Unspeakably attraenti: kif ħloqna honeypot li ma jistax jiġi espost

Kumpaniji tal-antivirus, esperti tas-sigurtà tal-informazzjoni u sempliċiment dilettanti jpoġġu sistemi ta 'honeypot fuq l-Internet sabiex "jaqbdu" varjant ġdid tal-virus jew jidentifikaw tattiċi ta' hacker mhux tas-soltu. L-honeypots huma tant komuni li ċ-ċiberkriminali żviluppaw tip ta’ immunità: malajr jidentifikaw li qegħdin quddiem nassa u sempliċement jinjorawha. Biex tesplora t-tattiċi tal-hackers moderni, ħloqna honeypot realistiku li għex fuq l-Internet għal seba 'xhur, u attira varjetà ta' attakki. Tkellimna dwar kif dan ġara fl-istudju tagħna "Maqbuda fl-Att: Tmexxija ta 'Honeypot ta' Fabbrika Realistika biex Taqbad Theddid Reali" Xi fatti mill-istudju jinsabu f'din il-kariga.

Żvilupp ta' Honeypot: lista ta' kontroll

Il-kompitu ewlieni fil-ħolqien tas-supertrap tagħna kien li jipprevjeni milli nkunu esposti minn hackers li wrew interess fiha. Dan kien jeħtieġ ħafna xogħol:

1. Oħloq leġġenda realistika dwar il-kumpanija, inklużi ismijiet sħaħ u ritratti tal-impjegati, numri tat-telefon u emails.
2. Biex toħroġ u timplimenta mudell ta 'infrastruttura industrijali li tikkorrispondi mal-leġġenda dwar l-attivitajiet tal-kumpanija tagħna.
3. Iddeċiedi liema servizzi tan-netwerk se jkunu aċċessibbli minn barra, imma titlaqx bil-ftuħ ta 'portijiet vulnerabbli sabiex ma tidhirx qisha nassa għal min jiġbdu.
4. Organizza l-viżibilità ta' tnixxijiet ta' informazzjoni dwar sistema vulnerabbli u tqassam din l-informazzjoni fost attakkanti potenzjali.
5. Implimenta monitoraġġ diskret tal-attivitajiet tal-hackers fl-infrastruttura tal-honeypot.

U issa dwar kollox fl-ordni.

Ħolqien ta 'leġġenda

Iċ-ċiberkriminali diġà mdorrijin jiltaqgħu ma' ħafna honeypots, għalhekk l-aktar parti avvanzata minnhom twettaq investigazzjoni fil-fond ta' kull sistema vulnerabbli biex tiżgura li mhix nassa. Għall-istess raġuni, fittxejna li niżguraw li l-honeypot ma kienx biss realistiku f'termini ta 'disinn u aspetti tekniċi, iżda wkoll biex toħloq id-dehra ta' kumpanija reali.

Meta npoġġu lilna nfusna fiż-żraben ta 'hacker cool ipotetiku, żviluppajna algoritmu ta' verifika li jiddistingwi sistema reali minn nassa. Kienet tinkludi t-tiftix għal indirizzi IP tal-kumpanija f'sistemi ta' reputazzjoni, riċerka inversa fl-istorja tal-indirizzi IP, tfittxija għal ismijiet u kliem prinċipali relatati mal-kumpanija, kif ukoll il-kontropartijiet tagħha, u ħafna affarijiet oħra. Bħala riżultat, il-leġġenda rriżulta li kienet pjuttost konvinċenti u attraenti.

Aħna ddeċidejna li nippożizzjonaw il-fabbrika decoy bħala boutique żgħira ta' prototipi industrijali li taħdem għal klijenti anonimi kbar ħafna fis-segment militari u tal-avjazzjoni. Dan ħelisna mill-kumplikazzjonijiet legali assoċjati mal-użu ta 'marka eżistenti.

