÄnismu un instalÄciju stÄvokļi. Jau plÄnoÅ”anas stadijÄ mÄs atklÄjÄm, ka to ir daudz vieglÄk Ä«stenot, izmantojot vadÄ«bas programmu, nevis tieÅ”u kontroliera loÄ£ikas programmÄÅ”anu. MÄs atvÄrÄm piekļuvi mÅ«su Honeypot ierÄ«Äu pÄrvaldÄ«bas saskarnei, izmantojot VNC, bez paroles.
RÅ«pnieciskie roboti ir mÅ«sdienu viedÄs ražoÅ”anas galvenÄ sastÄvdaļa. Å ajÄ sakarÄ mÄs nolÄmÄm mÅ«su slazdu rÅ«pnÄ«cas aprÄ«kojumu pievienot robotu un automatizÄtu darba vietu tÄ vadÄ«Å”anai. Lai padarÄ«tu ārÅ«pnÄ«cuā reÄlistiskÄku, mÄs vadÄ«bas darbstacijÄ instalÄjÄm reÄlu programmatÅ«ru, ko inženieri izmanto, lai grafiski programmÄtu robota loÄ£iku. TÄ kÄ industriÄlie roboti parasti atrodas izolÄtÄ iekÅ”ÄjÄ tÄ«klÄ, mÄs nolÄmÄm atstÄt neaizsargÄtu piekļuvi caur VNC tikai vadÄ«bas darbstacijai.
RobotStudio vide ar mūsu robota 3D modeli. Avots: Trend Micro
MÄs instalÄjÄm RobotStudio programmÄÅ”anas vidi no ABB Robotics virtuÄlajÄ maŔīnÄ ar robotu vadÄ«bas darbstaciju. PÄc RobotStudio konfigurÄÅ”anas mÄs atvÄrÄm simulÄcijas failu ar mÅ«su robotu, lai tÄ 3D attÄls bÅ«tu redzams ekrÄnÄ. RezultÄtÄ Shodan un citas meklÄtÄjprogrammas, atklÄjot nenodroÅ”inÄtu VNC serveri, satvers Å”o ekrÄna attÄlu un parÄdÄ«s to tiem, kas meklÄ industriÄlos robotus ar atvÄrtu piekļuvi kontrolei.
Å Ä«s detaļÄm veltÄ«tÄs uzmanÄ«bas mÄrÄ·is bija izveidot pievilcÄ«gu un reÄlistisku mÄrÄ·i uzbrucÄjiem, kuri, tiklÄ«dz to atrada, pie tÄ atgrieztos atkal un atkal.
Inženiera darbstacija
Lai programmÄtu PLC loÄ£iku, infrastruktÅ«rai pievienojÄm inženiertehnisko datoru. TajÄ tika instalÄta rÅ«pnieciskÄ programmatÅ«ra PLC programmÄÅ”anai:
- Siemens TIA portÄls,
- MicroLogix Allen-Bradley kontrollerim,
- CX-One Omron.
MÄs nolÄmÄm, ka inženiertehniskÄ darba vieta nebÅ«s pieejama Ärpus tÄ«kla. TÄ vietÄ mÄs iestatÄ«jÄm tÄdu paÅ”u paroli administratora kontam kÄ robotu vadÄ«bas darbstacijÄ un rÅ«pnÄ«cas vadÄ«bas darbstacijÄ, kas pieejama no interneta. Å Ä« konfigurÄcija ir diezgan izplatÄ«ta daudzos uzÅÄmumos.
DiemžÄl, neskatoties uz visiem mÅ«su pÅ«liÅiem, neviens uzbrucÄjs nesasniedza inženiera darbstaciju.
Failu serveris
Mums tas bija vajadzÄ«gs kÄ Äsma uzbrucÄjiem un kÄ lÄ«dzeklis mÅ«su paÅ”u ādarbaā atbalstam mÄnekļu rÅ«pnÄ«cÄ. Tas ļÄva mums koplietot failus ar mÅ«su honeypot, izmantojot USB ierÄ«ces, neatstÄjot pÄdas Honeypot tÄ«klÄ. MÄs instalÄjÄm Windows 7 Pro kÄ OS failu serverim, kurÄ izveidojÄm koplietotu mapi, kuru var lasÄ«t un rakstÄ«t ikviens.
SÄkumÄ mÄs failu serverÄ« neveidojÄm nekÄdu mapju un dokumentu hierarhiju. TaÄu vÄlÄk atklÄjÄm, ka uzbrucÄji aktÄ«vi pÄta Å”o mapi, tÄpÄc nolÄmÄm to aizpildÄ«t ar dažÄdiem failiem. Lai to izdarÄ«tu, mÄs uzrakstÄ«jÄm python skriptu, kas izveidoja nejauÅ”a izmÄra failu ar kÄdu no norÄdÄ«tajiem paplaÅ”inÄjumiem, veidojot nosaukumu, pamatojoties uz vÄrdnÄ«cu.
