Antivírusové spoločnosti, odborníci na informačnú bezpečnosť a jednoducho nadšenci umiestňujú na internet Honeypot systémy, aby „chytili“ nový variant vírusu alebo identifikovali nezvyčajné hackerské taktiky. Honeypoty sú také bežné, že kyberzločinci si vytvorili akúsi imunitu: rýchlo identifikujú, že sú pred pascou a jednoducho ju ignorujú. Aby sme preskúmali taktiku moderných hackerov, vytvorili sme realistický honeypot, ktorý žil na internete sedem mesiacov a priťahoval rôzne útoky. Hovorili sme o tom, ako sa to stalo v našej štúdii “" Niektoré fakty zo štúdie sú v tomto príspevku.
Vývoj medového kotla: kontrolný zoznam
Hlavnou úlohou pri vytváraní našej superpasce bolo zabrániť tomu, aby nás odhalili hackeri, ktorí o ňu prejavili záujem. To si vyžadovalo veľa práce:
- Vytvorte realistickú legendu o spoločnosti vrátane celých mien a fotografií zamestnancov, telefónnych čísel a e-mailov.
- Vymyslieť a implementovať model priemyselnej infraštruktúry, ktorý zodpovedá legende o činnosti našej spoločnosti.
- Rozhodnite sa, ktoré sieťové služby budú prístupné zvonku, ale nenechajte sa uniesť otváraním zraniteľných portov, aby to nevyzeralo ako pasca na prísavky.
- Zorganizujte viditeľnosť úniku informácií o zraniteľnom systéme a distribuujte tieto informácie medzi potenciálnych útočníkov.
- Implementujte diskrétne monitorovanie aktivít hackerov v infraštruktúre honeypotov.
A teraz o všetkom v poriadku.
Vytvorenie legendy
Kyberzločinci sú už zvyknutí stretávať sa s množstvom honeypotov, takže najpokročilejšia časť z nich vykonáva hĺbkové vyšetrovanie každého zraniteľného systému, aby sa uistila, že nejde o pascu. Z rovnakého dôvodu sme sa snažili o to, aby bol honeypot nielen dizajnovo a technicky realistický, ale aby vytváral aj vzhľad skutočnej firmy.
Vžili sme sa do kože hypotetického skvelého hackera a vyvinuli sme verifikačný algoritmus, ktorý by odlíšil skutočný systém od pasce. Zahŕňalo vyhľadávanie firemných IP adries v reputačných systémoch, spätný prieskum histórie IP adries, vyhľadávanie mien a kľúčových slov súvisiacich s firmou, ako aj jej protistranami a mnoho ďalších vecí. V dôsledku toho sa legenda ukázala ako celkom presvedčivá a atraktívna.
Rozhodli sme sa umiestniť továreň na návnady ako malý priemyselný prototypový butik pracujúci pre veľmi veľkých anonymných klientov v segmente armády a letectva. To nás oslobodilo od právnych komplikácií spojených s používaním existujúcej značky.
Ďalej sme museli vymyslieť víziu, poslanie a názov organizácie. Rozhodli sme sa, že naša spoločnosť bude startup s malým počtom zamestnancov, z ktorých každý je zakladateľom. To pridalo na dôveryhodnosti príbehu o špecializovanom charaktere nášho podnikania, ktorý mu umožňuje zvládnuť citlivé projekty pre veľkých a dôležitých klientov. Chceli sme, aby sa naša spoločnosť javila ako slabá z pohľadu kybernetickej bezpečnosti, no zároveň bolo zrejmé, že pracujeme s dôležitými aktívami na cieľových systémoch.
Snímka obrazovky webu MeTech honeypot. Zdroj: Trend Micro
Ako názov spoločnosti sme zvolili slovo MeTech. Stránka bola vytvorená na základe bezplatnej šablóny. Zábery boli prevzaté z fotobánk, pričom boli použité tie najnepopulárnejšie a upravené tak, aby boli menej rozpoznateľné.
