Antivirusbedrijven, informatiebeveiligingsexperts en gewoon enthousiastelingen zetten honeypot-systemen op internet om een nieuwe variant van het virus te ‘vangen’ of ongebruikelijke hackertactieken te identificeren. Honeypots zijn zo gebruikelijk dat cybercriminelen een soort immuniteit hebben ontwikkeld: ze merken snel dat ze voor een valstrik staan en negeren deze eenvoudigweg. Om de tactieken van moderne hackers te onderzoeken, hebben we een realistische honeypot gemaakt die zeven maanden op internet heeft gestaan en allerlei aanvallen heeft uitgelokt. Hoe dit gebeurde hebben we besproken in ons onderzoek."" Enkele feiten uit het onderzoek staan in dit bericht.
Honeypot-ontwikkeling: checklist
De belangrijkste taak bij het creëren van onze supertrap was voorkomen dat we werden blootgesteld aan hackers die er interesse in toonden. Dit vergde veel werk:
- Creëer een realistische legende over het bedrijf, inclusief volledige namen en foto's van werknemers, telefoonnummers en e-mailadressen.
- Een model van industriële infrastructuur bedenken en implementeren dat overeenkomt met de legende over de activiteiten van ons bedrijf.
- Bepaal welke netwerkdiensten van buitenaf toegankelijk zijn, maar laat u niet meeslepen door het openen van kwetsbare poorten, zodat het niet op een valstrik voor sukkels lijkt.
- Organiseer de zichtbaarheid van informatielekken over een kwetsbaar systeem en verspreid deze informatie onder potentiële aanvallers.
- Implementeer discrete monitoring van hackeractiviteiten in de honeypot-infrastructuur.
En nu ongeveer alles in orde.
Een legende maken
Cybercriminelen zijn al gewend veel honeypots tegen te komen, dus het meest geavanceerde deel van hen voert een diepgaand onderzoek uit naar elk kwetsbaar systeem om er zeker van te zijn dat het geen valstrik is. Om dezelfde reden probeerden we ervoor te zorgen dat de honeypot niet alleen realistisch was qua ontwerp en technische aspecten, maar ook om de uitstraling van een echt bedrijf te creëren.
We plaatsten onszelf in de schoenen van een hypothetische coole hacker en ontwikkelden een verificatiealgoritme dat een echt systeem van een valstrik zou onderscheiden. Het omvatte het zoeken naar IP-adressen van bedrijven in reputatiesystemen, omgekeerd onderzoek naar de geschiedenis van IP-adressen, het zoeken naar namen en trefwoorden die verband hielden met het bedrijf, maar ook met zijn tegenpartijen, en vele andere dingen. Als gevolg hiervan bleek de legende behoorlijk overtuigend en aantrekkelijk.
We besloten de lokvogelfabriek te positioneren als een kleine industriële prototypingboetiek die werkt voor zeer grote anonieme klanten in het militaire en luchtvaartsegment. Dit bevrijdde ons van de juridische complicaties die gepaard gaan met het gebruik van een bestaand merk.
Vervolgens moesten we een visie, missie en naam voor de organisatie bedenken. We besloten dat ons bedrijf een startup zou worden met een klein aantal medewerkers, die allemaal oprichters zijn. Dit voegde geloofwaardigheid toe aan het verhaal van het gespecialiseerde karakter van ons bedrijf, waardoor het gevoelige projecten voor grote en belangrijke klanten kan uitvoeren. We wilden dat ons bedrijf zwak overkwam vanuit een cybersecurityperspectief, maar tegelijkertijd was het duidelijk dat we met belangrijke middelen op doelsystemen werkten.
Screenshot van de MeTech honeypot-website. Bron: Trend Micro
Als bedrijfsnaam hebben wij het woord MeTech gekozen. De site is gemaakt op basis van een gratis sjabloon. De afbeeldingen zijn afkomstig uit fotobanken, waarbij de meest impopulaire afbeeldingen zijn gebruikt en aangepast om ze minder herkenbaar te maken.