Sussegwentement kellna noħorġu b'viżjoni, missjoni u isem għall-organizzazzjoni. Iddeċidejna li l-kumpanija tagħna tkun startup b'numru żgħir ta 'impjegati, li kull wieħed minnhom huwa fundatur. Din żiedet il-kredibilità għall-istorja tan-natura speċjalizzata tan-negozju tagħna, li tippermettilha tieħu ħsieb proġetti sensittivi għal klijenti kbar u importanti. Ridna li l-kumpanija tagħna tidher dgħajfa mill-perspettiva taċ-ċibersigurtà, iżda fl-istess ħin kienet ovvja li konna qed naħdmu b'assi importanti fuq sistemi fil-mira.

Screenshot tal-websajt tal-Honeypot MeTech. Sors: Trend Micro

Aħna għażilna l-kelma MeTech bħala l-isem tal-kumpanija. Is-sit sar ibbażat fuq mudell b'xejn. L-immaġini ttieħdu minn banek tar-ritratti, bl-użu ta 'dawk l-aktar popolari u mmodifikati biex jagħmluhom inqas rikonoxxibbli.

Ridna li l-kumpanija tidher reali, għalhekk kellna nżidu impjegati b'ħiliet professjonali li jaqblu mal-profil tal-attività. Ħriġna ismijiet u personalitajiet għalihom u mbagħad ippruvajna nagħżlu immaġini minn banek tar-ritratti skont l-etniċità.

Screenshot tal-websajt tal-Honeypot MeTech. Sors: Trend Micro

Biex nevitaw li niskopru, fittixna ritratti tal-grupp ta’ kwalità tajba li minnhom stajna nagħżlu l-uċuħ li kellna bżonn. Madankollu, imbagħad abbandunajna din l-għażla, peress li hacker potenzjali jista 'juża tfittxija b'lura ta' immaġni u jiskopri li "l-impjegati" tagħna jgħixu biss f'banek tar-ritratti. Fl-aħħar, użajna ritratti ta 'nies ineżistenti maħluqa bl-użu ta' netwerks newrali.

Il-profili tal-impjegati ppubblikati fuq is-sit kien fihom informazzjoni importanti dwar il-ħiliet tekniċi tagħhom, iżda evitajna li nidentifikaw skejjel jew bliet speċifiċi.
Biex noħolqu kaxxi tal-posta, użajna server tal-fornitur tal-hosting, u mbagħad kellna diversi numri tat-telefon fl-Istati Uniti u għaqqadhom f'PBX virtwali b'menu tal-vuċi u answering machine.

Infrastruttura Honeypot

Biex nevitaw l-espożizzjoni, iddeċidejna li nużaw taħlita ta 'ħardwer industrijali reali, kompjuters fiżiċi u magni virtwali sikuri. Meta nħarsu 'l quddiem, se ngħidu li ċċekkajna r-riżultat tal-isforzi tagħna bl-użu tal-magna tat-tiftix Shodan, u wera li l-honeypot tidher qisha sistema industrijali reali.

Ir-riżultat tal-iskannjar ta 'honeypot bl-użu ta' Shodan. Sors: Trend Micro

Aħna użajna erba' PLCs bħala ħardwer għan-nassa tagħna:

• Siemens S7-1200,
• żewġ AllenBradley MicroLogix 1100,
• Omron CP1L.

Dawn il-PLCs intgħażlu għall-popolarità tagħhom fis-suq globali tas-sistema ta 'kontroll. U kull wieħed minn dawn il-kontrolluri juża l-protokoll tiegħu stess, li ppermettilna niċċekkjaw liema mill-PLCs jiġu attakkati aktar spiss u jekk jinteressawx lil xi ħadd fil-prinċipju.

Tagħmir tan-nassa "fabbrika" tagħna. Sors: Trend Micro

Aħna mhux biss installa hardware u qabbadha mal-Internet. Aħna pprogrammajna kull kontrollur biex iwettaq kompiti, inkluż

• it-taħlit,
• kontroll tal-berner u tal-conveyor belt,
• palettizzar bl-użu ta' manipulatur robotiku.

U biex nagħmlu l-proċess ta 'produzzjoni realistiku, ipprogrammajna loġika biex b'mod każwali tbiddel il-parametri tar-rispons, tissimula l-bidu u l-waqfien tal-muturi, u l-berners li jinxtegħlu u jintfew.

