Companiile antivirus, experții în securitatea informațiilor și pur și simplu entuziaștii pun sisteme honeypot pe Internet pentru a „prinde” o nouă variantă a virusului sau pentru a identifica tactici neobișnuite ale hackerilor. Honeypots sunt atât de comune încât infractorii cibernetici au dezvoltat un fel de imunitate: ei identifică rapid că se află în fața unei capcane și pur și simplu o ignoră. Pentru a explora tacticile hackerilor moderni, am creat un honeypot realist care a trăit pe Internet timp de șapte luni, atrăgând o varietate de atacuri. Am vorbit despre cum s-a întâmplat acest lucru în studiul nostru "" Câteva fapte din studiu sunt în această postare.
Dezvoltare Honeypot: listă de verificare
Sarcina principală în crearea supercapcanei noastre a fost să ne împiedicăm să fim expuși de către hackeri care și-au arătat interesul față de ea. Acest lucru a necesitat multă muncă:
- Creați o legendă realistă despre companie, inclusiv nume complete și fotografii ale angajaților, numere de telefon și e-mailuri.
- Să vină și să implementeze un model de infrastructură industrială care să corespundă legendei despre activitățile companiei noastre.
- Decideți ce servicii de rețea vor fi accesibile din exterior, dar nu vă lăsați purtat de deschiderea porturi vulnerabile, astfel încât să nu arate ca o capcană pentru frați.
- Organizați vizibilitatea scurgerilor de informații despre un sistem vulnerabil și distribuiți aceste informații printre potențialii atacatori.
- Implementați monitorizarea discretă a activităților hackerilor în infrastructura honeypot.
Și acum despre totul în ordine.
Crearea unei legende
Infractorii cibernetici sunt deja obișnuiți să întâlnească o mulțime de honeypots, așa că cea mai avansată parte a acestora efectuează o investigație aprofundată a fiecărui sistem vulnerabil pentru a se asigura că nu este o capcană. Din același motiv, am căutat să ne asigurăm că honeypot nu era doar realist în ceea ce privește designul și aspectele tehnice, ci și să creăm aspectul unei adevărate companii.
Punându-ne în pielea unui ipotetic hacker cool, am dezvoltat un algoritm de verificare care ar distinge un sistem real de o capcană. A inclus căutarea adreselor IP ale companiei în sistemele de reputație, cercetarea inversă a istoriei adreselor IP, căutarea de nume și cuvinte cheie legate de companie, precum și de contrapărțile acesteia și multe alte lucruri. Drept urmare, legenda s-a dovedit a fi destul de convingătoare și atractivă.
Am decis să poziționăm fabrica de momeală ca un mic butic de prototipare industrială care lucrează pentru clienți anonimi foarte mari din segmentul militar și al aviației. Acest lucru ne-a eliberat de complicațiile legale asociate utilizării unei mărci existente.
Apoi a trebuit să venim cu o viziune, o misiune și un nume pentru organizație. Am decis că compania noastră va fi un startup cu un număr mic de angajați, fiecare dintre aceștia fondator. Acest lucru a adăugat credibilitate poveștii naturii specializate a afacerii noastre, ceea ce îi permite să gestioneze proiecte sensibile pentru clienți mari și importanți. Ne-am dorit ca compania noastră să pară slabă din perspectiva securității cibernetice, dar, în același timp, era evident că lucram cu active importante pe sistemele țintă.
Captură de ecran a site-ului web MeTech honeypot. Sursa: Trend Micro
Am ales cuvântul MeTech drept nume de companie. Site-ul a fost realizat pe baza unui șablon gratuit. Imaginile au fost preluate din bănci de fotografii, folosindu-le pe cele mai nepopulare și modificându-le pentru a le face mai puțin recunoscute.