We wilden dat het bedrijf er echt uitzag, dus moesten we medewerkers toevoegen met professionele vaardigheden die passen bij het profiel van de activiteit. We bedachten namen en persoonlijkheden voor hen en probeerden vervolgens afbeeldingen uit fotobanken te selecteren op basis van etniciteit.
Screenshot van de MeTech honeypot-website. Bron: Trend Micro
Om niet ontdekt te worden, zochten we naar groepsfoto’s van goede kwaliteit waaruit we de gezichten konden kiezen die we nodig hadden. We hebben deze optie echter achterwege gelaten, omdat een potentiële hacker reverse image search zou kunnen gebruiken en zou ontdekken dat onze “werknemers” alleen in fotobanken leven. Uiteindelijk hebben we foto's gebruikt van niet-bestaande mensen, gemaakt met behulp van neurale netwerken.
De op de site gepubliceerde werknemersprofielen bevatten belangrijke informatie over hun technische vaardigheden, maar we vermeden het identificeren van specifieke scholen of steden.
Om mailboxen te maken, gebruikten we de server van een hostingprovider, huurden vervolgens verschillende telefoonnummers in de Verenigde Staten en combineerden deze tot een virtuele PBX met een spraakmenu en een antwoordapparaat.
Honeypot-infrastructuur
Om blootstelling te voorkomen, hebben we besloten een combinatie van echte industriële hardware, fysieke computers en beveiligde virtuele machines te gebruiken. Vooruitkijkend zullen we zeggen dat we het resultaat van onze inspanningen hebben gecontroleerd met behulp van de Shodan-zoekmachine, en daaruit bleek dat de honeypot op een echt industrieel systeem lijkt.
Het resultaat van het scannen van een honingpot met Shodan. Bron: Trend Micro
We gebruikten vier PLC's als hardware voor onze val:
- SiemensS7-1200,
- twee AllenBradley MicroLogix 1100,
- Omron CP1L.
Deze PLC's werden geselecteerd vanwege hun populariteit op de mondiale markt voor besturingssystemen. En elk van deze controllers gebruikt zijn eigen protocol, waardoor we konden nagaan welke van de PLC’s vaker zouden worden aangevallen en of ze in principe iemand zouden interesseren.
Uitrusting van onze “fabrieks”-val. Bron: Trend Micro
We hebben niet alleen hardware geïnstalleerd en deze op internet aangesloten. We hebben elke controller geprogrammeerd om taken uit te voeren, inclusief
- mengen,
- brander- en transportbandbediening,
- palletiseren met behulp van een robotmanipulator.
En om het productieproces realistisch te maken, hebben we logica geprogrammeerd om willekeurig feedbackparameters te wijzigen, het starten en stoppen van motoren en het in- en uitschakelen van branders te simuleren.
Onze fabriek had drie virtuele computers en één fysieke. Virtuele computers werden gebruikt om een fabriek, een palletiseerrobot en als werkstation voor een PLC-software-ingenieur te besturen. De fysieke computer werkte als bestandsserver.
Naast het monitoren van aanvallen op PLC's, wilden we ook de status monitoren van programma's die op onze apparaten waren geladen. Om dit te doen, hebben we een interface gemaakt waarmee we snel konden bepalen hoe de status van onze virtuele actuatoren en installaties werd gewijzigd. Al in de planningsfase ontdekten we dat het veel eenvoudiger is om dit met een besturingsprogramma te implementeren dan via directe programmering van de controllerlogica. We hebben via VNC de toegang tot de apparaatbeheerinterface van onze honeypot geopend zonder wachtwoord.
Industriële robots zijn een belangrijk onderdeel van moderne slimme productie. In dit verband hebben we besloten om een robot en een geautomatiseerde werkplek voor de besturing ervan toe te voegen aan de uitrusting van onze vallenfabriek. Om de ‘fabriek’ realistischer te maken, hebben we echte software op het besturingswerkstation geïnstalleerd, waarmee ingenieurs de logica van de robot grafisch programmeren. Omdat industriële robots zich meestal in een geïsoleerd intern netwerk bevinden, hebben we besloten om de onbeveiligde toegang via VNC alleen tot het besturingswerkstation te laten.
