කිව නොහැකි තරම් ආකර්ශනීය: නිරාවරණය කළ නොහැකි පැණි බඳුනක් අපි නිර්මාණය කළ ආකාරය

වෛරසයේ නව ප්‍රභේදයක් "අල්ලා ගැනීමට" හෝ අසාමාන්‍ය හැකර් උපක්‍රම හඳුනා ගැනීමට ප්‍රති-වයිරස සමාගම්, තොරතුරු ආරක්‍ෂක විශේෂඥයින් සහ සරලව උද්යෝගිමත් අය හනිපොට් පද්ධති අන්තර්ජාලයට දමති. Honeypots කොතරම් සුලභද යත්, සයිබර් අපරාධකරුවන් යම් ආකාරයක ප්‍රතිශක්තියක් වර්ධනය කර ඇත: ඔවුන් උගුලක් ඉදිරිපිට සිටින බව ඉක්මනින් හඳුනාගෙන එය නොසලකා හරිති. නවීන හැකර්වරුන්ගේ උපක්‍රම ගවේෂණය කිරීම සඳහා, අපි විවිධ ප්‍රහාර ආකර්ෂණය කර ගනිමින් මාස හතක් අන්තර්ජාලයේ ජීවත් වූ යථාර්ථවාදී හනිපොට් එකක් නිර්මාණය කළෙමු. අපගේ අධ්‍යයනයේදී මෙය සිදු වූ ආකාරය ගැන අපි කතා කළෙමු.නීතියට හසු විය: සැබෑ තර්ජන අල්ලා ගැනීම සඳහා යථාර්ථවාදී කර්මාන්ත ශාලාවක් පවත්වාගෙන යාම" අධ්‍යයනයෙන් සමහර කරුණු මෙම ලිපියේ ඇත.

Honeypot සංවර්ධන: පිරික්සුම් ලැයිස්තුව

අපගේ සුපිරි උගුලක් නිර්මාණය කිරීමේ ප්‍රධාන අරමුණ වූයේ එයට උනන්දුවක් දැක්වූ හැකර්වරුන් විසින් අපව නිරාවරණය වීම වැළැක්වීමයි. මේ සඳහා විශාල වැඩ කොටසක් අවශ්ය විය:

1. සේවකයින්ගේ සම්පූර්ණ නම් සහ ඡායාරූප, දුරකථන අංක සහ ඊමේල් ඇතුළුව සමාගම පිළිබඳ යථාර්ථවාදී පුරාවෘත්තයක් සාදන්න.
2. අපගේ සමාගමේ ක්‍රියාකාරකම් පිළිබඳ පුරාවෘත්තයට අනුරූප වන කාර්මික යටිතල පහසුකම් ආකෘතියක් ඉදිරිපත් කිරීම සහ ක්‍රියාත්මක කිරීම.
3. පිටතින් ප්‍රවේශ විය හැකි ජාල සේවා මොනවාද යන්න තීරණය කරන්න, නමුත් එය උරා බොන උගුලක් ලෙස නොපෙනෙන පරිදි අවදානමට ලක්විය හැකි වරායන් විවෘත කිරීමෙන් ඉවතට නොයන්න.
4. අවදානමට ලක්විය හැකි පද්ධතියක් පිළිබඳ තොරතුරු කාන්දුවීම්වල දෘශ්‍යතාව සංවිධානය කර මෙම තොරතුරු විභව ප්‍රහාරකයන් අතර බෙදා හරින්න.
5. හනිපොට් යටිතල ව්‍යුහය තුළ හැකර් ක්‍රියාකාරකම් විචක්ෂණශීලීව අධීක්ෂණය කිරීම ක්‍රියාත්මක කරන්න.

සහ දැන් පළමු දේ පළමුව.

පුරාවෘත්තයක් නිර්මාණය කිරීම

සයිබර් අපරාධකරුවන් දැනටමත් බොහෝ හනිපොට් වලට මුහුණ දීමට පුරුදු වී ඇත, එබැවින් ඔවුන්ගෙන් වඩාත්ම දියුණු කොටස උගුලක් නොවන බවට වග බලා ගැනීම සඳහා එක් එක් අවදානම් පද්ධතියක් පිළිබඳ ගැඹුරු විමර්ශනයක් පවත්වයි. එම හේතුව නිසාම, අපි හනිපොට් නිර්මාණය සහ තාක්ෂණික අංගයන් අනුව යථාර්ථවාදී බව සහතික කිරීමට පමණක් නොව, සැබෑ සමාගමක පෙනුම ඇති කිරීමටත් උත්සාහ කළෙමු.

