Perusahaan antipirus, ahli kaamanan inpormasi sareng ngan saukur peminat nempatkeun sistem honeypot dina Internét supados "nyekel" varian anyar virus atanapi ngaidentipikasi taktik hacker anu teu biasa. Honeypots umum pisan yén cybercriminals parantos ngembangkeun jinis kekebalan: aranjeunna gancang ngaidentipikasi yén aranjeunna aya di payuneun bubu sareng ngan saukur teu malire. Pikeun ngajalajah taktik peretas modern, kami nyiptakeun honeypot realistis anu cicing di Internét salami tujuh bulan, narik rupa-rupa serangan. Urang ngobrol ngeunaan kumaha ieu lumangsung dina ulikan urang "" Sababaraha fakta tina pangajaran aya dina tulisan ieu.
ngembangkeun Honeypot: Daptar pariksa
Tugas utama dina nyieun supertrap urang nya éta pikeun nyegah urang tina keur kakeunaan ku hacker anu némbongkeun minat di dinya. Ieu peryogi seueur padamelan:
- Nyiptakeun legenda realistis ngeunaan perusahaan, kalebet nami lengkep sareng poto karyawan, nomer telepon sareng email.
- Pikeun datang sareng nerapkeun modél infrastruktur industri anu cocog sareng legenda ngeunaan kagiatan perusahaan urang.
- Mutuskeun jasa jaringan mana anu tiasa diaksés ti luar, tapi ulah kabawa ku muka palabuhan anu rentan supados henteu katingali sapertos bubu pikeun mamat.
- Atur visibilitas inpormasi bocor ngeunaan sistem anu rentan sareng nyebarkeun inpormasi ieu ka panyerang poténsial.
- Nerapkeun ngawaskeun wijaksana kagiatan hacker dina infrastruktur honeypot.
Tur ayeuna hal kahiji kahiji.
Nyiptakeun legenda
Cybercriminals parantos biasa mendakan seueur honeypots, janten bagian anu paling maju di antarana ngalaksanakeun panalungtikan anu jero unggal sistem anu rentan pikeun mastikeun yén éta sanés bubu. Pikeun alesan anu sami, urang narékahan pikeun mastikeun yén honeypot henteu ngan ukur realistis dina hal desain sareng téknis, tapi ogé nyiptakeun penampilan perusahaan anu nyata.
Nempatkeun diri dina sapatu hiji hacker cool hypothetical, urang ngembangkeun hiji algoritma verifikasi nu bakal ngabedakeun sistem nyata ti bubu. Éta kalebet milarian alamat IP perusahaan dina sistem reputasi, ngabalikeun panalungtikan kana sajarah alamat IP, milarian nami sareng kecap konci anu aya hubunganana sareng perusahaan, kitu ogé mitra na, sareng seueur deui. Hasilna, legenda tétéla rada ngayakinkeun jeung pikaresepeun.
Urang mutuskeun pikeun posisi pabrik decoy salaku butik prototyping industri leutik digawé pikeun klien anonim kacida gedéna di bagean militér sarta aviation. Ieu ngabébaskeun kami tina komplikasi hukum anu aya hubunganana sareng nganggo merek anu tos aya.
Salajengna urang kedah ngadamel visi, misi sareng nami organisasi. Urang mutuskeun yén parusahaan urang bakal ngamimitian kalawan sajumlah leutik karyawan, nu masing-masing mangrupakeun pangadeg. Ieu nambihan kredibilitas kana carita sipat khusus tina bisnis urang, anu ngamungkinkeun pikeun nanganan proyék sénsitip pikeun klien anu ageung sareng penting. Kami hoyong perusahaan urang katingali lemah tina sudut pandang cybersecurity, tapi dina waktos anu sami écés yén kami damel sareng aset penting dina sistem target.
Potret layar halaman wéb MeTech honeypot. Sumber: Trend Micro
Kami milih kecap MeTech salaku nami perusahaan. Situs ieu didamel dumasar kana témplat gratis. Gambar-gambar dicandak tina bank poto, nganggo anu paling teu populer sareng ngarobih aranjeunna supados kirang dikenal.
Kami hoyong perusahaan katingali nyata, janten kami kedah nambihan karyawan kalayan kaahlian profésional anu cocog sareng profil kagiatan éta. Urang datang nepi ka ngaran jeung kapribadian pikeun aranjeunna lajeng diusahakeun milih gambar ti bank poto nurutkeun etnis.