Chceli sme, aby spoločnosť vyzerala reálne, preto sme potrebovali doplniť zamestnancov s odbornými zručnosťami, ktoré zodpovedajú profilu činnosti. Vymýšľali sme im mená a osobnosti a následne sme sa snažili vybrať obrázky z fotobánk podľa etnicity.
Snímka obrazovky webu MeTech honeypot. Zdroj: Trend Micro
Aby sme sa vyhli odhaleniu, hľadali sme kvalitné skupinové fotografie, z ktorých sme si mohli vybrať tváre, ktoré sme potrebovali. Potom sme však od tejto možnosti upustili, keďže potenciálny hacker by mohol využiť spätné vyhľadávanie obrázkov a zistiť, že naši „zamestnanci“ žijú iba vo fotobankách. Nakoniec sme použili fotografie neexistujúcich ľudí vytvorené pomocou neurónových sietí.
Profily zamestnancov zverejnené na stránke obsahovali dôležité informácie o ich technických zručnostiach, ale vyhli sme sa identifikácii konkrétnych škôl či miest.
Na vytvorenie poštových schránok sme použili server poskytovateľa hostingu a následne sme si prenajali niekoľko telefónnych čísel v Spojených štátoch a spojili ich do virtuálnej PBX s hlasovým menu a záznamníkom.
Honeypot infraštruktúra
Aby sme sa vyhli odhaleniu, rozhodli sme sa použiť kombináciu skutočného priemyselného hardvéru, fyzických počítačov a bezpečných virtuálnych strojov. Pri pohľade do budúcnosti povieme, že výsledok nášho snaženia sme skontrolovali pomocou vyhľadávača Shodan a ukázalo sa, že honeypot vyzerá ako skutočný priemyselný systém.
Výsledok skenovania honeypotu pomocou Shodan. Zdroj: Trend Micro
Ako hardvér pre našu pascu sme použili štyri PLC:
- Siemens S7-1200,
- dva AllenBradley MicroLogix 1100,
- Omron CP1L.
Tieto PLC boli vybrané pre svoju popularitu na globálnom trhu riadiacich systémov. A každý z týchto radičov používa svoj vlastný protokol, čo nám umožnilo skontrolovať, ktoré z PLC budú častejšie napádané a či by v princípe niekoho zaujímali.
Vybavenie našej „továrenskej“ pasce. Zdroj: Trend Micro
Nenainštalovali sme len hardvér a pripojili ho k internetu. Každý ovládač sme naprogramovali na vykonávanie úloh, vrátane
- miešanie,
- ovládanie horáka a dopravníkového pásu,
- paletizácia pomocou robotického manipulátora.
A aby bol výrobný proces realistický, naprogramovali sme logiku tak, aby náhodne menila parametre spätnej väzby, simulovala štart a zastavenie motorov a zapínanie a vypínanie horákov.
Naša továreň mala tri virtuálne počítače a jeden fyzický. Virtuálne počítače sa používali na riadenie závodu, paletizačného robota a ako pracovná stanica pre softvérového inžiniera PLC. Fyzický počítač fungoval ako súborový server.
Okrem monitorovania útokov na PLC sme chceli sledovať stav programov načítaných na našich zariadeniach. Na tento účel sme vytvorili rozhranie, ktoré nám umožnilo rýchlo určiť, ako boli modifikované stavy našich virtuálnych ovládačov a inštalácií. Už vo fáze plánovania sme zistili, že je oveľa jednoduchšie implementovať to pomocou riadiaceho programu ako priamym programovaním logiky regulátora. Otvorili sme prístup k rozhraniu správy zariadení nášho honeypotu cez VNC bez hesla.
Priemyselné roboty sú kľúčovou súčasťou modernej inteligentnej výroby. V tejto súvislosti sme sa rozhodli doplniť vybavenie našej továrne na pasce o robota a automatizované pracovisko na jeho ovládanie. Aby bola „továreň“ realistickejšia, nainštalovali sme na riadiacu stanicu skutočný softvér, ktorý inžinieri používajú na grafické programovanie logiky robota. No, keďže priemyselné roboty sú zvyčajne umiestnené v izolovanej internej sieti, rozhodli sme sa ponechať nechránený prístup cez VNC len riadiacej pracovnej stanici.
