Syarikat antivirus, pakar keselamatan maklumat dan hanya peminat meletakkan sistem honeypot di Internet untuk "menangkap" varian baharu virus atau mengenal pasti taktik penggodam yang luar biasa. Honeypot adalah perkara biasa sehingga penjenayah siber telah membangunkan sejenis imuniti: mereka dengan cepat mengenal pasti bahawa mereka berada di hadapan perangkap dan hanya mengabaikannya. Untuk meneroka taktik penggodam moden, kami mencipta honeypot realistik yang hidup di Internet selama tujuh bulan, menarik pelbagai serangan. Kami bercakap tentang bagaimana ini berlaku dalam kajian kami "" Beberapa fakta daripada kajian ada dalam catatan ini.
Pembangunan honeypot: senarai semak
Tugas utama dalam mencipta perangkap super kami adalah untuk mengelakkan kami daripada didedahkan oleh penggodam yang menunjukkan minat terhadapnya. Ini memerlukan banyak kerja:
- Cipta legenda yang realistik tentang syarikat itu, termasuk nama penuh dan foto pekerja, nombor telefon dan e-mel.
- Untuk menghasilkan dan melaksanakan model infrastruktur perindustrian yang sepadan dengan legenda tentang aktiviti syarikat kami.
- Tentukan perkhidmatan rangkaian mana yang boleh diakses dari luar, tetapi jangan terbawa-bawa dengan membuka port yang terdedah supaya ia tidak kelihatan seperti perangkap untuk penyedut.
- Atur keterlihatan kebocoran maklumat tentang sistem yang terdedah dan sebarkan maklumat ini di kalangan penyerang yang berpotensi.
- Laksanakan pemantauan yang bijak terhadap aktiviti penggodam dalam infrastruktur honeypot.
Dan sekarang mengenai semuanya dengan teratur.
Mencipta lagenda
Penjenayah siber sudah biasa menghadapi banyak honeypot, jadi bahagian paling maju daripada mereka menjalankan penyiasatan mendalam ke atas setiap sistem yang terdedah untuk memastikan ia bukan perangkap. Atas sebab yang sama, kami berusaha untuk memastikan honeypot itu bukan sahaja realistik dari segi reka bentuk dan aspek teknikal, tetapi juga untuk mewujudkan penampilan syarikat sebenar.
Meletakkan diri kami dalam kedudukan penggodam keren hipotesis, kami membangunkan algoritma pengesahan yang akan membezakan sistem sebenar daripada perangkap. Ia termasuk mencari alamat IP syarikat dalam sistem reputasi, penyelidikan terbalik ke dalam sejarah alamat IP, mencari nama dan kata kunci yang berkaitan dengan syarikat, serta rakan niaganya, dan banyak perkara lain. Akibatnya, legenda itu ternyata cukup meyakinkan dan menarik.
Kami memutuskan untuk meletakkan kilang umpan sebagai butik prototaip industri kecil yang bekerja untuk pelanggan tanpa nama yang sangat besar dalam segmen ketenteraan dan penerbangan. Ini membebaskan kami daripada komplikasi undang-undang yang berkaitan dengan menggunakan jenama sedia ada.
Seterusnya kami perlu mengemukakan visi, misi dan nama untuk organisasi. Kami memutuskan bahawa syarikat kami akan menjadi permulaan dengan sebilangan kecil pekerja, yang masing-masing adalah pengasas. Ini menambah kredibiliti kepada kisah sifat khusus perniagaan kami, yang membolehkannya mengendalikan projek sensitif untuk pelanggan besar dan penting. Kami mahu syarikat kami kelihatan lemah dari perspektif keselamatan siber, tetapi pada masa yang sama adalah jelas bahawa kami bekerja dengan aset penting pada sistem sasaran.
Tangkapan skrin laman web MeTech honeypot. Sumber: Trend Micro
Kami memilih perkataan MeTech sebagai nama syarikat. Tapak ini dibuat berdasarkan templat percuma. Imej diambil dari bank foto, menggunakan yang paling tidak popular dan mengubah suainya untuk menjadikannya kurang dikenali.
Kami mahu syarikat itu kelihatan nyata, jadi kami perlu menambah pekerja dengan kemahiran profesional yang sepadan dengan profil aktiviti tersebut. Kami menghasilkan nama dan personaliti untuk mereka dan kemudian cuba memilih imej dari bank foto mengikut etnik.