උපකල්පිත කූල් හැකර් කෙනෙකුගේ සපත්තුවට අපවම දමා ගනිමින්, අපි සැබෑ පද්ධතියක් උගුලකින් වෙන්කර හඳුනාගත හැකි සත්‍යාපන ඇල්ගොරිතමයක් සකස් කළෙමු. එයට කීර්තිනාම පද්ධතිවල සමාගම් IP ලිපින සෙවීම, IP ලිපිනවල ඉතිහාසය පිළිබඳ ප්‍රතිලෝම පර්යේෂණ, සමාගමට අදාළ නම් සහ මූල පද සෙවීම මෙන්ම එහි සගයන් සහ තවත් බොහෝ දේ ඇතුළත් විය. එහි ප්රතිඵලයක් වශයෙන්, පුරාවෘත්තය තරමක් ඒත්තු ගැන්වෙන හා ආකර්ෂණීය විය.

හමුදා සහ ගුවන් සේවා අංශයේ ඉතා විශාල නිර්නාමික සේවාදායකයින් සඳහා වැඩ කරන කුඩා කාර්මික මූලාකෘති සාප්පුවක් ලෙස decoy කර්මාන්තශාලාව ස්ථානගත කිරීමට අපි තීරණය කළෙමු. පවතින සන්නාමයක් භාවිතා කිරීම හා සම්බන්ධ නීතිමය සංකූලතා වලින් මෙය අපව නිදහස් කළේය.

ඊළඟට අපට සංවිධානය සඳහා දැක්මක්, මෙහෙවරක් සහ නමක් ඉදිරිපත් කිරීමට සිදු විය. අපගේ සමාගම ආරම්භකයකු වන කුඩා සේවක සංඛ්‍යාවක් සිටින ආරම්භක ආයතනයක් බවට අපි තීරණය කළෙමු. විශාල සහ වැදගත් ගනුදෙනුකරුවන් සඳහා සංවේදී ව්‍යාපෘති හැසිරවීමට ඉඩ සලසන අපගේ ව්‍යාපාරයේ විශේෂිත ස්වභාවය පිළිබඳ කතාවට මෙය විශ්වසනීයත්වයක් එක් කළේය. සයිබර් ආරක්ෂණ දෘෂ්ටිකෝණයකින් අපගේ සමාගම දුර්වල ලෙස පෙනී සිටීමට අපට අවශ්‍ය විය, නමුත් ඒ සමඟම අපි ඉලක්ක පද්ධතිවල වැදගත් වත්කම් සමඟ වැඩ කරන බව පැහැදිලිය.

MeTech honeypot වෙබ් අඩවියේ තිර රුවක්. මූලාශ්රය: Trend Micro

අපි සමාගමේ නම ලෙස තෝරා ගත්තේ MeTech යන වචනයයි. වෙබ් අඩවිය නොමිලේ සැකිල්ලක් මත පදනම්ව සාදන ලදී. ඡායාරූප ඡායා බැංකු වලින් ලබාගෙන ඇති අතර, වඩාත්ම ජනප්‍රිය නොවන ඒවා භාවිතා කර ඒවා අඩුවෙන් හඳුනාගත හැකි ලෙස වෙනස් කරමින්.

අපට සමාගම සැබෑ ලෙස පෙනෙන්නට අවශ්‍ය විය, එබැවින් ක්‍රියාකාරකම්වල පැතිකඩට ගැළපෙන වෘත්තීය කුසලතා ඇති සේවකයින් එක් කිරීමට අපට අවශ්‍ය විය. අපි ඔවුන් සඳහා නම් සහ පෞරුෂයන් ඉදිරිපත් කළ අතර පසුව ජනවාර්ගිකත්වය අනුව ඡායාරූප බැංකුවලින් පින්තූර තෝරා ගැනීමට උත්සාහ කළෙමු.

MeTech honeypot වෙබ් අඩවියේ තිර රුවක්. මූලාශ්රය: Trend Micro

අනාවරණය වීම වළක්වා ගැනීම සඳහා, අපට අවශ්‍ය මුහුණු තෝරාගත හැකි හොඳ තත්ත්වයේ සමූහ ඡායාරූප අපි සෙව්වෙමු. කෙසේ වෙතත්, විභව හැකර්වරයෙකුට ප්‍රතිලෝම රූප සෙවීම භාවිතා කර අපගේ "සේවකයින්" ජීවත් වන්නේ ඡායාරූප බැංකු වල පමණක් බව සොයා ගත හැකි බැවින්, අපි පසුව මෙම විකල්පය අත්හැරියෙමු. අවසානයේදී, අපි ස්නායු ජාල භාවිතයෙන් නිර්මාණය කරන ලද නොපවතින පුද්ගලයින්ගේ ඡායාරූප භාවිතා කළෙමු.