Skripts pievilcÄ«gu failu nosaukumu Ä£enerÄÅ”anai. Avots: Trend Micro
PÄc skripta palaiÅ”anas mÄs saÅÄmÄm vÄlamo rezultÄtu mapes veidÄ, kas piepildÄ«ta ar failiem ar ļoti interesantiem nosaukumiem.
Skripta rezultÄts. Avots: Trend Micro
Monitoringa vide
IztÄrÄjot tik daudz pūļu, veidojot reÄlistisku uzÅÄmumu, mÄs vienkÄrÅ”i nevarÄjÄm atļauties kļūdÄ«ties mÅ«su "apmeklÄtÄju" uzraudzÄ«bas vidÄ. Mums bija jÄiegÅ«st visi dati reÄllaikÄ, uzbrucÄjiem neapzinoties, ka viÅi tiek novÄroti.
MÄs to ieviesÄm, izmantojot Äetrus USB uz Ethernet adapterus, Äetrus SharkTap Ethernet pieskÄrienus, Raspberry Pi 3 un lielu ÄrÄjo disku. MÅ«su tÄ«kla diagramma izskatÄ«jÄs Å”Ädi:
Honeypot tīkla diagramma ar uzraudzības aprīkojumu. Avots: Trend Micro
MÄs novietojÄm trÄ«s SharkTap pieskÄrienus, lai uzraudzÄ«tu visu ÄrÄjo trafiku uz PLC, kas ir pieejama tikai no iekÅ”ÄjÄ tÄ«kla. Ceturtais SharkTap uzraudzÄ«ja neaizsargÄtas virtuÄlÄs maŔīnas viesu trafiku.
SharkTap Ethernet Tap un Sierra Wireless AirLink RV50 marÅ”rutÄtÄjs. Avots: Trend Micro
Raspberry Pi veica ikdienas satiksmes uztverÅ”anu. MÄs izveidojÄm savienojumu ar internetu, izmantojot Sierra Wireless AirLink RV50 mobilo marÅ”rutÄtÄju, ko bieži izmanto rÅ«pniecÄ«bas uzÅÄmumos.
DiemžÄl Å”is marÅ”rutÄtÄjs mums neļÄva selektÄ«vi bloÄ·Ät uzbrukumus, kas neatbilst mÅ«su plÄniem, tÄpÄc mÄs pievienojÄm tÄ«klam Cisco ASA 5505 ugunsmÅ«ri caurspÄ«dÄ«gÄ režīmÄ, lai veiktu bloÄ·ÄÅ”anu ar minimÄlu ietekmi uz tÄ«klu.
Satiksmes analīze
Tshark un tcpdump ir piemÄroti, lai Ätri atrisinÄtu aktuÄlÄs problÄmas, taÄu mÅ«su gadÄ«jumÄ ar to iespÄjÄm nebija pietiekami, jo mums bija daudz gigabaitu trafika, ko analizÄja vairÄki cilvÄki. MÄs izmantojÄm AOL izstrÄdÄto atvÄrtÄ koda Moloch analizatoru. TÄ funkcionalitÄte ir salÄ«dzinÄma ar Wireshark, taÄu tai ir vairÄk iespÄju sadarbÄ«bai, pakotÅu aprakstÄ«Å”anai un marÄ·ÄÅ”anai, eksportÄÅ”anai un citiem uzdevumiem.
TÄ kÄ savÄktos datus nevÄlÄjÄmies apstrÄdÄt honeypot datoros, PCAP izgÄztuves katru dienu tika eksportÄtas uz AWS krÄtuvi, no kurienes tÄs jau importÄjÄm Moloch maŔīnÄ.
EkrÄna ierakstÄ«Å”ana
Lai dokumentÄtu hakeru darbÄ«bas mÅ«su meduspotÄ, mÄs uzrakstÄ«jÄm skriptu, kas noteiktÄ intervÄlÄ uzÅÄma virtuÄlÄs maŔīnas ekrÄnuzÅÄmumus un, salÄ«dzinot to ar iepriekÅ”Äjo ekrÄnuzÅÄmumu, noteica, vai tur kaut kas notiek vai nÄ. Kad darbÄ«ba tika konstatÄta, skripts ietvÄra ekrÄna ierakstÄ«Å”anu. Å Ä« pieeja izrÄdÄ«jÄs visefektÄ«vÄkÄ. MÄs arÄ« mÄÄ£inÄjÄm analizÄt VNC trafiku no PCAP izgÄztuves, lai saprastu, kÄdas izmaiÅas ir notikuÅ”as sistÄmÄ, taÄu galu galÄ mÅ«su ieviestais ekrÄna ieraksts izrÄdÄ«jÄs vienkÄrÅ”Äks un vizuÄlÄks.