Tangkapan skrin laman web MeTech honeypot. Sumber: Trend Micro
Untuk mengelak daripada ditemui, kami mencari foto kumpulan yang berkualiti baik dari mana kami boleh memilih wajah yang kami perlukan. Walau bagaimanapun, kami kemudiannya meninggalkan pilihan ini, memandangkan bakal penggodam boleh menggunakan carian imej terbalik dan mendapati bahawa "pekerja" kami hanya tinggal di bank foto. Akhirnya, kami menggunakan gambar orang yang tidak wujud yang dibuat menggunakan rangkaian saraf.
Profil pekerja yang diterbitkan di tapak mengandungi maklumat penting tentang kemahiran teknikal mereka, tetapi kami mengelak daripada mengenal pasti sekolah atau bandar tertentu.
Untuk membuat peti mel, kami menggunakan pelayan penyedia pengehosan, dan kemudian menyewa beberapa nombor telefon di Amerika Syarikat dan menggabungkannya menjadi PBX maya dengan menu suara dan mesin penjawab.
Infrastruktur honeypot
Untuk mengelakkan pendedahan, kami memutuskan untuk menggunakan gabungan perkakasan industri sebenar, komputer fizikal dan mesin maya selamat. Melihat ke hadapan, kami akan mengatakan bahawa kami menyemak hasil usaha kami menggunakan enjin carian Shodan, dan ia menunjukkan bahawa honeypot kelihatan seperti sistem perindustrian sebenar.
Hasil scan honeypot menggunakan Shodan. Sumber: Trend Micro
Kami menggunakan empat PLC sebagai perkakasan untuk perangkap kami:
- Siemens S7-1200,
- dua AllenBradley MicroLogix 1100,
- Omron CP1L.
PLC ini dipilih kerana popularitinya dalam pasaran sistem kawalan global. Dan setiap pengawal ini menggunakan protokolnya sendiri, yang membolehkan kami menyemak PLC mana yang akan diserang lebih kerap dan sama ada mereka akan menarik minat sesiapa pada dasarnya.
Peralatan "kilang" -perangkap kami. Sumber: Trend Micro
Kami bukan sahaja memasang perkakasan dan menyambungkannya ke Internet. Kami memprogramkan setiap pengawal untuk melaksanakan tugas, termasuk
- mencampurkan,
- kawalan pembakar dan tali pinggang penghantar,
- palletizing menggunakan manipulator robotik.
Dan untuk menjadikan proses pengeluaran realistik, kami memprogramkan logik untuk menukar parameter maklum balas secara rawak, mensimulasikan motor bermula dan berhenti, dan penunu menghidupkan dan mematikan.
Kilang kami mempunyai tiga komputer maya dan satu komputer fizikal. Komputer maya digunakan untuk mengawal loji, robot palletizer, dan sebagai stesen kerja untuk jurutera perisian PLC. Komputer fizikal berfungsi sebagai pelayan fail.
Selain memantau serangan ke atas PLC, kami ingin memantau status program yang dimuatkan pada peranti kami. Untuk melakukan ini, kami mencipta antara muka yang membolehkan kami menentukan dengan cepat cara keadaan penggerak dan pemasangan maya kami diubah suai. Sudah di peringkat perancangan, kami mendapati bahawa lebih mudah untuk melaksanakan ini menggunakan program kawalan daripada melalui pengaturcaraan langsung logik pengawal. Kami membuka akses kepada antara muka pengurusan peranti honeypot kami melalui VNC tanpa kata laluan.
Robot industri ialah komponen utama pembuatan pintar moden. Dalam hal ini, kami memutuskan untuk menambah robot dan tempat kerja automatik untuk mengawalnya pada peralatan kilang perangkap kami. Untuk menjadikan "kilang" lebih realistik, kami memasang perisian sebenar pada stesen kerja kawalan, yang digunakan oleh jurutera untuk memprogramkan logik robot secara grafik. Oleh kerana robot industri biasanya terletak dalam rangkaian dalaman terpencil, kami memutuskan untuk meninggalkan akses tanpa perlindungan melalui VNC hanya kepada stesen kerja kawalan.