Ne-am dorit ca compania să arate real, așa că a trebuit să adăugăm angajați cu abilități profesionale care se potrivesc cu profilul activității. Am venit cu nume și personalități pentru ei și apoi am încercat să selectăm imagini din băncile de fotografii în funcție de etnie.
Captură de ecran a site-ului web MeTech honeypot. Sursa: Trend Micro
Pentru a nu fi descoperiți, am căutat fotografii de grup de bună calitate din care să alegem fețele de care aveam nevoie. Cu toate acestea, am abandonat apoi această opțiune, deoarece un potențial hacker ar putea folosi căutarea inversă a imaginilor și ar putea descoperi că „angajații” noștri locuiesc doar în bănci de fotografii. În final, am folosit fotografii ale unor oameni inexistenți, create folosind rețele neuronale.
Profilurile angajaților postate pe site au inclus informații importante despre abilitățile lor tehnice, dar am evitat să identificăm anumite școli sau orașe.
Pentru a crea cutii poștale, am folosit serverul unui furnizor de găzduire, apoi am închiriat mai multe numere de telefon în Statele Unite și le-am combinat într-un PBX virtual cu un meniu vocal și un robot telefonic.
Infrastructura Honeypot
Pentru a evita expunerea, am decis să folosim o combinație de hardware industrial real, computere fizice și mașini virtuale securizate. Privind în viitor, vom spune că am verificat rezultatul eforturilor noastre folosind motorul de căutare Shodan și a arătat că honeypot arată ca un adevărat sistem industrial.
Rezultatul scanării unui vas de miere folosind Shodan. Sursa: Trend Micro
Am folosit patru PLC-uri ca hardware pentru capcana noastră:
- Siemens S7-1200,
- două AllenBradley MicroLogix 1100,
- Omron CP1L.
Aceste PLC-uri au fost selectate pentru popularitatea lor pe piața globală a sistemelor de control. Și fiecare dintre aceste controlere folosește propriul protocol, care ne-a permis să verificăm care dintre PLC-uri ar fi atacat mai des și dacă ar interesa pe cineva în principiu.
Echipamentul „fabricii” noastre-capcană. Sursa: Trend Micro
Nu am instalat doar hardware și l-am conectat la Internet. Am programat fiecare controler pentru a îndeplini sarcini, inclusiv
- amestecare,
- controlul arzătorului și benzii transportoare,
- paletizarea cu ajutorul unui manipulator robot.
Și pentru a face procesul de producție realist, am programat logica pentru a schimba aleatoriu parametrii de feedback, a simula pornirea și oprirea motoarelor și pornirea și oprirea arzătoarelor.
Fabrica noastră avea trei computere virtuale și unul fizic. Calculatoarele virtuale au fost folosite pentru a controla o instalație, un robot paletizator și ca stație de lucru pentru un inginer de software PLC. Computerul fizic a funcționat ca un server de fișiere.
Pe lângă monitorizarea atacurilor asupra PLC-urilor, am dorit să monitorizăm starea programelor încărcate pe dispozitivele noastre. Pentru a face acest lucru, am creat o interfață care ne-a permis să determinăm rapid modul în care au fost modificate stările actuatoarelor și setărilor noastre virtuale. Deja în faza de planificare, am descoperit că este mult mai ușor să implementăm acest lucru folosind un program de control decât prin programarea directă a logicii controlerului. Am deschis accesul la interfața de gestionare a dispozitivelor a honeypot-ului nostru prin VNC fără o parolă.
Roboții industriali sunt o componentă cheie a producției inteligente moderne. În acest sens, am decis să adăugăm un robot și un loc de muncă automatizat pentru a-l controla echipamentelor fabricii noastre de capcane. Pentru a face „fabrica” mai realistă, am instalat software real pe stația de lucru de control, pe care inginerii îl folosesc pentru a programa grafic logica robotului. Ei bine, deoarece roboții industriali sunt de obicei amplasați într-o rețea internă izolată, am decis să lăsăm accesul neprotejat prin VNC doar la stația de lucru de control.