VNC sesiju uzraudzība
Å im nolÅ«kam mÄs izmantojÄm Chaosreader un VNCLogger. Abas utilÄ«tas izÅem taustiÅsitienus no PCAP izgÄztuves, bet VNCLogger pareizÄk apstrÄdÄ taustiÅus, piemÄram, Backspace, Enter, Ctrl.
VNCLogger ir divi trÅ«kumi. PirmkÄrt: tas var iegÅ«t atslÄgas, tikai āklausotiesā interfeisa trafiku, tÄpÄc mums bija jÄmodelÄ VNC sesija, izmantojot tcpreplay. Otrs VNCLogger trÅ«kums ir izplatÄ«ts Chaosreader: tie abi nerÄda starpliktuves saturu. Lai to izdarÄ«tu, man bija jÄizmanto Wireshark.
MÄs pievilinÄm hakerus
MÄs izveidojÄm meduspodu, lai uzbruktu. Lai to panÄktu, mÄs veicÄm informÄcijas noplÅ«di, lai piesaistÄ«tu potenciÄlo uzbrucÄju uzmanÄ«bu. MeduspodÄ tika atvÄrtas Å”Ädas ostas:
RDP ports bija jÄslÄdz neilgi pÄc tieÅ”raides, jo lielais skenÄÅ”anas datplÅ«smas apjoms mÅ«su tÄ«klÄ izraisÄ«ja veiktspÄjas problÄmas.
VNC terminÄļi vispirms strÄdÄja tikai skatÄ«Å”anas režīmÄ bez paroles, un pÄc tam mÄs ākļūdas dÄļā tos pÄrslÄdzÄm uz pilnas piekļuves režīmu.
Lai piesaistÄ«tu uzbrucÄjus, PasteBin ievietojÄm divus ierakstus ar nopludinÄtu informÄciju par pieejamo industriÄlo sistÄmu.
Viens no ierakstiem, kas ievietots vietnÄ PasteBin, lai piesaistÄ«tu uzbrukumus. Avots: Trend Micro
Uzbrukumi
Honeypot tieÅ”saistÄ dzÄ«voja apmÄram septiÅus mÄneÅ”us. Pirmais uzbrukums notika mÄnesi pÄc honeypot nokļūŔanas tieÅ”saistÄ.
Skeneri
Liela trafika bija no pazÄ«stamu firmu skeneriem ā ip-ip, Rapid, Shadow Server, Shodan, ZoomEye un citiem. To bija tik daudz, ka mums bija jÄizslÄdz to IP adreses no analÄ«zes: 610 no 9452 jeb 6,45% no visÄm unikÄlajÄm IP adresÄm piederÄja pilnÄ«gi likumÄ«giem skeneriem.
Scammers
Viens no lielÄkajiem riskiem, ar ko esam saskÄruÅ”ies, ir mÅ«su sistÄmas izmantoÅ”ana noziedzÄ«gos nolÅ«kos: viedtÄlruÅu iegÄde, izmantojot abonenta kontu, aviokompÄniju jÅ«dzes, izmantojot dÄvanu kartes, un cita veida krÄpÅ”ana.
KalnraÄi
Viens no pirmajiem mÅ«su sistÄmas apmeklÄtÄjiem izrÄdÄ«jÄs kalnracis. ViÅÅ” tajÄ lejupielÄdÄja Monero ieguves programmatÅ«ru. ViÅÅ” nebÅ«tu varÄjis nopelnÄ«t daudz naudas mÅ«su konkrÄtajÄ sistÄmÄ zemÄs produktivitÄtes dÄļ. TaÄu, ja apvienotu vairÄku desmitu vai pat simtu Å”Ädu sistÄmu pÅ«les, tas varÄtu izdoties diezgan labi.
Ransomware
Honeypot darba laikÄ mÄs divreiz sastapÄmies ar Ä«stiem izspiedÄjvÄ«rusiem. PirmajÄ gadÄ«jumÄ tas bija Crysis. TÄs operatori pieteicÄs sistÄmÄ caur VNC, bet pÄc tam instalÄja TeamViewer un izmantoja to turpmÄko darbÄ«bu veikÅ”anai. SagaidÄ«juÅ”i izspieÅ”anas ziÅojumu, kurÄ tika pieprasÄ«ta izpirkuma maksa 10 6 USD apmÄrÄ BTC, mÄs uzsÄkÄm saraksti ar noziedzniekiem, lÅ«dzot viÅiem atÅ”ifrÄt vienu no failiem mÅ«su vietÄ. ViÅi izpildÄ«ja lÅ«gumu un atkÄrtoja izpirkuma maksu. Mums izdevÄs sarunÄt lÄ«dz XNUMX tÅ«kstoÅ”iem dolÄru, pÄc tam mÄs vienkÄrÅ”i atkÄrtoti augÅ”upielÄdÄjÄm sistÄmu virtuÄlajÄ maŔīnÄ, jo saÅÄmÄm visu nepiecieÅ”amo informÄciju.