Prostredie RobotStudio s 3D modelom nášho robota. Zdroj: Trend Micro
Programovacie prostredie RobotStudio od ABB Robotics sme nainštalovali na virtuálny stroj s pracoviskom na riadenie robota. Po nakonfigurovaní RobotStudia sme otvorili simulačný súbor s naším robotom, takže jeho 3D obraz bol viditeľný na obrazovke. Výsledkom je, že Shodan a ďalšie vyhľadávacie nástroje po detekcii nezabezpečeného servera VNC uchopí tento obrázok obrazovky a ukážu ho tým, ktorí hľadajú priemyselné roboty s otvoreným prístupom k ovládaniu.
Zmyslom tejto pozornosti venovanej detailom bolo vytvoriť atraktívny a realistický cieľ pre útočníkov, ktorí sa k nemu, keď ho nájdu, znova a znova vracajú.
Inžinierske pracovisko
Na programovanie logiky PLC sme do infraštruktúry pridali inžiniersky počítač. Bol na ňom nainštalovaný priemyselný softvér na programovanie PLC:
- Portál TIA pre Siemens,
- MicroLogix pre radič Allen-Bradley,
- CX-One pre Omron.
Rozhodli sme sa, že inžinierske pracovisko nebude prístupné mimo siete. Namiesto toho sme pre účet správcu nastavili rovnaké heslo ako na pracovnej stanici s riadením robota a na pracovnej stanici s riadením továrne prístupnej z internetu. Táto konfigurácia je v mnohých firmách celkom bežná.
Žiaľ, napriek všetkému nášmu úsiliu sa k inžinierovej pracovnej stanici nedostal ani jeden útočník.
Súborový server
Potrebovali sme to ako návnadu pre útočníkov a ako prostriedok na zálohovanie našej vlastnej „práce“ v továrni na návnady. To nám umožnilo zdieľať súbory s naším honeypotom pomocou USB zariadení bez zanechania stopy v sieti honeypotu. Nainštalovali sme Windows 7 Pro ako OS pre súborový server, v ktorom sme vytvorili zdieľaný priečinok, ktorý môže čítať a zapisovať ktokoľvek.
Najprv sme na súborovom serveri nevytvárali žiadnu hierarchiu priečinkov a dokumentov. Neskôr sme však zistili, že útočníci aktívne študovali tento priečinok, a tak sme sa ho rozhodli naplniť rôznymi súbormi. Aby sme to urobili, napísali sme python skript, ktorý vytvoril súbor náhodnej veľkosti s jednou z daných prípon a vytvoril názov na základe slovníka.
Skript na generovanie atraktívnych názvov súborov. Zdroj: Trend Micro
Po spustení skriptu sme dostali požadovaný výsledok v podobe priečinka naplneného súbormi s veľmi zaujímavými názvami.
Výsledok scenára. Zdroj: Trend Micro
Monitorovacie prostredie
Keď sme vynaložili toľko úsilia na vytvorenie realistickej spoločnosti, jednoducho sme si nemohli dovoliť zlyhať v prostredí monitorovania našich „návštevníkov“. Potrebovali sme získať všetky údaje v reálnom čase bez toho, aby si útočníci uvedomili, že sú sledovaní.
Implementovali sme to pomocou štyroch adaptérov USB na Ethernet, štyroch ethernetových kohútikov SharkTap, Raspberry Pi 3 a veľkého externého disku. Naša sieťová schéma vyzerala takto:
Schéma siete Honeypot s monitorovacím zariadením. Zdroj: Trend Micro
Umiestnili sme tri odbočky SharkTap tak, aby sme monitorovali všetku externú prevádzku PLC, ktorá je prístupná iba z internej siete. Štvrtý SharkTap monitoroval prevádzku hostí zraniteľného virtuálneho počítača.