Il-fabbrika tagħna kellha tliet kompjuters virtwali u wieħed fiżiku. Kompjuters virtwali ntużaw biex jikkontrollaw impjant, robot palletizer, u bħala stazzjon tax-xogħol għal inġinier tas-softwer PLC. Il-kompjuter fiżiku ħadem bħala file server.

Minbarra l-monitoraġġ tal-attakki fuq PLCs, ridna nissorveljaw l-istatus tal-programmi mgħobbija fuq it-tagħmir tagħna. Biex nagħmlu dan, ħloqna interface li ppermettietna niddeterminaw malajr kif ġew modifikati l-istati tal-attwaturi u l-installazzjonijiet virtwali tagħna. Diġà fl-istadju tal-ippjanar, skoprejna li huwa ħafna aktar faċli li timplimenta dan permezz ta 'programm ta' kontroll milli permezz ta 'programmazzjoni diretta tal-loġika tal-kontrollur. Ftaħna aċċess għall-interface tal-ġestjoni tal-apparat tal-honeypot tagħna permezz ta 'VNC mingħajr password.

Ir-robots industrijali huma komponent ewlieni tal-manifattura intelliġenti moderna. F'dan ir-rigward, iddeċidejna li nżidu robot u post tax-xogħol awtomatizzat biex nikkontrollawh mat-tagħmir tal-fabbrika tan-nassa tagħna. Biex tagħmel il-"fabbrika" aktar realistiku, installajna softwer reali fuq il-post tax-xogħol tal-kontroll, li l-inġiniera jużaw biex jipprogrammaw grafikament il-loġika tar-robot. Ukoll, peress li r-robots industrijali normalment jinsabu f'netwerk intern iżolat, iddeċidejna li nħallu aċċess mhux protett permezz ta 'VNC biss għall-istazzjon tax-xogħol ta' kontroll.

Ambjent RobotStudio b'mudell 3D tar-robot tagħna. Sors: Trend Micro

Installajna l-ambjent ta 'programmar RobotStudio minn ABB Robotics fuq magna virtwali b'workstation ta' kontroll tar-robot. Wara li kkonfigurajna RobotStudio, ftaħna fajl ta 'simulazzjoni bir-robot tagħna fih sabiex l-immaġni 3D tagħha tkun viżibbli fuq l-iskrin. Bħala riżultat, Shodan u magni tat-tiftix oħra, malli jiskopru server VNC mhux assigurat, se jaqbdu din l-immaġni tal-iskrin u juruha lil dawk li qed ifittxu robots industrijali b'aċċess miftuħ għall-kontroll.

Il-punt ta’ din l-attenzjoni għad-dettall kien li tinħoloq mira attraenti u realistika għall-attakkanti li, ladarba jsibuha, jerġgħu lura għaliha għal darb’oħra.

Post tax-xogħol ta' inġinier

Biex nipprogrammaw il-loġika tal-PLC, żidna kompjuter tal-inġinerija mal-infrastruttura. Software industrijali għall-ipprogrammar PLC ġie installat fuqu:

• TIA Portal għal Siemens,
• MicroLogix għall-kontrollur Allen-Bradley,
• CX-One għal Omron.

Iddeċidejna li l-ispazju tax-xogħol tal-inġinerija ma jkunx aċċessibbli barra n-netwerk. Minflok, aħna waqqafna l-istess password għall-kont tal-amministratur bħal fuq il-workstation tal-kontroll tar-robot u l-workstation tal-kontroll tal-fabbrika aċċessibbli mill-Internet. Din il-konfigurazzjoni hija pjuttost komuni f'ħafna kumpaniji.
Sfortunatament, minkejja l-isforzi kollha tagħna, ebda attakkant wieħed ma laħaq il-post tax-xogħol tal-inġinier.

