Kompanitë antivirus, ekspertë të sigurisë së informacionit dhe thjesht entuziastë vendosin sisteme honeypot në internet për të "kapur" një variant të ri të virusit ose për të identifikuar taktika të pazakonta hakerash. Honeypots janë aq të zakonshme sa kriminelët kibernetikë kanë zhvilluar një lloj imuniteti: ata shpejt identifikojnë se janë përballë një kurthi dhe thjesht e injorojnë atë. Për të eksploruar taktikat e hakerëve modernë, ne krijuam një honeypot realist që jetoi në internet për shtatë muaj, duke tërhequr një sërë sulmesh. Ne folëm se si ndodhi kjo në studimin tonë "" Disa fakte nga studimi janë në këtë postim.
Zhvillimi i Honeypot: listë kontrolli
Detyra kryesore në krijimin e superkurthit tonë ishte të na pengonte të ekspozoheshim nga hakerat që treguan interes për të. Kjo kërkonte shumë punë:
- Krijoni një legjendë realiste për kompaninë, duke përfshirë emrat e plotë dhe fotot e punonjësve, numrat e telefonit dhe emailet.
- Për të krijuar dhe zbatuar një model të infrastrukturës industriale që korrespondon me legjendën për aktivitetet e kompanisë sonë.
- Vendosni se cilat shërbime të rrjetit do të jenë të aksesueshme nga jashtë, por mos u hutoni me hapjen e porteve të cenueshme, në mënyrë që të mos duket si një kurth për thithësit.
- Organizoni dukshmërinë e rrjedhjeve të informacionit në lidhje me një sistem të cenueshëm dhe shpërndani këtë informacion midis sulmuesve të mundshëm.
- Zbatoni monitorim diskret të aktiviteteve të hakerëve në infrastrukturën honeypot.
Dhe tani gjërat e para së pari.
Krijimi i një legjende
Kriminelët kibernetikë tashmë janë mësuar të ndeshen me shumë honeypot, kështu që pjesa më e avancuar e tyre kryen një hetim të thellë të secilit sistem të cenueshëm për t'u siguruar që nuk është një kurth. Për të njëjtën arsye, ne kërkuam të siguronim që honeypot të ishte jo vetëm realiste për sa i përket dizajnit dhe aspekteve teknike, por edhe për të krijuar pamjen e një kompanie të vërtetë.
Duke e vënë veten në vendin e një hakeri hipotetik të lezetshëm, ne zhvilluam një algoritëm verifikimi që do të dallonte një sistem real nga një kurth. Ai përfshinte kërkimin e adresave IP të kompanisë në sistemet e reputacionit, kërkimin e kundërt në historinë e adresave IP, kërkimin e emrave dhe fjalëve kyçe të lidhura me kompaninë, si dhe palët e tjera të saj, dhe shumë gjëra të tjera. Si rezultat, legjenda doli të ishte mjaft bindëse dhe tërheqëse.
Ne vendosëm ta pozicionojmë fabrikën e mashtrimit si një butik të vogël prototipimi industrial që punon për klientë shumë të mëdhenj anonimë në segmentin ushtarak dhe të aviacionit. Kjo na çliroi nga komplikimet ligjore që lidhen me përdorimin e një marke ekzistuese.
Më pas na duhej të dilnim me një vizion, mision dhe emër për organizatën. Ne vendosëm që kompania jonë të jetë një startup me një numër të vogël punonjësish, secili prej të cilëve është themelues. Kjo i shtoi besueshmëri historisë së natyrës së specializuar të biznesit tonë, që e lejon atë të trajtojë projekte të ndjeshme për klientë të mëdhenj dhe të rëndësishëm. Ne donim që kompania jonë të shfaqej e dobët nga perspektiva e sigurisë kibernetike, por në të njëjtën kohë ishte e qartë se ne po punonim me asete të rëndësishme në sistemet e synuara.
Pamja e ekranit të faqes së internetit të honeypot MeTech. Burimi: Trend Micro
Ne zgjodhëm fjalën MeTech si emër të kompanisë. Sajti u krijua bazuar në një shabllon falas. Imazhet janë marrë nga bankat e fotografive, duke përdorur ato më të papëlqyeshmet dhe duke i modifikuar për t'i bërë ato më pak të dallueshme.
Ne donim që kompania të dukej reale, ndaj na duhej të shtonim punonjës me aftësi profesionale që përputhen me profilin e aktivitetit. Ne dolëm me emra dhe personalitete për ta dhe më pas u përpoqëm të zgjidhnim imazhe nga bankat e fotografive sipas përkatësisë etnike.