Persekitaran RobotStudio dengan model 3D robot kami. Sumber: Trend Micro
Kami memasang persekitaran pengaturcaraan RobotStudio daripada ABB Robotics pada mesin maya dengan stesen kerja kawalan robot. Setelah mengkonfigurasi RobotStudio, kami membuka fail simulasi dengan robot kami di dalamnya supaya imej 3Dnya boleh dilihat pada skrin. Akibatnya, Shodan dan enjin carian lain, apabila mengesan pelayan VNC yang tidak selamat, akan merebut imej skrin ini dan menunjukkannya kepada mereka yang mencari robot industri dengan akses terbuka untuk mengawal.
Titik perhatian kepada perincian ini adalah untuk mencipta sasaran yang menarik dan realistik untuk penyerang yang, apabila mereka menemuinya, akan kembali kepadanya lagi dan lagi.
Stesen kerja jurutera
Untuk memprogramkan logik PLC, kami menambah komputer kejuruteraan pada infrastruktur. Perisian industri untuk pengaturcaraan PLC telah dipasang padanya:
- Portal TIA untuk Siemens,
- MicroLogix untuk pengawal Allen-Bradley,
- CX-One untuk Omron.
Kami memutuskan bahawa ruang kerja kejuruteraan tidak akan dapat diakses di luar rangkaian. Sebaliknya, kami menetapkan kata laluan yang sama untuk akaun pentadbir seperti pada stesen kerja kawalan robot dan stesen kerja kawalan kilang yang boleh diakses daripada Internet. Konfigurasi ini agak biasa di banyak syarikat.
Malangnya, di sebalik semua usaha kami, tidak seorang pun penyerang mencapai stesen kerja jurutera.
Pelayan fail
Kami memerlukannya sebagai umpan untuk penyerang dan sebagai cara untuk menyokong "kerja" kami sendiri di kilang umpan. Ini membolehkan kami berkongsi fail dengan honeypot kami menggunakan peranti USB tanpa meninggalkan kesan pada rangkaian honeypot. Kami memasang Windows 7 Pro sebagai OS untuk pelayan fail, di mana kami mencipta folder kongsi yang boleh dibaca dan ditulis oleh sesiapa sahaja.
Pada mulanya kami tidak mencipta sebarang hierarki folder dan dokumen pada pelayan fail. Walau bagaimanapun, kami kemudian mendapati bahawa penyerang sedang giat mengkaji folder ini, jadi kami memutuskan untuk mengisinya dengan pelbagai fail. Untuk melakukan ini, kami menulis skrip python yang mencipta fail bersaiz rawak dengan salah satu sambungan yang diberikan, membentuk nama berdasarkan kamus.
Skrip untuk menjana nama fail yang menarik. Sumber: Trend Micro
Selepas menjalankan skrip, kami mendapat hasil yang diinginkan dalam bentuk folder yang dipenuhi dengan fail dengan nama yang sangat menarik.
Hasil skrip. Sumber: Trend Micro
Persekitaran pemantauan
Setelah menghabiskan begitu banyak usaha untuk mencipta syarikat yang realistik, kami tidak mampu untuk gagal dalam persekitaran untuk memantau "pelawat" kami. Kami perlu mendapatkan semua data dalam masa nyata tanpa penyerang menyedari mereka sedang diperhatikan.
Kami melaksanakan ini menggunakan empat penyesuai USB ke Ethernet, empat paip SharkTap Ethernet, Raspberry Pi 3 dan pemacu luaran yang besar. Gambar rajah rangkaian kami kelihatan seperti ini:
Gambar rajah rangkaian Honeypot dengan peralatan pemantauan. Sumber: Trend Micro
Kami meletakkan tiga paip SharkTap untuk memantau semua trafik luaran ke PLC, hanya boleh diakses dari rangkaian dalaman. SharkTap keempat memantau trafik tetamu mesin maya yang terdedah.
SharkTap Ethernet Tap dan Penghala Sierra Wireless AirLink RV50. Sumber: Trend Micro
Raspberry Pi melakukan tangkapan trafik harian. Kami menyambung ke Internet menggunakan penghala selular Sierra Wireless AirLink RV50, yang sering digunakan dalam perusahaan perindustrian.
