Antivirusselskaper, informasjonssikkerhetseksperter og ganske enkelt entusiaster setter honeypot-systemer på Internett for å "fange" en ny variant av viruset eller identifisere uvanlige hackertaktikker. Honeypots er så vanlige at nettkriminelle har utviklet en slags immunitet: de identifiserer raskt at de er foran en felle og ignorerer den rett og slett. For å utforske taktikken til moderne hackere, skapte vi en realistisk honningkrukke som levde på Internett i syv måneder, og tiltrakk seg en rekke angrep. Vi snakket om hvordan dette skjedde i vår studie "" Noen fakta fra studien er i dette innlegget.
Honeypot utvikling: sjekkliste
Hovedoppgaven med å lage superfellen vår var å forhindre at vi ble avslørt av hackere som viste interesse for den. Dette krevde mye arbeid:
- Lag en realistisk legende om selskapet, inkludert fullt navn og bilder av ansatte, telefonnumre og e-poster.
- Å komme opp med og implementere en modell av industriell infrastruktur som tilsvarer legenden om selskapets aktiviteter.
- Bestem hvilke nettverkstjenester som skal være tilgjengelige fra utsiden, men ikke la deg rive med av å åpne sårbare porter slik at det ikke ser ut som en felle for sugere.
- Organiser synligheten av informasjonslekkasjer om et sårbart system og distribuer denne informasjonen blant potensielle angripere.
- Implementer diskré overvåking av hackeraktiviteter i honeypot-infrastrukturen.
Og nå om alt i orden.
Skaper en legende
Nettkriminelle er allerede vant til å møte mange honningpotter, så den mest avanserte delen av dem gjennomfører en grundig undersøkelse av hvert sårbart system for å sikre at det ikke er en felle. Av samme grunn søkte vi å sikre at honningkrukken ikke bare var realistisk med tanke på design og tekniske aspekter, men også for å skape utseendet til en ekte bedrift.
Etter å ha satt oss selv i en hypotetisk kul hacker, utviklet vi en bekreftelsesalgoritme som kunne skille et ekte system fra en felle. Det inkluderte søk etter selskapets IP-adresser i omdømmesystemer, omvendt forskning på historien til IP-adresser, søk etter navn og nøkkelord relatert til selskapet, så vel som dets motparter, og mange andre ting. Som et resultat viste legenden seg å være ganske overbevisende og attraktiv.
Vi bestemte oss for å posisjonere lokkefabrikken som en liten industriell prototyping-butikk som jobber for svært store anonyme kunder i militær- og luftfartssegmentet. Dette frigjorde oss fra de juridiske komplikasjonene forbundet med å bruke et eksisterende merke.
Deretter måtte vi komme med en visjon, misjon og navn for organisasjonen. Vi bestemte oss for at selskapet vårt skulle være en oppstart med et lite antall ansatte, som hver er en grunnlegger. Dette økte troverdigheten til historien om virksomhetens spesialiserte natur, som gjør at den kan håndtere sensitive prosjekter for store og viktige kunder. Vi ønsket at selskapet vårt skulle fremstå som svakt fra et cybersikkerhetsperspektiv, men samtidig var det åpenbart at vi jobbet med viktige eiendeler på målsystemer.
Skjermbilde av MeTech honeypot-nettstedet. Kilde: Trend Micro
Vi valgte ordet MeTech som firmanavn. Siden ble laget basert på en gratis mal. Bildene ble hentet fra fotobanker, og brukte de mest upopulære og modifiserte dem for å gjøre dem mindre gjenkjennelige.
Vi ønsket at selskapet skulle se ekte ut, så vi trengte å legge til ansatte med faglig kompetanse som matcher profilen til aktiviteten. Vi kom på navn og personligheter for dem og prøvde deretter å velge bilder fra fotobanker etter etnisitet.
Skjermbilde av MeTech honeypot-nettstedet. Kilde: Trend Micro
For å unngå å bli oppdaget lette vi etter gruppebilder av god kvalitet som vi kunne velge ansiktene vi trengte fra. Imidlertid forlot vi dette alternativet, siden en potensiell hacker kunne bruke omvendt bildesøk og oppdage at våre "ansatte" bare bor i fotobanker. Til slutt brukte vi fotografier av ikke-eksisterende mennesker laget ved hjelp av nevrale nettverk.
Medarbeiderprofiler publisert på nettstedet inneholdt viktig informasjon om deres tekniske ferdigheter, men vi unngikk å identifisere spesifikke skoler eller byer.
For å lage postkasser brukte vi en hostingleverandørs server, og leide deretter flere telefonnumre i USA og kombinerte dem til en virtuell PBX med talemeny og telefonsvarer.