වෙබ් අඩවියේ ප්‍රකාශයට පත් කරන ලද සේවක පැතිකඩවල ඔවුන්ගේ තාක්ෂණික කුසලතා පිළිබඳ වැදගත් තොරතුරු අඩංගු වූ නමුත්, අපි නිශ්චිත පාසල් හෝ නගර හඳුනාගැනීමෙන් වැළකී සිටියෙමු.
තැපැල් පෙට්ටි නිර්මාණය කිරීම සඳහා, අපි සත්කාරක සපයන්නාගේ සේවාදායකයක් භාවිතා කළ අතර, පසුව එක්සත් ජනපදයේ දුරකථන අංක කිහිපයක් කුලියට ගෙන ඒවා හඬ මෙනුවක් සහ පිළිතුරු සපයන යන්ත්‍රයක් සමඟ අතථ්‍ය PBX බවට ඒකාබද්ධ කළෙමු.

Honeypot යටිතල පහසුකම්

නිරාවරණය වළක්වා ගැනීම සඳහා, අපි සැබෑ කාර්මික දෘඩාංග, භෞතික පරිගණක සහ ආරක්ෂිත අථත්‍ය යන්ත්‍රවල එකතුවක් භාවිතා කිරීමට තීරණය කළෙමු. ඉදිරිය දෙස බලන විට, අපි කියමු, අපි අපගේ උත්සාහයේ ප්‍රති result ලය Shodan සෙවුම් යන්ත්‍රය භාවිතා කර පරීක්‍ෂා කළ අතර, එය හනිපොට් සැබෑ කාර්මික පද්ධතියක් ලෙස පෙනෙන බව පෙන්නුම් කළේය.

ෂෝඩන් භාවිතයෙන් පැණි බඳුනක් ස්කෑන් කිරීමේ ප්‍රතිඵලය. මූලාශ්රය: Trend Micro

අපි අපේ උගුල සඳහා දෘඩාංග ලෙස PLC හතරක් භාවිතා කළෙමු:

• Siemens S7-1200,
• AllenBradley MicroLogix 1100 දෙකක්,
• ඔම්රොන් CP1L.

මෙම පීඑල්සී ගෝලීය පාලන පද්ධති වෙළඳපොලේ ජනප්‍රියත්වය සඳහා තෝරා ගන්නා ලදී. තවද මෙම සෑම පාලකයක්ම තමන්ගේම ප්‍රොටෝකෝලය භාවිතා කරයි, එමඟින් PLC වලින් කුමන ප්‍රහාරයකට නිතර ලක්වන්නේද යන්න සහ ඔවුන් ප්‍රතිපත්තිමය වශයෙන් කිසිවෙකු උනන්දු වන්නේද යන්න පරීක්ෂා කිරීමට අපට ඉඩ සලසයි.

අපගේ "කර්මාන්තශාලා" - උගුලේ උපකරණ. මූලාශ්රය: Trend Micro

අපි දෘඪාංග ස්ථාපනය කර අන්තර්ජාලයට සම්බන්ධ කළේ නිකම්ම නොවේ. ඇතුළුව කාර්යයන් ඉටු කිරීම සඳහා අපි එක් එක් පාලකය වැඩසටහන්ගත කළෙමු

• මිශ්ර කිරීම,
• දාහක සහ වාහක පටි පාලනය,
• රොබෝ මැනිපියුලේටරයක් ​​භාවිතයෙන් පැලටිකරණය කිරීම.

නිෂ්පාදන ක්‍රියාවලිය යථාර්ථවාදී කිරීම සඳහා, අපි ප්‍රතිපෝෂණ පරාමිතීන් අහඹු ලෙස වෙනස් කිරීමට, මෝටර ආරම්භ කිරීම සහ නැවැත්වීම අනුකරණය කිරීම සහ දාහක ක්‍රියාත්මක සහ අක්‍රිය කිරීම සඳහා තර්කනය ක්‍රමලේඛනය කළෙමු.

අපේ කර්මාන්ත ශාලාවට අතථ්‍ය පරිගණක තුනක් සහ එක් භෞතික එකක් තිබුණා. කම්හලක්, පැලටිසර් රොබෝවක් පාලනය කිරීමට සහ PLC මෘදුකාංග ඉංජිනේරුවෙකු සඳහා වැඩපොළක් ලෙස අතථ්‍ය පරිගණක භාවිතා කරන ලදී. භෞතික පරිගණකය ගොනු සේවාදායකයක් ලෙස ක්‍රියා කළේය.

PLC වලට එල්ල වන ප්‍රහාර නිරීක්ෂණයට අමතරව, අපගේ උපාංග මත පටවා ඇති වැඩසටහන් වල තත්ත්වය නිරීක්ෂණය කිරීමට අපට අවශ්‍ය විය. මෙය සිදු කිරීම සඳහා, අපි අපගේ අතථ්‍ය ක්‍රියාකාරක සහ ස්ථාපන තත්ත්වයන් වෙනස් කර ඇති ආකාරය ඉක්මනින් තීරණය කිරීමට ඉඩ සලසන අතුරු මුහුණතක් නිර්මාණය කළෙමු. දැනටමත් සැලසුම් කිරීමේ අදියරේදී, පාලක තර්කයේ සෘජු වැඩසටහන්කරණයට වඩා පාලන වැඩසටහනක් භාවිතයෙන් මෙය ක්‍රියාත්මක කිරීම පහසු බව අපි සොයා ගත්තෙමු. අපි මුරපදයක් නොමැතිව VNC හරහා අපගේ Honeypot හි උපාංග කළමනාකරණ අතුරු මුහුණත වෙත ප්‍රවේශය විවෘත කළෙමු.