Mediul RobotStudio cu un model 3D al robotului nostru. Sursa: Trend Micro
Am instalat mediul de programare RobotStudio de la ABB Robotics pe o mașină virtuală cu o stație de lucru de control robot. După ce am configurat RobotStudio, am deschis un fișier de simulare cu robotul nostru în el, astfel încât imaginea sa 3D să fie vizibilă pe ecran. Drept urmare, Shodan și alte motoare de căutare, la detectarea unui server VNC nesecurizat, vor prelua această imagine de pe ecran și o vor arăta celor care caută roboți industriali cu acces deschis la control.
Scopul acestei atenții la detalii a fost de a crea o țintă atractivă și realistă pentru atacatori care, odată ce au găsit-o, s-ar întoarce la ea din nou și din nou.
Postul de lucru al inginerului
Pentru a programa logica PLC, am adăugat un computer de inginerie la infrastructură. Pe acesta a fost instalat software industrial pentru programarea PLC:
- TIA Portal pentru Siemens,
- MicroLogix pentru controler Allen-Bradley,
- CX-One pentru Omron.
Am decis că spațiul de lucru pentru inginerie nu va fi accesibil în afara rețelei. În schimb, setăm aceeași parolă pentru contul de administrator ca și pe stația de lucru de control robot și stația de lucru de control din fabrică accesibilă de pe Internet. Această configurație este destul de comună în multe companii.
Din păcate, în ciuda tuturor eforturilor noastre, niciun atacator nu a ajuns la stația de lucru a inginerului.
Server de fișiere
Aveam nevoie de el ca momeală pentru atacatori și ca mijloc de a ne susține propria „muncă” în fabrica de momeală. Acest lucru ne-a permis să partajăm fișiere cu honeypot-ul nostru folosind dispozitive USB fără a lăsa urme în rețeaua honeypot. Am instalat Windows 7 Pro ca sistem de operare pentru serverul de fișiere, în care am creat un folder partajat care poate fi citit și scris de oricine.
La început nu am creat nicio ierarhie de foldere și documente pe serverul de fișiere. Cu toate acestea, ulterior am descoperit că atacatorii studiau activ acest folder, așa că am decis să-l umplem cu diferite fișiere. Pentru a face acest lucru, am scris un script python care a creat un fișier de dimensiune aleatorie cu una dintre extensiile date, formând un nume bazat pe dicționar.
Script pentru generarea de nume de fișiere atractive. Sursa: Trend Micro
După rularea scriptului, am obținut rezultatul dorit sub forma unui folder plin cu fișiere cu nume foarte interesante.
Rezultatul scenariului. Sursa: Trend Micro
Mediul de monitorizare
După ce am depus atât de mult efort pentru a crea o companie realistă, pur și simplu nu ne-am putut permite să dăm greș în mediul pentru a ne monitoriza „vizitatorii”. Aveam nevoie să obținem toate datele în timp real, fără ca atacatorii să-și dea seama că sunt urmăriți.
Am implementat acest lucru folosind patru adaptoare USB la Ethernet, patru robinete SharkTap Ethernet, un Raspberry Pi 3 și o unitate externă mare. Diagrama noastră de rețea arăta astfel:
Diagrama rețelei Honeypot cu echipament de monitorizare. Sursa: Trend Micro
Am poziționat trei robinete SharkTap astfel încât să monitorizăm tot traficul extern către PLC, accesibil doar din rețeaua internă. Al patrulea SharkTap a monitorizat traficul oaspeților unei mașini virtuale vulnerabile.
SharkTap Ethernet Tap și router Sierra Wireless AirLink RV50. Sursa: Trend Micro
Raspberry Pi a efectuat captarea zilnică a traficului. Ne-am conectat la Internet folosind un router celular Sierra Wireless AirLink RV50, folosit adesea în întreprinderile industriale.