Potret layar halaman wéb MeTech honeypot. Sumber: Trend Micro
Pikeun ngahindarkeun kapendak, urang milarian poto grup anu kualitasna saé dimana urang tiasa milih rupa anu urang peryogikeun. Najan kitu, urang lajeng ditinggalkeun pilihan ieu, saprak hacker poténsial bisa ngagunakeun pilarian gambar sabalikna sarta manggihan yén "karyawan" urang hirup ngan di bank poto. Tungtungna, kami nganggo foto jalma anu teu aya anu diciptakeun nganggo jaringan saraf.
propil pagawe diterbitkeun dina loka ngandung émbaran penting ngeunaan kaahlian teknis maranéhna, tapi urang dihindari identifying sakola atawa kota husus.
Pikeun nyieun kotak surat, kami nganggo server panyadia hosting, teras nyéwa sababaraha nomer telepon di Amérika Serikat sareng ngagabungkeun kana PBX virtual sareng ménu sora sareng mesin pangjawab.
Infrastruktur honeypot
Pikeun ngahindarkeun paparan, kami mutuskeun pikeun ngagunakeun kombinasi hardware industri nyata, komputer fisik sareng mesin virtual anu aman. Ningali payun, urang bakal nyarios yén urang pariksa hasil usaha urang nganggo mesin pencari Shodan, sareng éta nunjukkeun yén honeypot sapertos sistem industri nyata.
Hasil scan honeypot maké Shodan. Sumber: Trend Micro
Kami nganggo opat PLC salaku hardware pikeun bubu kami:
- Siemens S7-1200,
- dua AllenBradley MicroLogix 1100,
- Omron CP1L.
PLC ieu dipilih pikeun popularitasna di pasar sistem kontrol global. Sareng masing-masing pengendali ieu nganggo protokol sorangan, anu ngamungkinkeun urang pariksa mana PLC anu bakal diserang langkung sering sareng naha aranjeunna bakal dipikaresep ku saha waé.
Parabot urang "pabrik" -bubu. Sumber: Trend Micro
Kami henteu ngan ukur masang hardware sareng sambungkeun ka Internét. Urang diprogram unggal controller pikeun ngalakukeun tugas, kaasup
- nyampur,
- burner sareng kontrol sabuk conveyor,
- palletizing ngagunakeun manipulator robotic.
Sarta sangkan prosés produksi realistis, urang diprogram logika pikeun acak ngarobah parameter eupan balik, simulate motor ngamimitian jeung eureun, sarta burners ngahurungkeun tur mareuman.
Pabrik urang ngagaduhan tilu komputer virtual sareng hiji fisik. Komputer virtual dipaké pikeun ngadalikeun tutuwuhan, robot palletizer, sarta salaku workstation pikeun insinyur software PLC. Komputer fisik digawé salaku server file.
Salian ngawaskeun serangan dina PLC, kami hoyong ngawas status program anu dimuat dina alat kami. Jang ngalampahkeun ieu, kami nyiptakeun panganteur anu ngamungkinkeun urang pikeun gancang nangtukeun kumaha kaayaan aktuator virtual sareng setelan urang dirobih. Parantos dina tahap perencanaan, urang mendakan yén éta langkung gampang pikeun nerapkeun ieu nganggo program kontrol tibatan program langsung tina logika controller. Urang muka aksés ka panganteur manajemén alat honeypot kami via VNC tanpa sandi a.
Robot industri mangrupikeun komponén konci manufaktur pinter modéren. Dina hal ieu, kami mutuskeun pikeun nambihan robot sareng gaw otomatis pikeun ngontrol kana alat-alat pabrik bubu kami. Pikeun nyieun "pabrik" leuwih realistis, urang dipasang software nyata dina workstation kontrol, nu insinyur ngagunakeun pikeun grafis program logika robot urang. Nya, saprak robot industri biasana aya dina jaringan internal anu terasing, kami mutuskeun pikeun ngantunkeun aksés anu teu dijagi via VNC ngan ka workstation kontrol.
Lingkungan RobotStudio sareng modél 3D tina robot urang. Sumber: Trend Micro
Urang dipasang lingkungan programming RobotStudio ti ABB Robotics dina mesin virtual kalawan workstation kontrol robot. Saatos ngonpigurasi RobotStudio, kami muka file simulasi sareng robot kami di jerona supados gambar 3D na katingali dina layar. Hasilna, Shodan sareng mesin pencari sanés, nalika ngadeteksi server VNC anu teu aman, bakal nyandak gambar layar ieu sareng nunjukkeun ka anu milari robot industri kalayan aksés kabuka pikeun dikontrol.