Pamja e ekranit të faqes së internetit të honeypot MeTech. Burimi: Trend Micro
Për të mos u zbuluar, ne kërkuam foto grupore me cilësi të mirë nga të cilat mund të zgjidhnim fytyrat që na duheshin. Sidoqoftë, ne më pas e braktisëm këtë opsion, pasi një haker i mundshëm mund të përdorte kërkimin e kundërt të imazheve dhe të zbulonte se "punonjësit" tanë jetojnë vetëm në banka fotografike. Në fund, ne përdorëm fotografi të njerëzve joekzistues të krijuar duke përdorur rrjete nervore.
Profilet e punonjësve të publikuar në faqe përmbanin informacione të rëndësishme për aftësitë e tyre teknike, por ne shmangëm identifikimin e shkollave ose qyteteve specifike.
Për të krijuar kuti postare, ne përdorëm një server të ofruesit të pritjes, dhe më pas morëm me qira disa numra telefoni në Shtetet e Bashkuara dhe i kombinuam në një PBX virtual me një meny zanore dhe një makinë telefonike.
Infrastruktura Honeypot
Për të shmangur ekspozimin, ne vendosëm të përdorim një kombinim të pajisjeve të vërteta industriale, kompjuterëve fizikë dhe makinave virtuale të sigurta. Duke parë përpara, do të themi se kontrolluam rezultatin e përpjekjeve tona duke përdorur motorin e kërkimit Shodan dhe tregoi se honeypot duket si një sistem i vërtetë industrial.
Rezultati i skanimit të një honeypot duke përdorur Shodan. Burimi: Trend Micro
Ne përdorëm katër PLC si pajisje për kurthin tonë:
- Siemens S7-1200,
- dy AllenBradley MicroLogix 1100,
- Omron CP1L.
Këto PLC u zgjodhën për popullaritetin e tyre në tregun global të sistemit të kontrollit. Dhe secili nga këta kontrollues përdor protokollin e vet, i cili na lejoi të kontrollonim se cili nga PLC-të do të sulmohej më shpesh dhe nëse ata do të interesonin dikë në parim.
Pajisjet e “fabrikës”-kurth tonë. Burimi: Trend Micro
Ne nuk instaluam vetëm harduerë dhe e lidhëm atë me internetin. Ne programuam çdo kontrollues për të kryer detyra, duke përfshirë
- përzierjen,
- kontrolli i djegësit dhe rripit transportues,
- paletizimi duke përdorur një manipulues robotik.
Dhe për ta bërë procesin e prodhimit realist, ne programuam logjikën për të ndryshuar në mënyrë të rastësishme parametrat e reagimit, simulon fillimin dhe ndalimin e motorëve dhe ndezjen dhe fiken e ndezësve.
Fabrika jonë kishte tre kompjuterë virtualë dhe një fizik. Kompjuterët virtualë u përdorën për të kontrolluar një fabrikë, një robot paletizues dhe si një stacion pune për një inxhinier softueri PLC. Kompjuteri fizik funksiononte si server skedari.
Përveç monitorimit të sulmeve ndaj PLC-ve, ne donim të monitoronim statusin e programeve të ngarkuara në pajisjet tona. Për ta bërë këtë, ne krijuam një ndërfaqe që na lejoi të përcaktojmë shpejt se si janë modifikuar gjendjet e aktivizuesve tanë virtualë dhe cilësimet. Tashmë në fazën e planifikimit, ne zbuluam se është shumë më e lehtë për ta zbatuar këtë duke përdorur një program kontrolli sesa përmes programimit të drejtpërdrejtë të logjikës së kontrolluesit. Ne hapëm aksesin në ndërfaqen e menaxhimit të pajisjes së honeypot-it tonë përmes VNC pa një fjalëkalim.
Robotët industrialë janë një komponent kyç i prodhimit modern inteligjent. Në këtë drejtim, vendosëm të shtojmë një robot dhe një vend pune të automatizuar për ta kontrolluar atë në pajisjet e fabrikës sonë të kurtheve. Për ta bërë "fabrikën" më realiste, ne instaluam softuer të vërtetë në stacionin e punës të kontrollit, të cilin inxhinierët e përdorin për të programuar grafikisht logjikën e robotit. Epo, meqenëse robotët industrialë zakonisht ndodhen në një rrjet të brendshëm të izoluar, ne vendosëm të lëmë akses të pambrojtur përmes VNC vetëm në stacionin e punës të kontrollit.