කාර්මික රොබෝවරු නවීන ස්මාර්ට් නිෂ්පාදනයේ ප්‍රධාන අංගයකි. මේ සම්බන්ධයෙන්, අපගේ උගුල් කම්හලේ උපකරණවලට එය පාලනය කිරීම සඳහා රොබෝවක් සහ ස්වයංක්‍රීය සේවා ස්ථානයක් එකතු කිරීමට අපි තීරණය කළෙමු. "කර්මාන්තශාලාව" වඩාත් යථාර්ථවාදී කිරීම සඳහා, අපි පාලක වැඩපොළේ සැබෑ මෘදුකාංග ස්ථාපනය කළෙමු, රොබෝවරයාගේ තර්කනය චිත්‍රක ලෙස වැඩසටහන් කිරීමට ඉංජිනේරුවන් භාවිතා කරයි. හොඳයි, කාර්මික රොබෝවරු සාමාන්‍යයෙන් හුදකලා අභ්‍යන්තර ජාලයක පිහිටා ඇති බැවින්, VNC හරහා අනාරක්ෂිත ප්‍රවේශය පාලක වැඩපොළට පමණක් තැබීමට අපි තීරණය කළෙමු.

අපගේ රොබෝවරයාගේ ත්‍රිමාණ ආකෘතියක් සහිත RobotStudio පරිසරය. මූලාශ්රය: Trend Micro

අපි ABB Robotics වෙතින් RobotStudio ක්‍රමලේඛන පරිසරය රොබෝ පාලන වැඩපොළක් සහිත අතථ්‍ය යන්ත්‍රයක ස්ථාපනය කළෙමු. RobotStudio වින්‍යාස කිරීමෙන් පසු, අපි එහි ත්‍රිමාණ රූපය තිරය මත දිස්වන පරිදි අපගේ රොබෝවරයා සමඟ සමාකරණ ගොනුවක් විවෘත කළෙමු. එහි ප්‍රතිඵලයක් වශයෙන්, ෂෝඩන් සහ අනෙකුත් සෙවුම් යන්ත්‍ර, අනාරක්ෂිත VNC සේවාදායකයක් හඳුනාගැනීමෙන් පසු, මෙම තිර රූපය අල්ලාගෙන පාලනය කිරීමට විවෘත ප්‍රවේශයක් ඇති කාර්මික රොබෝවරුන් සොයන අයට පෙන්වනු ඇත.

මෙම සවිස්තරාත්මකව අවධානය යොමු කළ යුතු කරුණ වූයේ ප්‍රහාරකයන් සඳහා ආකර්ශනීය සහ යථාර්ථවාදී ඉලක්කයක් නිර්මාණය කිරීම, ඔවුන් එය සොයාගත් පසු, නැවත නැවතත් ඒ වෙතට පැමිණෙනු ඇත.

ඉංජිනේරු සේවා ස්ථානය

PLC තර්කනය ක්‍රමලේඛනය කිරීම සඳහා, අපි යටිතල පහසුකම් සඳහා ඉංජිනේරු පරිගණකයක් එක් කළෙමු. පීඑල්සී ක්‍රමලේඛනය සඳහා කාර්මික මෘදුකාංග එහි ස්ථාපනය කර ඇත:

• Siemens සඳහා TIA ද්වාරය,
• ඇලන්-බ්‍රැඩ්ලි පාලකය සඳහා මයික්‍රොලොජික්ස්,
• Omron සඳහා CX-One.

ඉන්ජිනේරු වැඩබිම ජාලයෙන් පිටත ප්‍රවේශ විය නොහැකි බව අපි තීරණය කළෙමු. ඒ වෙනුවට, අපි රොබෝ පාලන වැඩපොළේ සහ අන්තර්ජාලයෙන් ප්‍රවේශ විය හැකි කර්මාන්තශාලා පාලන වැඩපොළේ පරිපාලක ගිණුම සඳහා එකම මුරපදය සකස් කරමු. මෙම වින්‍යාසය බොහෝ සමාගම්වල බහුලව දක්නට ලැබේ.
අවාසනාවකට මෙන්, අපගේ සියලු උත්සාහයන් නොතකා, එක ප්‍රහාරකයෙක්වත් ඉංජිනේරුවරයාගේ වැඩපොළට ළඟා වූයේ නැත.