File server

Kellna bżonnha bħala lixka għall-attakkanti u bħala mezz biex insostnu "xogħol" tagħna stess fil-fabbrika ta 'decoy. Dan ippermetta li naqsmu fajls ma 'l-honeypot tagħna bl-użu ta' apparati USB mingħajr ma nħallu traċċa fuq in-netwerk ta 'honeypot. Installajna Windows 7 Pro bħala l-OS għas-server tal-fajls, li fih ħloqna folder kondiviż li jista 'jinqara u jinkiteb minn kulħadd.

Għall-ewwel ma ħloqna ebda ġerarkija ta' folders u dokumenti fuq is-server tal-fajls. Madankollu, aktar tard skoprejna li l-attakkanti kienu qed jistudjaw b'mod attiv dan il-folder, għalhekk iddeċidejna li nimlewh b'diversi fajls. Biex nagħmlu dan, ktibna script python li ħoloq fajl ta 'daqs każwali b'waħda mill-estensjonijiet mogħtija, li jiffurmaw isem ibbażat fuq id-dizzjunarju.

Skript għall-ġenerazzjoni ta' ismijiet ta' fajls attraenti. Sors: Trend Micro

Wara li tmexxi l-iskrittura, sirna r-riżultat mixtieq fil-forma ta 'folder mimli b'fajls b'ismijiet interessanti ħafna.

Ir-riżultat tal-iskript. Sors: Trend Micro

Monitoraġġ ambjent

Wara li qattajna tant sforz noħolqu kumpanija realistika, sempliċement ma stajniex naffordjaw li jonqsu fuq l-ambjent għall-monitoraġġ tal-"viżitaturi" tagħna. Kellna nġibu d-dejta kollha f'ħin reali mingħajr ma l-attakkanti jirrealizzaw li kienu qed jaraw.

Implimentajna dan bl-użu ta 'erba' adapters USB għal Ethernet, erba 'viti SharkTap Ethernet, Raspberry Pi 3, u drive estern kbir. Id-dijagramma tan-netwerk tagħna kienet tidher bħal din:

Dijagramma tan-netwerk Honeypot b'tagħmir ta 'monitoraġġ. Sors: Trend Micro

Pożizzjonajna tliet viti SharkTap sabiex jimmonitorjaw it-traffiku estern kollu lejn il-PLC, aċċessibbli biss min-netwerk intern. Ir-raba 'SharkTap immonitorja t-traffiku tal-mistednin ta' magna virtwali vulnerabbli.

SharkTap Ethernet Tap u Sierra Wireless AirLink RV50 Router. Sors: Trend Micro

Raspberry Pi wettaq qbid tat-traffiku ta 'kuljum. Aħna konnessi mal-Internet bl-użu ta 'router ċellulari Sierra Wireless AirLink RV50, spiss użat f'intrapriżi industrijali.

Sfortunatament, dan ir-router ma ħalliniex nibblukkaw b'mod selettiv attakki li ma kinux jaqblu mal-pjanijiet tagħna, għalhekk żidna firewall Cisco ASA 5505 man-netwerk f'modalità trasparenti biex inwettaq imblukkar b'impatt minimu fuq in-netwerk.

Analiżi tat-traffiku

Tshark u tcpdump huma xierqa biex isolvu malajr kwistjonijiet kurrenti, iżda fil-każ tagħna l-kapaċitajiet tagħhom ma kinux biżżejjed, peress li kellna ħafna gigabytes ta 'traffiku, li ġew analizzati minn diversi nies. Aħna użajna l-analizzatur Moloch open-source żviluppat minn AOL. Hija komparabbli fil-funzjonalità ma 'Wireshark, iżda għandha aktar kapaċitajiet għall-kollaborazzjoni, tiddeskrivi u ttikkettar pakketti, esportazzjoni u kompiti oħra.

Peress li ma ridniex nipproċessaw id-dejta miġbura fuq kompjuters honeypot, id-dumps tal-PCAP ġew esportati kuljum lejn il-ħażna tal-AWS, minn fejn diġà importajnahom fuq il-magna Moloch.