Honeypot-infrastruktur
For å unngå eksponering bestemte vi oss for å bruke en kombinasjon av ekte industriell maskinvare, fysiske datamaskiner og sikre virtuelle maskiner. Når vi ser fremover, vil vi si at vi sjekket resultatet av innsatsen vår ved hjelp av søkemotoren Shodan, og den viste at honningkrukken ser ut som et ekte industrisystem.
Resultatet av å skanne en honningkrukke med Shodan. Kilde: Trend Micro
Vi brukte fire PLS-er som maskinvare for fellen vår:
- Siemens S7-1200,
- to AllenBradley MicroLogix 1100,
- Omron CP1L.
Disse PLS-ene ble valgt for deres popularitet i det globale kontrollsystemmarkedet. Og hver av disse kontrollerene bruker sin egen protokoll, som tillot oss å sjekke hvilke av PLS-ene som ville bli angrepet oftere og om de ville interessere noen i prinsippet.
Utstyr til vår "fabrikk"-felle. Kilde: Trend Micro
Vi installerte ikke bare maskinvare og koblet den til Internett. Vi programmerte hver kontroller til å utføre oppgaver, inkludert
- blande,
- brenner og transportbåndkontroll,
- palletering ved hjelp av en robotmanipulator.
Og for å gjøre produksjonsprosessen realistisk, programmerte vi logikk til å endre tilbakemeldingsparametere tilfeldig, simulere motorer som starter og stopper, og brennere som slår seg på og av.
Fabrikken vår hadde tre virtuelle datamaskiner og en fysisk. Virtuelle datamaskiner ble brukt til å kontrollere et anlegg, en palleteringsrobot og som en arbeidsstasjon for en PLS-programvareingeniør. Den fysiske datamaskinen fungerte som en filserver.
I tillegg til å overvåke angrep på PLS-er, ønsket vi å overvåke statusen til programmer lastet på enhetene våre. For å gjøre dette opprettet vi et grensesnitt som gjorde at vi raskt kunne bestemme hvordan tilstandene til våre virtuelle aktuatorer og installasjoner ble endret. Allerede på planleggingsstadiet oppdaget vi at det er mye enklere å implementere dette ved hjelp av et kontrollprogram enn ved direkte programmering av kontrollerlogikken. Vi åpnet tilgang til enhetsadministrasjonsgrensesnittet til honeypoten vår via VNC uten passord.
Industriroboter er en nøkkelkomponent i moderne smart produksjon. I denne forbindelse bestemte vi oss for å legge til en robot og en automatisert arbeidsplass for å kontrollere den til utstyret til fellefabrikken vår. For å gjøre "fabrikken" mer realistisk, installerte vi ekte programvare på kontrollarbeidsstasjonen, som ingeniører bruker til å programmere robotens logikk grafisk. Vel, siden industriroboter vanligvis er plassert i et isolert internt nettverk, bestemte vi oss for å la ubeskyttet tilgang via VNC kun være til kontrollarbeidsstasjonen.
RobotStudio-miljø med en 3D-modell av roboten vår. Kilde: Trend Micro
Vi installerte RobotStudio-programmeringsmiljøet fra ABB Robotics på en virtuell maskin med en robotkontrollarbeidsstasjon. Etter å ha konfigurert RobotStudio, åpnet vi en simuleringsfil med roboten vår i slik at 3D-bildet var synlig på skjermen. Som et resultat vil Shodan og andre søkemotorer, når de oppdager en usikret VNC-server, ta dette skjermbildet og vise det til de som leter etter industriroboter med åpen tilgang til kontroll.
Poenget med denne oppmerksomheten på detaljer var å skape et attraktivt og realistisk mål for angripere som, når de fant det, ville vende tilbake til det igjen og igjen.
Ingeniørens arbeidsstasjon
For å programmere PLS-logikken la vi til en ingeniørdatamaskin til infrastrukturen. Industriell programvare for PLS-programmering ble installert på den:
- TIA Portal for Siemens,
- MicroLogix for Allen-Bradley kontroller,
- CX-One for Omron.
Vi bestemte oss for at ingeniørarbeidsområdet ikke ville være tilgjengelig utenfor nettverket. I stedet angir vi det samme passordet for administratorkontoen som på robotkontrollarbeidsstasjonen og fabrikkkontrollarbeidsstasjonen som er tilgjengelig fra Internett. Denne konfigurasjonen er ganske vanlig i mange selskaper.
Dessverre, til tross for all vår innsats, nådde ikke en eneste angriper ingeniørens arbeidsstasjon.
Filserver
Vi trengte det som et agn for angripere og som et middel til å støtte opp om vårt eget "arbeid" i lokkefabrikken. Dette tillot oss å dele filer med vår honeypot ved hjelp av USB-enheter uten å etterlate spor på honeypot-nettverket. Vi installerte Windows 7 Pro som OS for filserveren, der vi opprettet en delt mappe som kan leses og skrives av alle.