Mjedisi RobotStudio me një model 3D të robotit tonë. Burimi: Trend Micro
Ne instaluam mjedisin e programimit RobotStudio nga ABB Robotics në një makinë virtuale me një stacion pune kontrolli robotik. Pasi konfiguruam RobotStudio, hapëm një skedar simulimi me robotin tonë në të, në mënyrë që imazhi i tij 3D të ishte i dukshëm në ekran. Si rezultat, Shodan dhe motorë të tjerë kërkimi, me zbulimin e një serveri të pasigurt VNC, do ta kapin këtë imazh të ekranit dhe do t'ua shfaqin atyre që kërkojnë robotë industrialë me akses të hapur për kontroll.
Qëllimi i kësaj vëmendjeje ndaj detajeve ishte krijimi i një objektivi tërheqës dhe realist për sulmuesit, të cilët, sapo ta gjenin, do t'i ktheheshin përsëri dhe përsëri.
Stacioni i punës së inxhinierit
Për të programuar logjikën PLC, ne shtuam një kompjuter inxhinierik në infrastrukturë. Në të u instalua softueri industrial për programimin PLC:
- Portali TIA për Siemens,
- MicroLogix për kontrolluesin Allen-Bradley,
- CX-One për Omron.
Ne vendosëm që hapësira e punës inxhinierike të mos ishte e aksesueshme jashtë rrjetit. Në vend të kësaj, ne vendosëm të njëjtin fjalëkalim për llogarinë e administratorit si në stacionin e punës të kontrollit të robotit dhe stacionin e punës të kontrollit të fabrikës, i aksesueshëm nga interneti. Ky konfigurim është mjaft i zakonshëm në shumë kompani.
Fatkeqësisht, me gjithë përpjekjet tona, asnjë sulmues i vetëm nuk arriti në stacionin e punës së inxhinierit.
Serveri i skedarëve
Na duhej si një karrem për sulmuesit dhe si një mjet për të mbështetur "punën" tonë në fabrikën e mashtrimit. Kjo na lejoi të ndajmë skedarë me honeypot-in tonë duke përdorur pajisje USB pa lënë gjurmë në rrjetin e honeypot. Ne instaluam Windows 7 Pro si OS për serverin e skedarëve, në të cilin krijuam një dosje të përbashkët që mund të lexohet dhe shkruhet nga kushdo.
Në fillim nuk krijuam asnjë hierarki dosjesh dhe dokumentesh në serverin e skedarëve. Megjithatë, më vonë zbuluam se sulmuesit po studionin në mënyrë aktive këtë dosje, kështu që vendosëm ta mbushnim me skedarë të ndryshëm. Për ta bërë këtë, ne shkruam një skrip python që krijoi një skedar me madhësi të rastësishme me një nga shtesat e dhëna, duke formuar një emër bazuar në fjalor.
Skript për gjenerimin e emrave tërheqës të skedarëve. Burimi: Trend Micro
Pasi ekzekutuam skriptin, morëm rezultatin e dëshiruar në formën e një dosjeje të mbushur me skedarë me emra shumë interesantë.
Rezultati i skenarit. Burimi: Trend Micro
Mjedisi monitorues
Pasi kemi shpenzuar kaq shumë përpjekje për të krijuar një kompani realiste, ne thjesht nuk mund të përballonim të dështonim në mjedisin për monitorimin e "vizitorëve" tanë. Na duhej të merrnim të gjitha të dhënat në kohë reale pa e kuptuar sulmuesit se po vëzhgoheshin.
Ne e zbatuam këtë duke përdorur katër përshtatës USB në Ethernet, katër trokitje ethernet SharkTap, një Raspberry Pi 3 dhe një disk të madh të jashtëm. Diagrami ynë i rrjetit dukej kështu:
Diagrami i rrjetit Honeypot me pajisje monitorimi. Burimi: Trend Micro
Ne pozicionuam tre trokitje SharkTap në mënyrë që të monitorojmë të gjithë trafikun e jashtëm në PLC, të aksesueshëm vetëm nga rrjeti i brendshëm. SharkTap-i i katërt monitoroi trafikun e mysafirëve të një makinerie virtuale të cenueshme.
SharkTap Ethernet Tap dhe Sierra Wireless AirLink RV50 Router. Burimi: Trend Micro
Raspberry Pi kryente kapjen e përditshme të trafikut. Ne u lidhëm me internetin duke përdorur një ruter celular Sierra Wireless AirLink RV50, i përdorur shpesh në ndërmarrjet industriale.