Reġistrazzjoni tal-iskrin

Biex niddokumentaw l-azzjonijiet tal-hackers fl-honeypot tagħna, ktibna skript li ħa screenshots tal-magna virtwali f'intervall partikolari u, meta qabbilha mal-screenshot ta 'qabel, iddetermina jekk xi ħaġa kinitx qed jiġri hemmhekk jew le. Meta nstabet attività, l-iskrittura inkludiet reġistrazzjoni tal-iskrin. Dan l-approċċ irriżulta li kien l-aktar effettiv. Ippruvajna wkoll nanalizzaw it-traffiku VNC minn dump tal-PCAP biex nifhmu x'bidliet kienu seħħew fis-sistema, iżda fl-aħħar ir-reġistrazzjoni tal-iskrin li implimentajna rriżulta li kien aktar sempliċi u aktar viżwali.

Monitoraġġ tas-sessjonijiet VNC

Għal dan użajna Chaosreader u VNCLogger. Iż-żewġ utilitajiet estratt keystrokes minn PCAP dump, iżda VNCLogger jimmaniġġja ċwievet bħal Backspace, Enter, Ctrl b'mod aktar korrett.

VNCLogger għandu żewġ żvantaġġi. L-ewwel: jista 'biss estratt ċwievet billi "jisimgħu" it-traffiku fuq l-interface, għalhekk kellna nissimulaw sessjoni VNC għaliha billi tuża tcpreplay. It-tieni żvantaġġ ta 'VNCLogger huwa komuni ma' Chaosreader: it-tnejn ma jurux il-kontenut tal-clipboard. Biex nagħmel dan kelli nuża Wireshark.

Aħna jattiraw hackers

Ħloqna honeypot biex niġu attakkati. Biex niksbu dan, għamilna tnixxija ta 'informazzjoni biex niġbdu l-attenzjoni ta' attakkanti potenzjali. Il-portijiet li ġejjin infetħu fuq honeypot:

Il-port RDP kellu jingħalaq ftit wara li konna nħaddmu minħabba li l-ammont kbir ta 'traffiku tal-iskannjar fuq in-netwerk tagħna kien qed jikkawża problemi ta' prestazzjoni.
It-terminals VNC l-ewwel ħadmu fil-modalità view-only mingħajr password, u mbagħad aħna "bi żball" qlibhom għall-mod ta 'aċċess sħiħ.

Biex nattiraw attakkanti, poġġiejna żewġ postijiet b'informazzjoni nixxew dwar is-sistema industrijali disponibbli fuq PasteBin.

Waħda mill-postijiet imqiegħda fuq PasteBin biex tattira attakki. Sors: Trend Micro

Attakki

Honeypot għex online għal madwar seba 'xhur. L-ewwel attakk seħħ xahar wara li honeypot kompla online.

Skaners

Kien hemm ħafna traffiku minn skaners ta’ kumpaniji magħrufa – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye u oħrajn. Kienu tant minnhom li kellna neskludu l-indirizzi IP tagħhom mill-analiżi: 610 minn 9452 jew 6,45% tal-indirizzi IP uniċi kollha kienu jappartjenu għal skaners kompletament leġittimi.

Scammers

Wieħed mill-akbar riskji li ffaċċjajna huwa l-użu tas-sistema tagħna għal skopijiet kriminali: biex tixtri smartphones permezz ta' kont ta' abbonat, tissarraf il-mili tal-ajru bl-użu ta' karti ta' rigal u tipi oħra ta' frodi.

Minaturi

Wieħed mill-ewwel viżitaturi tas-sistema tagħna rriżulta li kien minatur. Huwa niżżel is-softwer tal-minjieri Monero fuqu. Ma kienx ikun kapaċi jagħmel ħafna flus fuq is-sistema partikolari tagħna minħabba produttività baxxa. Madankollu, jekk ngħaqqdu l-isforzi ta 'diversi għexieren jew saħansitra mijiet ta' sistemi bħal dawn, jista 'jirriżulta pjuttost tajjeb.