Malangnya, penghala ini tidak membenarkan kami menyekat secara selektif serangan yang tidak sepadan dengan rancangan kami, jadi kami menambahkan tembok api Cisco ASA 5505 pada rangkaian dalam mod telus untuk melakukan penyekatan dengan kesan minimum pada rangkaian.
Analisis trafik
Tshark dan tcpdump sesuai untuk menyelesaikan isu semasa dengan cepat, tetapi dalam kes kami, keupayaan mereka tidak mencukupi, kerana kami mempunyai banyak gigabait trafik, yang dianalisis oleh beberapa orang. Kami menggunakan penganalisis Moloch sumber terbuka yang dibangunkan oleh AOL. Fungsinya setanding dengan Wireshark, tetapi mempunyai lebih banyak keupayaan untuk kerjasama, menerangkan dan menandai pakej, mengeksport dan tugas lain.
Memandangkan kami tidak mahu memproses data yang dikumpul pada komputer honeypot, pembuangan PCAP telah dieksport setiap hari ke storan AWS, dari mana kami telah mengimportnya ke mesin Moloch.
Rakaman skrin
Untuk mendokumentasikan tindakan penggodam dalam honeypot kami, kami menulis skrip yang mengambil tangkapan skrin mesin maya pada selang waktu tertentu dan, membandingkannya dengan tangkapan skrin sebelumnya, menentukan sama ada sesuatu berlaku di sana atau tidak. Apabila aktiviti dikesan, skrip termasuk rakaman skrin. Pendekatan ini ternyata paling berkesan. Kami juga cuba menganalisis trafik VNC daripada tempat pembuangan PCAP untuk memahami perubahan yang telah berlaku dalam sistem, tetapi akhirnya rakaman skrin yang kami laksanakan ternyata lebih mudah dan lebih visual.
Memantau sesi VNC
Untuk ini kami menggunakan Chaosreader dan VNCLogger. Kedua-dua utiliti mengekstrak ketukan kekunci daripada tempat pembuangan PCAP, tetapi VNCLogger mengendalikan kekunci seperti Backspace, Enter, Ctrl dengan lebih betul.
VNCLogger mempunyai dua kelemahan. Pertama: ia hanya boleh mengekstrak kunci dengan "mendengar" trafik pada antara muka, jadi kami terpaksa mensimulasikan sesi VNC untuknya menggunakan tcpreplay. Kelemahan kedua VNCLogger adalah biasa dengan Chaosreader: kedua-duanya tidak menunjukkan kandungan papan keratan. Untuk melakukan ini saya terpaksa menggunakan Wireshark.
Kami memikat penggodam
Kami mencipta honeypot untuk diserang. Untuk mencapai matlamat ini, kami mengadakan kebocoran maklumat untuk menarik perhatian bakal penyerang. Pelabuhan berikut dibuka pada honeypot:
Port RDP terpaksa ditutup sejurus selepas kami menyiarkan secara langsung kerana jumlah trafik pengimbasan yang besar pada rangkaian kami menyebabkan masalah prestasi.
Terminal VNC mula-mula berfungsi dalam mod lihat sahaja tanpa kata laluan, dan kemudian kami "secara silap" menukarnya kepada mod akses penuh.
Untuk menarik penyerang, kami menyiarkan dua siaran dengan maklumat bocor tentang sistem perindustrian yang tersedia di PasteBin.
Salah satu siaran yang disiarkan di PasteBin untuk menarik serangan. Sumber: Trend Micro
Serangan
Honeypot hidup dalam talian selama kira-kira tujuh bulan. Serangan pertama berlaku sebulan selepas honeypot masuk dalam talian.
Pengimbas
Terdapat banyak trafik dari pengimbas syarikat terkenal - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye dan lain-lain. Terdapat begitu banyak daripada mereka sehingga kami terpaksa mengecualikan alamat IP mereka daripada analisis: 610 daripada 9452 atau 6,45% daripada semua alamat IP unik adalah milik pengimbas yang sah sepenuhnya.