Fatkeqësisht, ky ruter nuk na lejoi të bllokonim në mënyrë selektive sulmet që nuk përputheshin me planet tona, kështu që shtuam një mur zjarri Cisco ASA 5505 në rrjet në modalitetin transparent për të kryer bllokimin me ndikim minimal në rrjet.
Analiza e trafikut
Tshark dhe tcpdump janë të përshtatshme për zgjidhjen e shpejtë të çështjeve aktuale, por në rastin tonë aftësitë e tyre nuk ishin të mjaftueshme, pasi kishim shumë gigabajt trafik, të cilat u analizuan nga disa njerëz. Ne përdorëm analizuesin Moloch me burim të hapur të zhvilluar nga AOL. Është i krahasueshëm në funksionalitet me Wireshark, por ka më shumë aftësi për bashkëpunim, përshkrim dhe etiketim të paketave, eksportim dhe detyra të tjera.
Meqenëse nuk donim të përpunonim të dhënat e mbledhura në kompjuterët honeypot, deponitë PCAP eksportoheshin çdo ditë në ruajtje AWS, nga ku i importonim tashmë në makinën Moloch.
Regjistrimi i ekranit
Për të dokumentuar veprimet e hakerëve në honeypot-in tonë, ne shkruam një skenar që merrte pamje nga ekrani i makinës virtuale në një interval të caktuar dhe, duke e krahasuar atë me pamjen e mëparshme të ekranit, përcaktoi nëse diçka po ndodhte atje apo jo. Kur u zbulua aktiviteti, skripti përfshinte regjistrimin e ekranit. Kjo qasje doli të ishte më efektive. Ne u përpoqëm gjithashtu të analizonim trafikun VNC nga një deponi PCAP për të kuptuar se çfarë ndryshimesh kishin ndodhur në sistem, por në fund regjistrimi i ekranit që zbatuam doli të ishte më i thjeshtë dhe më vizual.
Monitorimi i seancave të VNC
Për këtë kemi përdorur Chaosreader dhe VNCLogger. Të dy shërbimet nxjerrin tastierë nga një vend grumbullimi PCAP, por VNCLogger trajton më saktë çelësat si Backspace, Enter, Ctrl.
VNCLogger ka dy disavantazhe. Së pari: ai mund të nxjerrë çelësat vetëm duke "dëgjuar" trafikun në ndërfaqe, kështu që na duhej të simulonim një seancë VNC për të duke përdorur tcpreplay. Disavantazhi i dytë i VNCLogger është i zakonshëm me Chaosreader: të dy nuk tregojnë përmbajtjen e clipboard. Për ta bërë këtë, më duhej të përdorja Wireshark.
Ne joshim hakerat
Ne krijuam honeypot për t'u sulmuar. Për ta arritur këtë, ne organizuam një rrjedhje informacioni për të tërhequr vëmendjen e sulmuesve të mundshëm. Portet e mëposhtme u hapën në honeypot:
Porti RDP duhej të mbyllej menjëherë pasi ne u shfaqëm drejtpërdrejt sepse sasia masive e trafikut të skanimit në rrjetin tonë po shkaktonte probleme të performancës.
Terminalet VNC fillimisht funksionuan në modalitetin "vetëm shikim" pa një fjalëkalim, dhe më pas "gabimisht" i kaluam në modalitetin e aksesit të plotë.
Për të tërhequr sulmuesit, ne postuam dy postime me informacione të rrjedhura në lidhje me sistemin industrial të disponueshëm në PasteBin.
Një nga postimet e postuara në PasteBin për të tërhequr sulme. Burimi: Trend Micro
Sulmet
Honeypot jetoi në internet për rreth shtatë muaj. Sulmi i parë ndodhi një muaj pasi honeypot hyri në internet.
skanera
Kishte shumë trafik nga skanerët e kompanive të njohura - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye dhe të tjerë. Kishte aq shumë prej tyre saqë na u desh të përjashtonim adresat e tyre IP nga analiza: 610 nga 9452 ose 6,45% e të gjitha adresave IP unike i përkisnin skanerëve plotësisht të ligjshëm.
të përhershme
Një nga rreziqet më të mëdha me të cilat jemi përballur është përdorimi i sistemit tonë për qëllime kriminale: për të blerë telefona inteligjentë përmes llogarisë së një pajtimtari, për të shlyer milje të linjave ajrore duke përdorur kartat e dhuratave dhe lloje të tjera mashtrimi.