Otrais izspiedÄjvÄ«russ izrÄdÄ«jÄs Phobos. Hakeris, kurÅ” to instalÄja, pavadÄ«ja stundu, pÄrlÅ«kojot Honeypot failu sistÄmu un skenÄjot tÄ«klu, un pÄc tam beidzot instalÄja izspiedÄjvÄ«rusu.
TreÅ”ais ransomware uzbrukums izrÄdÄ«jÄs viltots. NezinÄms āhakerisā lejupielÄdÄja failu haha.bat mÅ«su sistÄmÄ, pÄc tam kÄdu laiku skatÄ«jÄmies, kÄ viÅÅ” mÄÄ£inÄja to iedarbinÄt. Viens no mÄÄ£inÄjumiem bija pÄrdÄvÄt haha.bat par haha.rnsmwr.
āHakerisā palielina sikspÄrÅu faila kaitÄ«gumu, mainot tÄ paplaÅ”inÄjumu uz .rnsmwr. Avots: Trend Micro
Kad sÄrijveida fails beidzot sÄka darboties, "hakeris" to rediÄ£Äja, palielinot izpirkuma maksu no 200 USD lÄ«dz 750 USD. PÄc tam viÅÅ” "Å”ifrÄja" visus failus, atstÄja izspieÅ”anas ziÅojumu uz darbvirsmas un pazuda, mainot paroles mÅ«su VNC.
PÄc pÄris dienÄm hakeris atgriezÄs un, lai atgÄdinÄtu sev, palaida sÄrijveida failu, kas atvÄra daudzus logus ar porno vietni. AcÄ«mredzot tÄdÄ veidÄ viÅÅ” centÄs pievÄrst uzmanÄ«bu savai prasÄ«bai.
RezultÄti
PÄtÄ«juma laikÄ noskaidrojÄs, ka, tiklÄ«dz tika publicÄta informÄcija par ievainojamÄ«bu, Houspot piesaistÄ«ja uzmanÄ«bu, aktivitÄtei pieaugot ar katru dienu. Lai slazds pievÄrstu uzmanÄ«bu, mÅ«su fiktÄ«vajam uzÅÄmumam bija jÄpiedzÄ«vo vairÄki droŔības pÄrkÄpumi. DiemžÄl Ŕī situÄcija nebÅ«t nav nekas neparasts daudzu reÄlu uzÅÄmumu vidÅ«, kuriem nav pilnas slodzes IT un informÄcijas droŔības darbinieku.
KopumÄ organizÄcijÄm bÅ«tu jÄizmanto mazÄko privilÄÄ£iju princips, savukÄrt mÄs ieviesÄm tieÅ”i pretÄjo, lai piesaistÄ«tu uzbrucÄjus. Un jo ilgÄk mÄs skatÄ«jÄmies uzbrukumus, jo sarežģītÄki tie kļuva, salÄ«dzinot ar standarta iespieÅ”anÄs pÄrbaudes metodÄm.
Un pats galvenais, visi Å”ie uzbrukumi bÅ«tu bijuÅ”i neveiksmÄ«gi, ja tÄ«kla izveides laikÄ bÅ«tu ieviesti atbilstoÅ”i droŔības pasÄkumi. OrganizÄcijÄm ir jÄnodroÅ”ina, lai to aprÄ«kojums un rÅ«pnieciskÄs infrastruktÅ«ras komponenti nebÅ«tu pieejami no interneta, kÄ mÄs to darÄ«jÄm savÄ slazdÄ.
Lai gan mÄs neesam reÄ£istrÄjuÅ”i nevienu uzbrukumu inženiera darbstacijai, lai gan visos datoros tiek izmantota viena un tÄ pati vietÄjÄ administratora parole, no Å”Ädas prakses vajadzÄtu izvairÄ«ties, lai samazinÄtu ielauÅ”anÄs iespÄju. Galu galÄ vÄjÄ droŔība kalpo kÄ papildu aicinÄjums uzbrukt industriÄlajÄm sistÄmÄm, kas jau sen interesÄjuÅ”as kibernoziedzniekus.
Avots: www.habr.com