Penipu
Salah satu risiko terbesar yang kami hadapi ialah penggunaan sistem kami untuk tujuan jenayah: untuk membeli telefon pintar melalui akaun pelanggan, tunaikan perbatuan penerbangan menggunakan kad hadiah dan jenis penipuan lain.
pelombong
Salah seorang pelawat pertama ke sistem kami ternyata seorang pelombong. Dia memuat turun perisian perlombongan Monero ke atasnya. Dia tidak akan dapat membuat banyak wang pada sistem tertentu kami kerana produktiviti yang rendah. Walau bagaimanapun, jika kita menggabungkan usaha beberapa dozen atau bahkan ratusan sistem sedemikian, ia boleh menjadi agak baik.
Ransomware
Semasa kerja honeypot, kami menemui virus perisian tebusan sebenar dua kali. Dalam kes pertama ia adalah Crysis. Pengendalinya melog masuk ke sistem melalui VNC, tetapi kemudian memasang TeamViewer dan menggunakannya untuk melakukan tindakan selanjutnya. Selepas menunggu mesej peras ugut menuntut wang tebusan sebanyak $10 dalam BTC, kami mengadakan surat-menyurat dengan penjenayah, meminta mereka menyahsulit salah satu fail untuk kami. Mereka mematuhi permintaan itu dan mengulangi tuntutan wang tebusan. Kami berjaya berunding sehingga 6 ribu dolar, selepas itu kami hanya memuat naik semula sistem ke mesin maya, kerana kami menerima semua maklumat yang diperlukan.
Perisian tebusan kedua ternyata adalah Phobos. Penggodam yang memasangnya menghabiskan satu jam menyemak imbas sistem fail honeypot dan mengimbas rangkaian, dan kemudian akhirnya memasang perisian tebusan.
Serangan ransomware ketiga ternyata palsu. Seorang "penggodam" yang tidak dikenali telah memuat turun fail haha.bat ke sistem kami, selepas itu kami memerhatikan seketika ketika dia cuba membuatnya berfungsi. Salah satu percubaan adalah untuk menukar nama haha.bat kepada haha.rnsmwr.
"Penggodam" meningkatkan kemudaratan fail kelawar dengan menukar sambungannya kepada .rnsmwr. Sumber: Trend Micro
Apabila fail kelompok akhirnya mula dijalankan, "penggodam" menyuntingnya, meningkatkan wang tebusan daripada $200 kepada $750. Selepas itu, dia "menyulitkan" semua fail, meninggalkan mesej peras ugut pada desktop dan hilang, menukar kata laluan pada VNC kami.
Beberapa hari kemudian, penggodam itu kembali dan, untuk mengingatkan dirinya sendiri, melancarkan fail kelompok yang membuka banyak tingkap dengan tapak lucah. Nampaknya, dengan cara ini dia cuba menarik perhatian kepada permintaannya.
Keputusan
Semasa kajian, ternyata sebaik sahaja maklumat tentang kelemahan itu diterbitkan, honeypot menarik perhatian, dengan aktiviti berkembang dari hari ke hari. Agar perangkap itu mendapat perhatian, syarikat rekaan kami terpaksa mengalami beberapa pelanggaran keselamatan. Malangnya, keadaan ini jauh dari luar biasa di kalangan banyak syarikat sebenar yang tidak mempunyai pekerja IT dan keselamatan maklumat sepenuh masa.
Secara umum, organisasi harus menggunakan prinsip keistimewaan paling rendah, sementara kami melaksanakan yang bertentangan dengan prinsip itu untuk menarik penyerang. Dan semakin lama kami menonton serangan itu, semakin canggih serangan itu berbanding kaedah ujian penembusan standard.
Dan yang paling penting, semua serangan ini akan gagal jika langkah keselamatan yang mencukupi telah dilaksanakan semasa menyediakan rangkaian. Organisasi mesti memastikan bahawa peralatan dan komponen infrastruktur industri mereka tidak boleh diakses daripada Internet, seperti yang kami lakukan secara khusus dalam perangkap kami.
Walaupun kami tidak merekodkan satu serangan pun pada stesen kerja jurutera, walaupun menggunakan kata laluan pentadbir tempatan yang sama pada semua komputer, amalan ini harus dielakkan untuk meminimumkan kemungkinan pencerobohan. Lagipun, keselamatan yang lemah berfungsi sebagai jemputan tambahan untuk menyerang sistem perindustrian, yang telah lama menarik minat penjenayah siber.
Sumber: www.habr.com