ගොනු සේවාදායකය

අපට එය ප්‍රහාරකයින් සඳහා ඇමක් ලෙස සහ ඩිකොයි කම්හලේ අපගේම "වැඩ" උපස්ථ කිරීමේ මාධ්‍යයක් ලෙස අවශ්‍ය විය. මෙය අපට හනිපොට් ජාලයේ හෝඩුවාවක් ඉතිරි නොකර USB උපාංග භාවිතයෙන් අපගේ හනිපොට් සමඟ ලිපිගොනු බෙදා ගැනීමට ඉඩ ලබා දුන්නේය. අපි Windows 7 Pro ගොනු සේවාදායකයේ මෙහෙයුම් පද්ධතිය ලෙස ස්ථාපනය කළෙමු, එහි අපි ඕනෑම කෙනෙකුට කියවිය හැකි සහ ලිවිය හැකි හවුල් ෆෝල්ඩරයක් නිර්මාණය කළෙමු.

මුලදී අපි ගොනු සේවාදායකයේ ෆෝල්ඩර සහ ලේඛනවල ධුරාවලියක් නිර්මාණය කළේ නැත. කෙසේ වෙතත්, ප්‍රහාරකයන් මෙම ෆෝල්ඩරය සක්‍රියව අධ්‍යයනය කරන බව පසුව අපි සොයා ගත්තෙමු, එබැවින් අපි එය විවිධ ගොනු වලින් පිරවීමට තීරණය කළෙමු. මෙය සිදු කිරීම සඳහා, අපි දී ඇති එක් දිගුවක් සමඟ අහඹු ප්‍රමාණයේ ගොනුවක් නිර්මාණය කරන ලද පයිතන් ස්ක්‍රිප්ට් එකක් ලිව්වා, ශබ්ද කෝෂය මත පදනම්ව නමක් සාදනු ලැබේ.

ආකර්ශනීය ගොනු නාම උත්පාදනය සඳහා ස්ක්‍රිප්ට්. මූලාශ්රය: Trend Micro

ස්ක්‍රිප්ට් එක ක්‍රියාත්මක කිරීමෙන් පසු, අපට අවශ්‍ය ප්‍රති result ලය ඉතා රසවත් නම් සහිත ලිපිගොනු වලින් පුරවන ලද ෆෝල්ඩරයක ස්වරූපයෙන් ලැබුණි.

පිටපතේ ප්‍රතිඵලය. මූලාශ්රය: Trend Micro

පරිසරය නිරීක්ෂණය කිරීම

යථාර්ථවාදී සමාගමක් නිර්මාණය කිරීම සඳහා බොහෝ වෙහෙස මහන්සි වී වැඩ කිරීමෙන්, අපගේ "අමුත්තන්" නිරීක්ෂණය කිරීම සඳහා පරිසරය මත අසමත් වීමට අපට නොහැකි විය. ප්‍රහාරකයින්ට තමන් නිරීක්ෂණය කරන බව නොදැන සියලු දත්ත තථ්‍ය කාලය තුළ ලබා ගැනීමට අපට අවශ්‍ය විය.

අපි මෙය ක්‍රියාත්මක කළේ USB සිට Ethernet ඇඩැප්ටර හතරක්, SharkTap Ethernet taps හතරක්, Raspberry Pi 3 සහ විශාල බාහිර ධාවකයක් භාවිතයෙන්. අපගේ ජාල රූප සටහන මේ ආකාරයට දිස් විය:

අධීක්ෂණ උපකරණ සහිත Honeypot ජාල රූප සටහන. මූලාශ්රය: Trend Micro

අභ්‍යන්තර ජාලයෙන් පමණක් ප්‍රවේශ විය හැකි, PLC වෙත සියලුම බාහිර ගමනාගමනය නිරීක්ෂණය කිරීම සඳහා අපි SharkTap තට්ටු තුනක් ස්ථානගත කළෙමු. සිව්වන SharkTap අවදානමට ලක්විය හැකි අතථ්‍ය යන්ත්‍රයක අමුත්තන්ගේ ගමනාගමනය නිරීක්ෂණය කළේය.

SharkTap Ethernet Tap සහ Sierra Wireless AirLink RV50 Router. මූලාශ්රය: Trend Micro

Raspberry Pi දිනපතා රථවාහන අල්ලා ගැනීම සිදු කරන ලදී. අපි බොහෝ විට කාර්මික ව්‍යවසායන්හි භාවිතා කරන Sierra Wireless AirLink RV50 සෙලියුලර් රවුටරයක් ​​භාවිතයෙන් අන්තර්ජාලයට සම්බන්ධ විය.