Til å begynne med opprettet vi ikke noe hierarki av mapper og dokumenter på filserveren. Imidlertid oppdaget vi senere at angripere aktivt studerte denne mappen, så vi bestemte oss for å fylle den med forskjellige filer. For å gjøre dette skrev vi et python-skript som opprettet en fil av tilfeldig størrelse med en av de gitte utvidelsene, og dannet et navn basert på ordboken.
Skript for å generere attraktive filnavn. Kilde: Trend Micro
Etter å ha kjørt skriptet, fikk vi ønsket resultat i form av en mappe fylt med filer med veldig interessante navn.
Resultatet av manuset. Kilde: Trend Micro
Overvåkingsmiljø
Etter å ha brukt så mye krefter på å skape et realistisk selskap, hadde vi rett og slett ikke råd til å feile på miljøet for å overvåke våre "besøkende". Vi trengte å få alle dataene i sanntid uten at angriperne skjønte at de ble overvåket.
Vi implementerte dette ved å bruke fire USB til Ethernet-adaptere, fire SharkTap Ethernet-kraner, en Raspberry Pi 3 og en stor ekstern stasjon. Nettverksdiagrammet vårt så slik ut:
Honeypot nettverksdiagram med overvåkingsutstyr. Kilde: Trend Micro
Vi plasserte tre SharkTap-kraner for å overvåke all ekstern trafikk til PLS-en, kun tilgjengelig fra det interne nettverket. Den fjerde SharkTap overvåket trafikken til gjester på en sårbar virtuell maskin.
SharkTap Ethernet Tap og Sierra Wireless AirLink RV50-ruter. Kilde: Trend Micro
Raspberry Pi utførte daglig trafikkregistrering. Vi koblet til Internett ved hjelp av en Sierra Wireless AirLink RV50 mobilruter, ofte brukt i industribedrifter.
Dessverre tillot ikke denne ruteren oss å selektivt blokkere angrep som ikke samsvarte med planene våre, så vi la til en Cisco ASA 5505 brannmur til nettverket i transparent modus for å utføre blokkering med minimal innvirkning på nettverket.
Trafikkanalyse
Tshark og tcpdump er passende for raskt å løse aktuelle problemer, men i vårt tilfelle var deres evner ikke nok, siden vi hadde mange gigabyte med trafikk, som ble analysert av flere personer. Vi brukte åpen kildekode Moloch-analysatoren utviklet av AOL. Den er sammenlignbar i funksjonalitet med Wireshark, men har flere muligheter for samarbeid, beskrivelse og merking av pakker, eksport og andre oppgaver.
Siden vi ikke ønsket å behandle de innsamlede dataene på honeypot-datamaskiner, ble PCAP-dumper eksportert hver dag til AWS-lagring, hvorfra vi allerede importerte dem til Moloch-maskinen.
Skjermopptak
For å dokumentere handlingene til hackere i honeypoten vår, skrev vi et skript som tok skjermbilder av den virtuelle maskinen med et gitt intervall, og sammenlignet det med det forrige skjermbildet, bestemte vi om noe skjedde der eller ikke. Når aktivitet ble oppdaget, inkluderte skriptet skjermopptak. Denne tilnærmingen viste seg å være den mest effektive. Vi prøvde også å analysere VNC-trafikk fra en PCAP-dump for å forstå hvilke endringer som hadde skjedd i systemet, men til slutt viste skjermopptaket vi implementerte å være enklere og mer visuelt.
Overvåking av VNC-økter
Til dette brukte vi Chaosreader og VNCLogger. Begge verktøyene trekker ut tastetrykk fra en PCAP-dump, men VNCLogger håndterer taster som Backspace, Enter, Ctrl mer korrekt.
VNCLogger har to ulemper. For det første: den kan bare trekke ut nøkler ved å "lytte" til trafikk på grensesnittet, så vi måtte simulere en VNC-økt for den ved å bruke tcpreplay. Den andre ulempen med VNCLogger er vanlig med Chaosreader: begge viser ikke innholdet på utklippstavlen. For å gjøre dette måtte jeg bruke Wireshark.
Vi lokker hackere
Vi skapte honningkrukke for å bli angrepet. For å oppnå dette iscenesatte vi en informasjonslekkasje for å tiltrekke oppmerksomheten til potensielle angripere. Følgende porter ble åpnet på honeypot:
RDP-porten måtte stenges kort tid etter at vi gikk live fordi den enorme mengden skanningstrafikk på nettverket vårt forårsaket ytelsesproblemer.
VNC-terminalene fungerte først i visningsmodus uten passord, og deretter byttet vi "ved en feiltakelse" til full tilgangsmodus.