Din păcate, acest router nu ne-a permis să blocăm selectiv atacurile care nu se potriveau cu planurile noastre, așa că am adăugat în rețea un firewall Cisco ASA 5505 în mod transparent pentru a efectua blocări cu impact minim asupra rețelei.
Analiza traficului
Tshark și tcpdump sunt potrivite pentru rezolvarea rapidă a problemelor curente, dar în cazul nostru capacitățile lor nu au fost suficiente, deoarece aveam mulți gigaocteți de trafic, care au fost analizați de mai multe persoane. Am folosit analizorul Moloch open-source dezvoltat de AOL. Funcționalitatea este comparabilă cu Wireshark, dar are mai multe capacități de colaborare, descriere și etichetare a pachetelor, export și alte sarcini.
Deoarece nu doream să procesăm datele colectate pe computere honeypot, depozitele PCAP erau exportate în fiecare zi în stocarea AWS, de unde le importam deja pe mașina Moloch.
Înregistrare pe ecran
Pentru a documenta acțiunile hackerilor în honeypot-ul nostru, am scris un script care a făcut capturi de ecran ale mașinii virtuale la un interval dat și, comparând-o cu captura de ecran anterioară, a stabilit dacă ceva se întâmplă acolo sau nu. Când a fost detectată activitate, scriptul a inclus înregistrarea ecranului. Această abordare s-a dovedit a fi cea mai eficientă. De asemenea, am încercat să analizăm traficul VNC dintr-un dump PCAP pentru a înțelege ce schimbări au avut loc în sistem, dar în final, înregistrarea pe ecran pe care am implementat-o s-a dovedit a fi mai simplă și mai vizuală.
Monitorizarea sesiunilor VNC
Pentru aceasta am folosit Chaosreader și VNCLogger. Ambele utilitare extrag tastele dintr-un dump PCAP, dar VNCLogger gestionează mai corect tastele precum Backspace, Enter, Ctrl.
VNCLogger are două dezavantaje. În primul rând: poate extrage cheile doar „ascultând” traficul de pe interfață, așa că a trebuit să simulăm o sesiune VNC pentru el folosind tcpreplay. Al doilea dezavantaj al VNCLogger este comun cu Chaosreader: ambele nu afișează conținutul clipboard-ului. Pentru a face asta a trebuit să folosesc Wireshark.
Ademăm hackerii
Am creat honeypot pentru a fi atacat. Pentru a realiza acest lucru, am organizat o scurgere de informații pentru a atrage atenția potențialilor atacatori. Următoarele porturi au fost deschise pe honeypot:
Portul RDP a trebuit să fie închis la scurt timp după ce am intrat în direct, deoarece volumul masiv de trafic de scanare din rețeaua noastră a cauzat probleme de performanță.
Terminalele VNC au funcționat mai întâi în modul de vizualizare, fără o parolă, apoi le-am comutat „din greșeală” în modul de acces complet.
Pentru a atrage atacatori, am postat două postări cu informații scurse despre sistemul industrial disponibil pe PasteBin.
Una dintre postările postate pe PasteBin pentru a atrage atacuri. Sursa: Trend Micro
Atacurile
Honeypot a trăit online timp de aproximativ șapte luni. Primul atac a avut loc la o lună după ce honeypot a intrat online.
scanere
A fost mult trafic de la scanere ale unor companii cunoscute - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye și altele. Au fost atât de multe, încât a trebuit să le excludem adresele IP din analiză: 610 din 9452 sau 6,45% din toate adresele IP unice aparțineau unor scanere complet legitime.
escrocii
Unul dintre cele mai mari riscuri cu care ne-am confruntat este utilizarea sistemului nostru în scopuri criminale: pentru a cumpăra smartphone-uri prin contul unui abonat, pentru a încasa mile aeriene folosind carduri cadou și alte tipuri de fraudă.