අවාසනාවන්ත ලෙස, මෙම රවුටරය අපගේ සැලසුම් වලට නොගැලපෙන ප්‍රහාර වරණාත්මකව අවහිර කිරීමට අපට ඉඩ නොදුන් අතර, එබැවින් අපි ජාලයට අවම බලපෑමක් සහිතව අවහිර කිරීම සිදු කිරීම සඳහා විනිවිද පෙනෙන ආකාරයෙන් ජාලයට Cisco ASA 5505 ෆයර්වෝලයක් එක් කළෙමු.

රථවාහන විශ්ලේෂණය

වත්මන් ගැටළු ඉක්මනින් විසඳීම සඳහා Tshark සහ tcpdump සුදුසු වේ, නමුත් අපගේ නඩුවේදී ඔවුන්ගේ හැකියාවන් ප්‍රමාණවත් නොවීය, මන්ද අප සතුව ගිගාබයිට් රථවාහන ගණනාවක් තිබූ බැවින් ඒවා කිහිප දෙනෙකු විසින් විශ්ලේෂණය කරන ලදී. අපි AOL විසින් වැඩි දියුණු කරන ලද විවෘත මූලාශ්‍ර Moloch විශ්ලේෂකය භාවිතා කළෙමු. එය Wireshark සමඟ ක්‍රියාකාරීත්වයෙන් සැසඳිය හැකි නමුත් සහයෝගීතාවය, විස්තර කිරීම සහ පැකේජ ටැග් කිරීම, අපනයනය සහ වෙනත් කාර්යයන් සඳහා වැඩි හැකියාවන් ඇත.

හනිපොට් පරිගණකවල එකතු කරන ලද දත්ත සැකසීමට අපට අවශ්‍ය නොවූ බැවින්, PCAP ඩම්ප් සෑම දිනකම AWS ගබඩාවට අපනයනය කරන ලදී, එතැන් සිට අපි ඒවා දැනටමත් Moloch යන්ත්‍රයට ආනයනය කර ඇත.

තිර පටිගත කිරීම

අපගේ හනිපොට් හි හැකර්වරුන්ගේ ක්‍රියා ලේඛනගත කිරීම සඳහා, අපි දී ඇති කාල සීමාවකදී අථත්‍ය යන්ත්‍රයේ තිරපිටපත් ලබා ගත් ස්ක්‍රිප්ට් එකක් ලියා, එය පෙර තිර රුවක් සමඟ සසඳා, එහි යමක් සිදුවෙමින් තිබේද නැද්ද යන්න තීරණය කළෙමු. ක්‍රියාකාරකම අනාවරණය වූ විට, ස්ක්‍රිප්ටයේ තිර පටිගත කිරීම ඇතුළත් විය. මෙම ප්රවේශය වඩාත් ඵලදායී බවට පත් විය. පද්ධතියේ සිදුවී ඇති වෙනස්කම් මොනවාදැයි තේරුම් ගැනීමට අපි PCAP ඩම්ප් එකකින් VNC ගමනාගමනය විශ්ලේෂණය කිරීමටද උත්සාහ කළෙමු, නමුත් අවසානයේ අප විසින් ක්‍රියාත්මක කරන ලද තිර පටිගත කිරීම සරල සහ වඩාත් දෘශ්‍යමාන විය.

VNC සැසි නිරීක්ෂණය කිරීම

මේ සඳහා අපි Chaosreader සහ VNCLogger භාවිතා කළා. උපයෝගිතා දෙකම PCAP ඩම්ප් එකකින් යතුරු එබීම් උපුටා ගනී, නමුත් VNCLogger Backspace, Enter, Ctrl වැනි යතුරු වඩාත් නිවැරදිව හසුරුවයි.

VNCLogger හි අවාසි දෙකක් ඇත. පළමුවැන්න: එයට යතුරු උකහා ගත හැක්කේ අතුරු මුහුණතේ තදබදයට “සවන් දීමෙන්” පමණි, එබැවින් අපට ඒ සඳහා tcpreplay භාවිතයෙන් VNC සැසියක් අනුකරණය කිරීමට සිදු විය. VNCLogger හි දෙවන අවාසිය Chaosreader සමඟ පොදු වේ: ඒවා දෙකම පසුරු පුවරුවේ අන්තර්ගතය නොපෙන්වයි. මෙය සිදු කිරීම සඳහා මට Wireshark භාවිතා කිරීමට සිදු විය.

අපි හැකර්වරුන් පොළඹවනවා

අපි හනිපොට් හැදුවේ පහර දෙන්න. මෙය සාක්ෂාත් කර ගැනීම සඳහා, විභව ප්‍රහාරකයින්ගේ අවධානය ආකර්ෂණය කර ගැනීම සඳහා අපි තොරතුරු කාන්දුවක් සිදු කළෙමු. හනිපොට් මත පහත වරායන් විවෘත කරන ලදී:

අපගේ ජාලයේ ඇති දැවැන්ත ස්කෑන් රථ තදබදය කාර්ය සාධන ගැටළු ඇති කළ නිසා අපි සජීවීව ගිය පසු RDP වරාය වසා දැමීමට සිදු විය.
VNC පර්යන්ත මුලින්ම මුරපදයක් නොමැතිව බැලීම-පමණක් ආකාරයෙන් ක්‍රියා කළ අතර පසුව අපි "වැරදීමකින්" ඒවා සම්පූර්ණ ප්‍රවේශ මාදිලියට මාරු කළෙමු.