SharkTap Ethernet Tap a smerovač Sierra Wireless AirLink RV50. Zdroj: Trend Micro
Raspberry Pi vykonávalo denné zachytávanie návštevnosti. K internetu sme sa pripojili pomocou mobilného smerovača Sierra Wireless AirLink RV50, ktorý sa často používa v priemyselných podnikoch.
Žiaľ, tento router nám neumožnil selektívne blokovať útoky, ktoré nezodpovedali našim plánom, preto sme do siete pridali firewall Cisco ASA 5505 v transparentnom režime, aby sme blokovali s minimálnym dopadom na sieť.
Analýza návštevnosti
Tshark a tcpdump sú vhodné na rýchle riešenie aktuálnych problémov, ale v našom prípade ich možnosti nestačili, pretože sme mali veľa gigabajtov prevádzky, ktorú analyzovalo niekoľko ľudí. Použili sme open-source analyzátor Moloch vyvinutý spoločnosťou AOL. Funkčnosťou je porovnateľný s Wireshark, ale má viac možností pre spoluprácu, popisovanie a označovanie balíkov, exportovanie a ďalšie úlohy.
Keďže sme nechceli spracovávať zozbierané dáta na honeypot počítačoch, PCAP skládky sa exportovali každý deň do AWS úložiska, odkiaľ sme ich už importovali na Moloch stroj.
Záznam obrazovky
Aby sme zdokumentovali počínanie hackerov v našom honeypotu, napísali sme skript, ktorý v danom intervale snímal screenshoty virtuálneho stroja a porovnaním s predchádzajúcim screenshotom určil, či sa tam niečo deje alebo nie. Keď bola zistená aktivita, skript obsahoval záznam obrazovky. Tento prístup sa ukázal ako najefektívnejší. Pokúsili sme sa tiež analyzovať prevádzku VNC z výpisu PCAP, aby sme pochopili, aké zmeny nastali v systéme, ale nakoniec sa ukázalo, že záznam obrazovky, ktorý sme implementovali, bol jednoduchší a vizuálnejší.
Monitorovanie relácií VNC
Na tento účel sme použili Chaosreader a VNCLogger. Oba nástroje extrahujú stlačenia klávesov z výpisu PCAP, ale VNCLogger spracováva klávesy ako Backspace, Enter, Ctrl správnejšie.
VNCLogger má dve nevýhody. Po prvé: dokáže extrahovať kľúče iba „počúvaním“ prevádzky na rozhraní, takže sme museli simulovať reláciu VNC pomocou tcpreplay. Druhá nevýhoda VNCLogger je spoločná s Chaosreaderom: obe nezobrazujú obsah schránky. Na to som musel použiť Wireshark.
Lákame hackerov
Vytvorili sme honeypot na útok. Aby sme to dosiahli, zinscenovali sme únik informácií, aby sme upútali pozornosť potenciálnych útočníkov. Na Honeypot boli otvorené tieto porty:
Port RDP musel byť zatvorený krátko po spustení, pretože obrovské množstvo skenovania v našej sieti spôsobovalo problémy s výkonom.
Terminály VNC najskôr fungovali v režime len na prezeranie bez hesla a potom sme ich „omylom“ prepli do režimu plného prístupu.
Aby sme prilákali útočníkov, zverejnili sme dva príspevky s uniknutými informáciami o dostupnom priemyselnom systéme na PasteBin.
Jeden z príspevkov uverejnených na PasteBin na prilákanie útokov. Zdroj: Trend Micro
Útoky
Honeypot žil online asi sedem mesiacov. Prvý útok nastal mesiac po tom, čo bol honeypot online.
skenery
Veľká návštevnosť bola zo skenerov známych spoločností – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye a ďalších. Bolo ich toľko, že sme ich IP adresy museli z analýzy vylúčiť: 610 z 9452 alebo 6,45 % všetkých unikátnych IP adries patrilo úplne legitímnym skenerom.
podvodníci
Jedným z najväčších rizík, ktorým čelíme, je používanie nášho systému na kriminálne účely: nákup smartfónov cez účet predplatiteľa, vyplácanie míľ leteckých spoločností pomocou darčekových kariet a iné druhy podvodov.