RobotStudio-omgeving met een 3D-model van onze robot. Bron: Trend Micro
We installeerden de programmeeromgeving RobotStudio van ABB Robotics op een virtuele machine met een robotbesturingswerkstation. Nadat we RobotStudio hadden geconfigureerd, openden we een simulatiebestand met onze robot erin, zodat het 3D-beeld zichtbaar was op het scherm. Als gevolg hiervan zullen Shodan en andere zoekmachines, bij het detecteren van een onbeveiligde VNC-server, dit schermbeeld pakken en laten zien aan degenen die op zoek zijn naar industriële robots met open toegang tot controle.
Het doel van deze aandacht voor detail was het creëren van een aantrekkelijk en realistisch doelwit voor aanvallers die, zodra ze het gevonden hadden, er keer op keer naar zouden terugkeren.
Werkstation van de ingenieur
Om de PLC-logica te programmeren, hebben we een engineeringcomputer aan de infrastructuur toegevoegd. Er werd industriële software voor PLC-programmering geïnstalleerd:
- TIA-portaal voor Siemens,
- MicroLogix voor Allen-Bradley-controller,
- CX-One voor Omron.
We hebben besloten dat de engineeringwerkruimte buiten het netwerk niet toegankelijk zou zijn. In plaats daarvan stellen we voor het beheerdersaccount hetzelfde wachtwoord in als op het robotbesturingswerkstation en het fabrieksbesturingswerkstation dat toegankelijk is via internet. Deze configuratie is vrij gebruikelijk in veel bedrijven.
Helaas heeft ondanks al onze inspanningen geen enkele aanvaller het werkstation van de ingenieur bereikt.
Bestanden server
We hadden het nodig als lokaas voor aanvallers en als middel om ons eigen “werk” in de lokvogelfabriek te ondersteunen. Hierdoor konden we bestanden delen met onze honeypot via USB-apparaten zonder een spoor achter te laten op het honeypot-netwerk. Als besturingssysteem voor de bestandsserver hebben we Windows 7 Pro geïnstalleerd, waarin we een gedeelde map hebben gemaakt die door iedereen kan worden gelezen en geschreven.
In eerste instantie hebben we geen hiërarchie van mappen en documenten op de bestandsserver gemaakt. Later ontdekten we echter dat aanvallers deze map actief bestudeerden, dus besloten we deze met verschillende bestanden te vullen. Om dit te doen, hebben we een Python-script geschreven dat een bestand van willekeurige grootte aanmaakte met een van de gegeven extensies, waarbij een naam werd gevormd op basis van het woordenboek.
Script voor het genereren van aantrekkelijke bestandsnamen. Bron: Trend Micro
Nadat we het script hadden uitgevoerd, kregen we het gewenste resultaat in de vorm van een map vol bestanden met zeer interessante namen.
Het resultaat van het script. Bron: Trend Micro
Omgeving bewaken
Omdat we zoveel moeite hadden gedaan om een realistisch bedrijf op te zetten, konden we het ons eenvoudigweg niet veroorloven om te falen op het gebied van het milieu bij het monitoren van onze “bezoekers”. We moesten alle gegevens in realtime verkrijgen zonder dat de aanvallers zich realiseerden dat ze in de gaten werden gehouden.
We hebben dit geïmplementeerd met behulp van vier USB-naar-Ethernet-adapters, vier SharkTap Ethernet-kranen, een Raspberry Pi 3 en een grote externe schijf. Ons netwerkdiagram zag er als volgt uit:
Honeypot-netwerkdiagram met bewakingsapparatuur. Bron: Trend Micro
We hebben drie SharkTap-kranen geplaatst om al het externe verkeer naar de PLC te monitoren, dat alleen toegankelijk is via het interne netwerk. De vierde SharkTap monitorde het verkeer van gasten van een kwetsbare virtuele machine.
SharkTap Ethernet Tap en Sierra Wireless AirLink RV50-router. Bron: Trend Micro
Raspberry Pi voerde dagelijkse verkeersregistratie uit. We maakten verbinding met internet via een Sierra Wireless AirLink RV50 mobiele router, die vaak wordt gebruikt in industriële ondernemingen.