For å tiltrekke oss angripere la vi ut to innlegg med lekket informasjon om det tilgjengelige industrielle systemet på PasteBin.
Et av innleggene som ble lagt ut på PasteBin for å tiltrekke seg angrep. Kilde: Trend Micro
Angrep
Honeypot levde online i omtrent syv måneder. Det første angrepet skjedde en måned etter at honeypot gikk på nettet.
skannere
Det var mye trafikk fra skannere fra kjente selskaper – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye og andre. Det var så mange av dem at vi måtte ekskludere IP-adressene deres fra analysen: 610 av 9452 eller 6,45 % av alle unike IP-adresser tilhørte helt legitime skannere.
svindlere
En av de største risikoene vi har møtt er bruken av systemet vårt til kriminelle formål: å kjøpe smarttelefoner gjennom en abonnents konto, utbetale flyselskapsmil ved hjelp av gavekort og andre typer svindel.
Gruvearbeidere
En av de første besøkende til systemet vårt viste seg å være en gruvearbeider. Han lastet ned Monero gruveprogramvare på den. Han ville ikke ha vært i stand til å tjene mye penger på akkurat vårt system på grunn av lav produktivitet. Men hvis vi kombinerer innsatsen til flere dusin eller til og med hundrevis av slike systemer, kan det vise seg ganske bra.
Ransomware
Under arbeidet med honeypot møtte vi ekte løsepengevirus to ganger. I det første tilfellet var det Crysis. Operatørene logget på systemet via VNC, men installerte deretter TeamViewer og brukte det til å utføre ytterligere handlinger. Etter å ha ventet på en utpressingsmelding som krever løsepenger på $10 6 i BTC, inngikk vi korrespondanse med de kriminelle og ba dem dekryptere en av filene for oss. De etterkom forespørselen og gjentok kravet om løsepenger. Vi klarte å forhandle opp til XNUMX tusen dollar, hvoretter vi ganske enkelt lastet opp systemet på nytt til en virtuell maskin, siden vi mottok all nødvendig informasjon.
Den andre løsepengevaren viste seg å være Phobos. Hackeren som installerte det brukte en time på å bla gjennom honeypot-filsystemet og skanne nettverket, og installerte til slutt løsepengevaren.
Det tredje løsepengeangrepet viste seg å være falskt. En ukjent "hacker" lastet ned haha.bat-filen til systemet vårt, hvoretter vi så en stund på mens han prøvde å få den til å fungere. Et av forsøkene var å gi nytt navn til haha.bat til haha.rnsmwr.
"Hackeren" øker skadeligheten til bat-filen ved å endre filtypen til .rnsmwr. Kilde: Trend Micro
Da batchfilen endelig begynte å kjøre, redigerte "hackeren" den og økte løsepengene fra $200 til $750. Etter det "krypterte" han alle filene, la igjen en utpressingsmelding på skrivebordet og forsvant, og endret passordene på vår VNC.
Et par dager senere kom hackeren tilbake og, for å minne seg selv, lanserte en batchfil som åpnet mange vinduer med et pornonettsted. Tilsynelatende forsøkte han på denne måten å trekke oppmerksomheten til kravet sitt.
Resultater av
Under studien viste det seg at så snart informasjon om sårbarheten ble publisert, vakte honningpotte oppmerksomhet, med aktivitet som økte dag for dag. For at fellen skulle få oppmerksomhet, måtte vårt fiktive selskap lide av flere sikkerhetsbrudd. Dessverre er denne situasjonen langt fra uvanlig blant mange reelle bedrifter som ikke har fulltidsansatte i IT og informasjonssikkerhet.
Generelt bør organisasjoner bruke prinsippet om minste privilegium, mens vi implementerte det stikk motsatte av det for å tiltrekke angripere. Og jo lenger vi så på angrepene, jo mer sofistikerte ble de sammenlignet med standard penetrasjonstestingsmetoder.
Og viktigst av alt, alle disse angrepene ville ha mislyktes hvis tilstrekkelige sikkerhetstiltak hadde blitt implementert ved oppsett av nettverket. Organisasjoner må sørge for at deres utstyr og industrielle infrastrukturkomponenter ikke er tilgjengelige fra Internett, slik vi spesifikt gjorde i fellen vår.
Selv om vi ikke har registrert et eneste angrep på en ingeniørs arbeidsstasjon, til tross for at vi bruker det samme lokale administratorpassordet på alle datamaskiner, bør denne praksisen unngås for å minimere muligheten for inntrenging. Tross alt fungerer svak sikkerhet som en ekstra invitasjon til å angripe industrielle systemer, som lenge har vært av interesse for nettkriminelle.
Kilde: www.habr.com