Baníkov
Jeden z prvých návštevníkov nášho systému sa ukázal byť baníkom. Stiahol si doň ťažobný softvér Monero. Na našom konkrétnom systéme by nebol schopný zarobiť veľa peňazí kvôli nízkej produktivite. Ak však spojíme úsilie niekoľkých desiatok či dokonca stoviek takýchto systémov, mohlo by to dopadnúť celkom dobre.
Ransomvér
Počas práce honeypotu sme sa so skutočnými ransomware vírusmi stretli dvakrát. V prvom prípade to bola Crysis. Jeho operátori sa do systému prihlásili cez VNC, no následne nainštalovali TeamViewer a použili ho na vykonávanie ďalších akcií. Po čakaní na vydieračskú správu požadujúcu výkupné 10 6 $ v BTC sme vstúpili do korešpondencie so zločincami a požiadali sme ich, aby nám dešifrovali jeden zo súborov. Žiadosti vyhoveli a zopakovali požiadavku na výkupné. Podarilo sa nám vyjednať až XNUMX tisíc dolárov, potom sme systém jednoducho znova nahrali na virtuálny stroj, keďže sme dostali všetky potrebné informácie.
Druhý ransomvér sa ukázal byť Phobos. Hacker, ktorý ho nainštaloval, strávil hodinu prehliadaním súborového systému honeypotu a skenovaním siete a nakoniec ransomvér nainštaloval.
Tretí ransomvérový útok sa ukázal ako falošný. Neznámy „hacker“ stiahol do nášho systému súbor haha.bat, po čom sme chvíľu sledovali, ako sa ho pokúšal spustiť. Jedným z pokusov bolo premenovanie haha.bat na haha.rnsmwr.
„Hacker“ zvyšuje škodlivosť súboru bat zmenou jeho prípony na .rnsmwr. Zdroj: Trend Micro
Keď sa dávkový súbor konečne začal spúšťať, „hacker“ ho upravil a zvýšil výkupné z 200 dolárov na 750 dolárov. Potom „zašifroval“ všetky súbory, nechal na ploche vydieračskú správu a zmizol, pričom zmenil heslá na našom VNC.
O pár dní neskôr sa hacker vrátil a na pripomenutie spustil dávkový súbor, ktorý otvoril veľa okien s porno stránkou. Zrejme sa týmto spôsobom snažil upozorniť na svoju požiadavku.
Výsledky
Počas štúdie sa ukázalo, že hneď ako boli zverejnené informácie o zraniteľnosti, honeypot vzbudil pozornosť, pričom aktivita rástla zo dňa na deň. Aby si pasca získala pozornosť, naša fiktívna spoločnosť musela trpieť viacerými narušeniami bezpečnosti. Žiaľ, táto situácia nie je ani zďaleka neobvyklá medzi mnohými skutočnými spoločnosťami, ktoré nemajú zamestnancov IT a informačnej bezpečnosti na plný úväzok.
Vo všeobecnosti by organizácie mali používať princíp najmenších privilégií, zatiaľ čo my sme implementovali jeho presný opak, aby sme prilákali útočníkov. A čím dlhšie sme útoky sledovali, tým boli sofistikovanejšie v porovnaní so štandardnými metódami penetračného testovania.
A čo je najdôležitejšie, všetky tieto útoky by zlyhali, ak by sa pri nastavovaní siete implementovali adekvátne bezpečnostné opatrenia. Organizácie musia zabezpečiť, aby ich vybavenie a komponenty priemyselnej infraštruktúry neboli prístupné z internetu, ako sme to konkrétne urobili v našej pasci.
Aj keď sme nezaznamenali jediný útok na pracovnú stanicu inžiniera, napriek tomu, že sme na všetkých počítačoch používali rovnaké heslo miestneho správcu, tejto praktike sa treba vyhnúť, aby sa minimalizovala možnosť prienikov. Slabá bezpečnosť totiž slúži ako dodatočná výzva na útoky na priemyselné systémy, ktoré už dlho zaujímajú kyberzločincov.
Zdroj: hab.com