Helaas stond deze router ons niet toe om selectief aanvallen te blokkeren die niet overeenkwamen met onze plannen. Daarom hebben we een Cisco ASA 5505-firewall in transparante modus aan het netwerk toegevoegd om blokkering uit te voeren met minimale impact op het netwerk.
Verkeersanalyse
Tshark en tcpdump zijn geschikt om huidige problemen snel op te lossen, maar in ons geval waren hun mogelijkheden niet voldoende, omdat we veel gigabytes aan verkeer hadden, dat door verschillende mensen werd geanalyseerd. We gebruikten de open-source Moloch-analysator ontwikkeld door AOL. Het is qua functionaliteit vergelijkbaar met Wireshark, maar heeft meer mogelijkheden voor samenwerking, het beschrijven en taggen van pakketten, exporteren en andere taken.
Omdat we de verzamelde gegevens niet op honeypot-computers wilden verwerken, werden PCAP-dumps elke dag geëxporteerd naar AWS-opslag, vanwaar we ze al in de Moloch-machine importeerden.
Schermopname
Om de acties van hackers in onze honeypot te documenteren, hebben we een script geschreven dat met een bepaald interval screenshots van de virtuele machine maakte en, in vergelijking met de vorige screenshot, bepaalde of daar iets gebeurde of niet. Toen er activiteit werd gedetecteerd, bevatte het script een schermopname. Deze aanpak bleek het meest effectief. We hebben ook geprobeerd het VNC-verkeer van een PCAP-dump te analyseren om te begrijpen welke veranderingen er in het systeem hadden plaatsgevonden, maar uiteindelijk bleek de schermopname die we hadden geïmplementeerd eenvoudiger en visueler te zijn.
Monitoring van VNC-sessies
Hiervoor hebben we Chaosreader en VNCLogger gebruikt. Beide hulpprogramma's extraheren toetsaanslagen uit een PCAP-dump, maar VNCLogger verwerkt toetsen als Backspace, Enter en Ctrl correcter.
VNCLogger heeft twee nadelen. Ten eerste: het kan alleen sleutels extraheren door te “luisteren” naar verkeer op de interface, dus moesten we er een VNC-sessie voor simuleren met behulp van tcpreplay. Het tweede nadeel van VNCLogger komt vaak voor bij Chaosreader: ze tonen allebei niet de inhoud van het klembord. Om dit te doen moest ik Wireshark gebruiken.
Wij lokken hackers
We hebben een honingpot gemaakt om aangevallen te worden. Om dit te bereiken hebben we een informatielek geënsceneerd om de aandacht van potentiële aanvallers te trekken. De volgende poorten zijn geopend op honeypot:
De RDP-poort moest kort nadat we live gingen worden gesloten omdat de enorme hoeveelheid scanverkeer op ons netwerk prestatieproblemen veroorzaakte.
De VNC-terminals werkten eerst in de alleen-lezen-modus zonder wachtwoord, en daarna schakelden we ze ‘per ongeluk’ over naar de modus voor volledige toegang.
Om aanvallers aan te trekken, hebben we twee berichten geplaatst met gelekte informatie over het beschikbare industriële systeem op PasteBin.
Een van de berichten die op PasteBin zijn geplaatst om aanvallen aan te trekken. Bron: Trend Micro
Aanvallen
Honeypot leefde ongeveer zeven maanden online. De eerste aanval vond plaats een maand nadat honeypot online ging.
Scanners
Er was veel verkeer van scanners van bekende bedrijven - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye en anderen. Het waren er zo veel dat we hun IP-adressen moesten uitsluiten van de analyse: 610 van de 9452 of 6,45% van alle unieke IP-adressen behoorden tot volledig legitieme scanners.
oplichters
Een van de grootste risico's waarmee we te maken hebben gehad, is het gebruik van ons systeem voor criminele doeleinden: het kopen van smartphones via de account van een abonnee, het uitbetalen van airline miles met behulp van cadeaubonnen en andere vormen van fraude.
mijnwerkers
Eén van de eerste bezoekers aan ons systeem bleek een mijnwerker te zijn. Hij downloadde er Monero-mijnsoftware op. Vanwege de lage productiviteit zou hij met ons specifieke systeem niet veel geld hebben kunnen verdienen. Als we echter de inspanningen van enkele tientallen of zelfs honderden van dergelijke systemen combineren, zou het behoorlijk goed kunnen uitpakken.