ප්‍රහාරකයන් ආකර්ෂණය කර ගැනීම සඳහා, අපි PasteBin හි පවතින කාර්මික පද්ධතිය පිළිබඳ කාන්දු වූ තොරතුරු සහිත පළ කිරීම් දෙකක් පළ කළෙමු.

ප්‍රහාර ආකර්ෂණය කර ගැනීම සඳහා PasteBin හි පළ කරන ලද එක් පෝස්ට් එකක්. මූලාශ්රය: Trend Micro

පහර දෙනවා

Honeypot මාස හතක් පමණ අන්තර්ජාලය ඔස්සේ ජීවත් විය. පළමු ප්‍රහාරය සිදු වූයේ හනිපොට් අන්තර්ජාලයට ගොස් මාසයකට පසුවය.

ස්කෑනර්

සුප්‍රසිද්ධ සමාගම්වල ස්කෑනර් වලින් විශාල තදබදයක් ඇති විය - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye සහ වෙනත් අය. ඒවායින් බොහොමයක් අපට ඔවුන්ගේ IP ලිපින විශ්ලේෂණයෙන් බැහැර කිරීමට සිදු විය: 610 න් 9452 ක් හෝ සියලුම අද්විතීය IP ලිපින වලින් 6,45% සම්පූර්ණයෙන්ම නීත්‍යානුකූල ස්කෑනර් වලට අයත් විය.

වංචාකරුවන්

අප මුහුණ දී ඇති ලොකුම අවදානමක් වන්නේ අපරාධ අරමුණු සඳහා අපගේ පද්ධතිය භාවිතා කිරීමයි: ග්‍රාහකයෙකුගේ ගිණුමක් හරහා ස්මාර්ට් ෆෝන් මිලදී ගැනීම, තෑගි කාඩ්පත් භාවිතයෙන් ගුවන් සැතපුම් මුදල් ලබා ගැනීම සහ වෙනත් ආකාරයේ වංචාවන්.

පතල් කම්කරුවන්

අපගේ පද්ධතියට පැමිණි පළමු අමුත්තන්ගෙන් එක් අයෙක් පතල් කම්කරුවෙක් විය. ඔහු එයට Monero mining මෘදුකාංගය බාගත කළේය. අඩු ඵලදායිතාව නිසා අපේ විශේෂිත පද්ධතියෙන් ඔහුට විශාල මුදලක් උපයා ගැනීමට නොහැකි වනු ඇත. කෙසේ වෙතත්, අපි එවැනි පද්ධති දුසිම් කිහිපයක හෝ සිය ගණනක උත්සාහයන් ඒකාබද්ධ කළහොත් එය ඉතා හොඳින් සිදු විය හැකිය.

Ransomware

හනිපොට් වැඩ අතරතුර, අපට සැබෑ ransomware වෛරස් දෙවරක් හමු විය. පළමු අවස්ථාවේ දී එය Crysis විය. එහි ක්‍රියාකරුවන් VNC හරහා පද්ධතියට ප්‍රවිෂ්ට වූ නමුත් පසුව TeamViewer ස්ථාපනය කර වැඩිදුර ක්‍රියා සිදු කිරීමට එය භාවිතා කළහ. BTC හි ඩොලර් 10 ක කප්පම් මුදලක් ඉල්ලා කප්පම් පණිවිඩයක් එනතෙක් බලා සිටීමෙන් පසු, අපි අපරාධකරුවන් සමඟ ලිපි හුවමාරු කර ගත් අතර, අප වෙනුවෙන් ගොනුවක් විකේතනය කරන ලෙස ඉල්ලා සිටියෙමු. ඔවුන් ඉල්ලීමට අවනත වූ අතර කප්පම් ඉල්ලීම නැවත නැවතත් කළහ. අපට අවශ්‍ය සියලු තොරතුරු ලැබුණු බැවින් අපි ඩොලර් 6 දහසක් දක්වා සාකච්ඡා කිරීමට සමත් වූ අතර ඉන් පසුව අපි පද්ධතිය අථත්‍ය යන්ත්‍රයකට නැවත උඩුගත කළෙමු.