Ransomware

Matul ix-xogħol ta 'honeypot, iltqajna ma' viruses ransomware reali darbtejn. Fl-ewwel każ kien Crysis. L-operaturi tagħha illoggjaw fis-sistema permezz tal-VNC, iżda mbagħad installaw TeamViewer u użawh biex iwettqu aktar azzjonijiet. Wara stennija għal messaġġ ta 'estorsjoni li jitlob fidwa ta' $ 10 f'BTC, dħalna f'korrispondenza mal-kriminali, u tlabna biex jiddekriptaw wieħed mill-fajls għalina. Huma kkonformaw mat-talba u tennew it-talba għall-fidwa. Irnexxielna ninnegozjaw sa 6 elf dollaru, u wara sempliċiment reġgħu tellajna s-sistema fuq magna virtwali, peress li rċevejna l-informazzjoni kollha meħtieġa.

It-tieni ransomware irriżulta li kien Phobos. Il-hacker li installah qatta' siegħa jibbrawżja s-sistema tal-fajls tal-honeypot u jiskennja n-netwerk, u mbagħad finalment installat ir-ransomware.
It-tielet attakk ransomware irriżulta li kien falz. "Hacker" mhux magħruf niżżel il-fajl haha.bat fuq is-sistema tagħna, u wara rajna għal ftit waqt li pprova jġibu jaħdem. Wieħed mit-tentattivi kien li jibdel l-isem ta’ haha.bat għal haha.rnsmwr.

Il-"hacker" iżid il-ħsara tal-fajl BAT billi jibdel l-estensjoni tiegħu għal .rnsmwr. Sors: Trend Micro

Meta l-fajl tal-lott fl-aħħar beda jaħdem, il-"hacker" editjah, u żied il-fidwa minn $200 għal $750. Wara dan, huwa "kodifikat" il-fajls kollha, ħalla messaġġ ta 'estorsjoni fuq id-desktop u sparixxa, u biddel il-passwords fuq il-VNC tagħna.

Ftit jiem wara, il-hacker reġa’ lura u, biex ifakkar lilu nnifsu, nieda fajl tal-lott li fetaħ ħafna twieqi b’sit pornografiku. Milli jidher, b'dan il-mod ipprova jiġbed l-attenzjoni għat-talba tiegħu.

Riżultati ta '

Waqt l-istudju, irriżulta li hekk kif ġiet ippubblikata informazzjoni dwar il-vulnerabbiltà, honeypot ġibed l-attenzjoni, bl-attività tikber jum b’jum. Sabiex in-nassa tikseb l-attenzjoni, il-kumpanija fittizja tagħna kellha tbati diversi ksur tas-sigurtà. Sfortunatament, din is-sitwazzjoni hija 'l bogħod milli mhux komuni fost ħafna kumpaniji reali li m'għandhomx impjegati full-time tal-IT u s-sigurtà tal-informazzjoni.

B'mod ġenerali, l-organizzazzjonijiet għandhom jużaw il-prinċipju tal-inqas privileġġ, filwaqt li aħna implimentajna eżattament l-oppost tiegħu biex jattiraw attakkanti. U aktar ma rajna l-attakki, aktar saru sofistikati meta mqabbla ma 'metodi standard ta' ttestjar tal-penetrazzjoni.

U l-aktar importanti, dawn l-attakki kollha kienu fallew kieku ġew implimentati miżuri ta 'sigurtà adegwati meta twaqqaf in-netwerk. L-organizzazzjonijiet għandhom jiżguraw li t-tagħmir u l-komponenti tal-infrastruttura industrijali tagħhom ma jkunux aċċessibbli mill-Internet, kif għamilna speċifikament fin-nassa tagħna.

Għalkemm ma rreġistrajnax attakk wieħed fuq workstation ta’ inġinier, minkejja li nużaw l-istess password ta’ amministratur lokali fuq il-kompjuters kollha, din il-prattika għandha tiġi evitata sabiex tiġi minimizzata l-possibbiltà ta’ intrużjonijiet. Wara kollox, sigurtà dgħajfa sservi bħala stedina addizzjonali biex jiġu attakkati sistemi industrijali, li ilhom għal żmien twil ta 'interess għaċ-ċiberkriminali.

Sors: www.habr.com