Minatorët
Një nga vizitorët e parë në sistemin tonë doli të ishte një minator. Ai shkarkoi softuerin e minierave Monero në të. Ai nuk do të kishte qenë në gjendje të fitonte shumë para në sistemin tonë të veçantë për shkak të produktivitetit të ulët. Sidoqoftë, nëse kombinojmë përpjekjet e disa dhjetëra apo edhe qindra sistemeve të tilla, mund të dalë mjaft mirë.
Ransomware
Gjatë punës së honeypot, ne hasëm dy herë viruse të vërtetë ransomware. Në rastin e parë ishte Crysis. Operatorët e tij hynë në sistem nëpërmjet VNC, por më pas instaluan TeamViewer dhe e përdorën atë për të kryer veprime të mëtejshme. Pasi pritëm një mesazh zhvatjeje që kërkonte një shpërblim prej 10 dollarë në BTC, ne hymë në korrespondencë me kriminelët, duke u kërkuar atyre të deshifronin një nga dosjet për ne. Ata e plotësuan kërkesën dhe përsëritën kërkesën për shpërblim. Arritëm të negocionim deri në 6 mijë dollarë, pas së cilës thjesht e ngarkuam përsëri sistemin në një makinë virtuale, pasi morëm të gjithë informacionin e nevojshëm.
ransomware i dytë doli të ishte Phobos. Hakeri që e instaloi kaloi një orë duke shfletuar sistemin e skedarëve honeypot dhe duke skanuar rrjetin dhe më në fund instaloi ransomware.
Sulmi i tretë i ransomware doli të ishte i rremë. Një "haker" i panjohur shkarkoi skedarin haha.bat në sistemin tonë, pas së cilës ne shikuam për një kohë teksa ai përpiqej ta vinte në punë. Një nga përpjekjet ishte të riemërtohej haha.bat në haha.rnsmwr.
"Haker" rrit dëmshmërinë e skedarit bat duke ndryshuar shtrirjen e tij në .rnsmwr. Burimi: Trend Micro
Kur skedari i grupit më në fund filloi të ekzekutohej, "hakeri" e redaktoi atë, duke rritur shpërblimin nga 200 dollarë në 750 dollarë. Pas kësaj, ai "kriptoi" të gjithë skedarët, la një mesazh zhvatjeje në desktop dhe u zhduk, duke ndryshuar fjalëkalimet në VNC tonë.
Disa ditë më vonë, hakeri u kthye dhe, për t'i kujtuar vetes, lançoi një skedar grumbull që hapi shumë dritare me një faqe porno. Me sa duket, në këtë mënyrë ai u përpoq të tërhiqte vëmendjen ndaj kërkesës së tij.
Rezultatet e
Gjatë studimit, rezultoi se sapo u publikuan informacionet për cenueshmërinë, honeypot tërhoqi vëmendjen, me aktivitet që rritej dita-ditës. Në mënyrë që kurthi të fitonte vëmendjen, kompania jonë fiktive duhej të pësonte shkelje të shumta të sigurisë. Fatkeqësisht, kjo situatë nuk është aspak e pazakontë në mesin e shumë kompanive reale që nuk kanë punonjës me kohë të plotë të IT-së dhe sigurisë së informacionit.
Në përgjithësi, organizatat duhet të përdorin parimin e privilegjit më të vogël, ndërsa ne kemi zbatuar saktësisht të kundërtën e tij për të tërhequr sulmuesit. Dhe sa më gjatë i shikonim sulmet, aq më të sofistikuara bëheshin në krahasim me metodat standarde të testimit të depërtimit.
Dhe më e rëndësishmja, të gjitha këto sulme do të kishin dështuar nëse do të ishin zbatuar masat adekuate të sigurisë gjatë vendosjes së rrjetit. Organizatat duhet të sigurojnë që pajisjet e tyre dhe komponentët e infrastrukturës industriale të mos jenë të aksesueshme nga interneti, siç bëmë konkretisht në kurthin tonë.
Megjithëse nuk kemi regjistruar asnjë sulm të vetëm në stacionin e punës së inxhinierit, pavarësisht përdorimit të të njëjtit fjalëkalim të administratorit lokal në të gjithë kompjuterët, kjo praktikë duhet të shmanget për të minimizuar mundësinë e ndërhyrjeve. Në fund të fundit, siguria e dobët shërben si një ftesë shtesë për të sulmuar sistemet industriale, të cilat kanë qenë prej kohësh me interes për kriminelët kibernetikë.
Burimi: www.habr.com