Ransomware
Tijdens de werkzaamheden van honeypot zijn we twee keer echte ransomware-virussen tegengekomen. In het eerste geval was het Crysis. De operators logden via VNC in op het systeem, installeerden vervolgens TeamViewer en voerden daarmee verdere acties uit. Nadat we hadden gewacht op een afpersingsbericht waarin een losgeld van $10 in BTC werd geëist, gingen we een correspondentie aan met de criminelen en vroegen hen een van de bestanden voor ons te decoderen. Ze voldeden aan het verzoek en herhaalden de eis om losgeld. We zijn erin geslaagd om tot 6 dollar te onderhandelen, waarna we het systeem eenvoudigweg opnieuw naar een virtuele machine hebben geüpload, omdat we alle benodigde informatie hebben ontvangen.
De tweede ransomware bleek Phobos te zijn. De hacker die het installeerde, bladerde een uur door het honeypot-bestandssysteem en scande het netwerk, en installeerde uiteindelijk de ransomware.
De derde ransomware-aanval bleek nep. Een onbekende "hacker" downloadde het haha.bat-bestand op ons systeem, waarna we een tijdje keken hoe hij probeerde het werkend te krijgen. Eén van de pogingen was om haha.bat te hernoemen naar haha.rnsmwr.
De “hacker” vergroot de schadelijkheid van het bat-bestand door de extensie ervan te wijzigen in .rnsmwr. Bron: Trend Micro
Toen het batchbestand eindelijk begon te werken, heeft de ‘hacker’ het bewerkt, waardoor het losgeld werd verhoogd van $200 naar $750. Daarna “versleutelde” hij alle bestanden, liet een afpersingsbericht achter op het bureaublad en verdween, terwijl hij de wachtwoorden op onze VNC veranderde.
Een paar dagen later keerde de hacker terug en lanceerde ter herinnering een batchbestand dat veel vensters met een pornosite opende. Kennelijk probeerde hij op deze manier de aandacht op zijn eis te vestigen.
Resultaten van
Tijdens het onderzoek bleek dat zodra informatie over de kwetsbaarheid werd gepubliceerd, honeypot de aandacht trok en dat de activiteit met de dag groeide. Om de val onder de aandacht te brengen, moest ons fictieve bedrijf meerdere inbreuken op de beveiliging ondergaan. Helaas is deze situatie verre van ongewoon bij veel echte bedrijven die niet over fulltime IT- en informatiebeveiligingsmedewerkers beschikken.
Over het algemeen zouden organisaties het principe van de minste privileges moeten hanteren, terwijl wij precies het tegenovergestelde ervan hebben geïmplementeerd om aanvallers aan te trekken. En hoe langer we naar de aanvallen keken, hoe geavanceerder ze werden vergeleken met standaard penetratietestmethoden.
En het allerbelangrijkste: al deze aanvallen zouden zijn mislukt als er adequate beveiligingsmaatregelen waren geïmplementeerd bij het opzetten van het netwerk. Organisaties moeten ervoor zorgen dat hun apparatuur en industriële infrastructuurcomponenten niet toegankelijk zijn via internet, zoals wij in onze valkuil specifiek hebben gedaan.
Hoewel we geen enkele aanval op het werkstation van een ingenieur hebben geregistreerd, ondanks het gebruik van hetzelfde lokale beheerderswachtwoord op alle computers, moet deze praktijk worden vermeden om de mogelijkheid van inbraak te minimaliseren. Zwakke beveiliging vormt immers een extra uitnodiging om industriële systemen aan te vallen, die al lang interessant zijn voor cybercriminelen.
Bron: www.habr.com