දෙවන ransomware එක Phobos බවට පත් විය. ඒක ඉන්ස්ටෝල් කරපු හැකර් පැයක කාලයක් හනිපොට් ෆයිල් සිස්ටම් එක බ්‍රවුස් කරලා නෙට්වර්ක් එක ස්කෑන් කරලා අන්තිමට ransomware එක Install කරලා තියෙනවා.
තුන්වන ransomware ප්‍රහාරය ව්‍යාජ එකක් බවට පත් විය. නොදන්නා "හැකර්" haha.bat ගොනුව අපගේ පද්ධතියට බාගත කර ඇති අතර, පසුව ඔහු එය ක්‍රියාත්මක කිරීමට උත්සාහ කරන විට අපි ටික වේලාවක් බලා සිටියෙමු. එක් උත්සාහයක් වූයේ haha.bat යන නම haha.rnsmwr ලෙස නැවත නම් කිරීමයි.

"හැකර්" bat ගොනුවේ දිගුව .rnsmwr ලෙස වෙනස් කිරීමෙන් එහි හානිකර බව වැඩි කරයි. මූලාශ්රය: Trend Micro

කණ්ඩායම් ගොනුව අවසානයේ ක්‍රියාත්මක වීමට පටන් ගත් විට, “හැකර්” එය සංස්කරණය කර, කප්පම් මුදල ඩොලර් 200 සිට ඩොලර් 750 දක්වා වැඩි කළේය. ඊට පස්සේ, ඔහු සියලුම ගොනු "සංකේතනය" කර, ඩෙස්ක්ටොප් එකේ කප්පම් පණිවිඩයක් තබා අතුරුදහන් වී, අපගේ VNC හි මුරපද වෙනස් කළේය.

දින කිහිපයකට පසු, හැකර් නැවත පැමිණි අතර, තමාට මතක් කර ගැනීම සඳහා, අසභ්‍ය වෙබ් අඩවියක් සහිත බොහෝ කවුළු විවෘත කළ කණ්ඩායම් ගොනුවක් දියත් කළේය. පෙනෙන විදිහට, මේ ආකාරයෙන් ඔහු තම ඉල්ලීම කෙරෙහි අවධානය යොමු කිරීමට උත්සාහ කළේය.

ප්රතිඵල

අධ්‍යයනය අතරතුර, අවදානම පිළිබඳ තොරතුරු ප්‍රකාශයට පත් වූ විගස, හනිපොට් අවධානය ආකර්ෂණය වූ අතර, ක්‍රියාකාරකම් දිනෙන් දින වර්ධනය විය. උගුලේ අවධානය දිනා ගැනීම සඳහා, අපගේ ව්‍යාජ සමාගමට බහුවිධ ආරක්ෂක කඩවීම් වලට මුහුණ දීමට සිදු විය. අවාසනාවකට මෙන්, මෙම තත්වය පූර්ණ කාලීන තොරතුරු තාක්ෂණ සහ තොරතුරු ආරක්ෂණ සේවකයින් නොමැති බොහෝ සැබෑ සමාගම් අතර අසාමාන්ය නොවේ.

පොදුවේ ගත් කල, සංවිධාන අවම වරප්‍රසාද මූලධර්මය භාවිතා කළ යුතු අතර, ප්‍රහාරකයින් ආකර්ෂණය කර ගැනීම සඳහා අපි එහි ප්‍රතිවිරුද්ධ දෙය ක්‍රියාත්මක කළෙමු. තවද අපි ප්‍රහාර දෙස වැඩි වේලාවක් බලා සිටි තරමට, ඒවා සම්මත විනිවිද යාමේ පරීක්ෂණ ක්‍රම හා සසඳන විට වඩාත් සංකීර්ණ විය.

තවද වඩාත්ම වැදගත් දෙය නම්, ජාලය සැකසීමේදී ප්රමාණවත් ආරක්ෂක පියවරයන් ක්රියාත්මක කර ඇත්නම් මෙම ප්රහාර සියල්ලම අසාර්ථක වනු ඇත. අපගේ උගුලේ අපි විශේෂයෙන් කළාක් මෙන්, ඔවුන්ගේ උපකරණ සහ කාර්මික යටිතල පහසුකම් සංරචක අන්තර්ජාලයෙන් ප්‍රවේශ විය නොහැකි බවට සංවිධාන සහතික විය යුතුය.

අපි ඉංජිනේරුවෙකුගේ වැඩපොළකට එක ප්‍රහාරයක්වත් වාර්තා කර නොතිබුණද, සියලුම පරිගණකවල එකම ප්‍රාදේශීය පරිපාලක මුරපදය භාවිතා කළද, ආක්‍රමණය වීමේ හැකියාව අවම කිරීම සඳහා මෙම ක්‍රමය වැළැක්විය යුතුය. ඇත්ත වශයෙන්ම, දුර්වල ආරක්ෂාව දිගු කලක් සයිබර් අපරාධකරුවන්ට උනන්දුවක් දක්වන කාර්මික පද්ධතිවලට පහර දීම සඳහා අතිරේක ආරාධනයක් ලෙස සේවය කරයි.

මූලාශ්රය: www.habr.com