Minerii
Unul dintre primii vizitatori ai sistemului nostru s-a dovedit a fi un miner. A descărcat software-ul pentru minerit Monero pe el. Nu ar fi fost capabil să câștige mulți bani pe sistemul nostru particular din cauza productivității scăzute. Cu toate acestea, dacă combinăm eforturile mai multor zeci sau chiar sute de astfel de sisteme, ar putea ieși destul de bine.
Ransomware
În timpul lucrului Honeypot, am întâlnit viruși ransomware reali de două ori. În primul caz a fost Crysis. Operatorii săi s-au conectat la sistem prin VNC, dar apoi au instalat TeamViewer și l-au folosit pentru a efectua acțiuni suplimentare. După ce am așteptat un mesaj de extorcare care cere o răscumpărare de 10 USD în BTC, am intrat în corespondență cu criminalii, cerându-le să decripteze unul dintre fișiere pentru noi. Ei au dat curs cererii și au repetat cererea de răscumpărare. Am reușit să negociem până la 6 mii de dolari, după care pur și simplu am reîncărcat sistemul pe o mașină virtuală, deoarece am primit toate informațiile necesare.
Al doilea ransomware s-a dovedit a fi Phobos. Hackerul care l-a instalat a petrecut o oră răsfoind sistemul de fișiere honeypot și scanând rețeaua, apoi a instalat în cele din urmă ransomware-ul.
Al treilea atac ransomware s-a dovedit a fi fals. Un „hacker” necunoscut a descărcat fișierul haha.bat pe sistemul nostru, după care l-am urmărit o vreme când încerca să-l facă să funcționeze. Una dintre încercări a fost redenumirea haha.bat în haha.rnsmwr.
„Hackerul” crește nocivitatea fișierului bat prin schimbarea extensiei acestuia în .rnsmwr. Sursa: Trend Micro
Când fișierul batch a început în sfârșit să ruleze, „hackerul” l-a editat, mărind răscumpărarea de la 200 USD la 750 USD. După aceea, a „criptat” toate fișierele, a lăsat un mesaj de extorcare pe desktop și a dispărut, schimbând parolele de pe VNC-ul nostru.
Câteva zile mai târziu, hackerul a revenit și, pentru a-și aminti, a lansat un fișier batch care a deschis multe ferestre cu un site porno. Aparent, în acest fel a încercat să atragă atenția asupra cererii sale.
Rezultatele
În timpul studiului, s-a dovedit că de îndată ce au fost publicate informații despre vulnerabilitate, honeypot a atras atenția, activitatea crescând pe zi ce trece. Pentru ca capcana să atragă atenția, compania noastră fictivă a trebuit să sufere mai multe breșe de securitate. Din păcate, această situație este departe de a fi neobișnuită în rândul multor companii reale care nu au angajați IT și securitatea informațiilor cu normă întreagă.
În general, organizațiile ar trebui să folosească principiul cel mai mic privilegiu, în timp ce noi am implementat exact opusul acestuia pentru a atrage atacatorii. Și cu cât am urmărit mai mult atacurile, cu atât au devenit mai sofisticate în comparație cu metodele standard de testare a penetrației.
Și, cel mai important, toate aceste atacuri ar fi eșuat dacă s-ar fi implementat măsuri de securitate adecvate la configurarea rețelei. Organizațiile trebuie să se asigure că echipamentele lor și componentele infrastructurii industriale nu sunt accesibile de pe Internet, așa cum am făcut în mod special în capcana noastră.
Deși nu am înregistrat niciun atac asupra stației de lucru a unui inginer, în ciuda utilizării aceleiași parole de administrator local pe toate computerele, această practică ar trebui evitată pentru a minimiza posibilitatea intruziunilor. La urma urmei, securitatea slabă servește ca o invitație suplimentară pentru a ataca sistemele industriale, care au fost de multă vreme de interes pentru infractorii cibernetici.
Sursa: www.habr.com