Titik perhatian kana detil ieu nyaéta pikeun nyiptakeun target anu pikaresepeun sareng realistis pikeun panyerang anu, sakali mendakanana, bakal uih deui deui.
workstation insinyur urang
Pikeun ngaprogram logika PLC, kami nambihan komputer rékayasa kana infrastruktur. Parangkat lunak industri pikeun program PLC dipasang dina éta:
- Portal TIA pikeun Siemens,
- MicroLogix pikeun Allen-Bradley controller,
- CX-Hiji pikeun Omron.
Kami mutuskeun yén ruang kerja rékayasa moal tiasa diaksés di luar jaringan. Gantina, urang nyetel sandi sarua pikeun akun administrator sakumaha dina workstation kontrol robot jeung workstation kontrol pabrik diaksés tina Internét. Konfigurasi ieu cukup umum di seueur perusahaan.
Hanjakalna, sanajan sagala usaha urang, teu aya hiji panyerang ngahontal workstation insinyur urang.
Pangladén file
Kami peryogi éta salaku umpan pikeun panyerang sareng salaku alat pikeun nyadangkeun "karya" urang sorangan di pabrik decoy. Ieu ngamungkinkeun urang ngabagi file sareng honeypot urang nganggo alat USB tanpa ngantunkeun jejak dina jaringan honeypot. Kami dipasang Windows 7 Pro salaku OS pikeun pangladén file, dimana kami nyiptakeun folder anu dibagikeun anu tiasa dibaca sareng ditulis ku saha waé.
Mimitina kami henteu nyiptakeun hirarki polder sareng dokumén dina server file. Nanging, urang engké mendakan yén panyerang aktip diajar folder ieu, janten kami mutuskeun pikeun ngeusian éta ku sababaraha file. Jang ngalampahkeun ieu, urang nulis Aksara python nu dijieun file ukuran acak kalayan salah sahiji ekstensi dibikeun, ngabentuk ngaran dumasar kana kamus.
Skrip pikeun ngahasilkeun nami file anu pikaresepeun. Sumber: Trend Micro
Saatos ngajalankeun skrip, urang ngagaduhan hasil anu dipikahoyong dina bentuk folder anu dieusi file kalayan nami anu pikaresepeun pisan.
Hasil naskah. Sumber: Trend Micro
Lingkungan ngawaskeun
Saatos nyéépkeun seueur usaha pikeun nyiptakeun perusahaan anu réalistis, urang ngan saukur teu mampuh gagal dina lingkungan pikeun ngawaskeun "nu datang" urang. Urang kedah kéngingkeun sadaya data sacara real waktos tanpa panyerang sadar yén aranjeunna diawaskeun.
Kami ngalaksanakeun ieu nganggo opat adaptor USB ka Ethernet, opat tap SharkTap Ethernet, Raspberry Pi 3, sareng drive éksternal anu ageung. Diagram jaringan kami sapertos kieu:
Diagram jaringan Honeypot sareng alat ngawaskeun. Sumber: Trend Micro
Kami nempatkeun tilu keran SharkTap pikeun ngawas sadaya lalu lintas éksternal ka PLC, ngan ukur tiasa diaksés tina jaringan internal. SharkTap kaopat ngawaskeun lalu lintas tamu tina mesin virtual anu rentan.
SharkTap Ethernet Tap sareng Sierra Wireless AirLink RV50 Router. Sumber: Trend Micro
Raspberry Pi ngalaksanakeun newak lalu lintas sapopoé. Kami nyambung ka Internét nganggo router sélular Sierra Wireless AirLink RV50, sering dianggo dina perusahaan industri.
Hanjakal, router ieu teu ngidinan urang pikeun selektif meungpeuk serangan nu teu cocog rencana urang, ku kituna kami ditambahkeun Cisco ASA 5505 firewall ka jaringan dina modeu transparan pikeun ngalakukeun blocking kalawan dampak minimal dina jaringan.
Analisis lalulintas
Tshark sareng tcpdump cocog pikeun gancang ngarengsekeun masalah ayeuna, tapi dina hal urang kamampuanana henteu cekap, sabab kami ngagaduhan seueur gigabyte lalu lintas, anu dianalisis ku sababaraha urang. Kami nganggo analisa Moloch open-source anu dikembangkeun ku AOL. Ieu comparable dina fungsionalitas mun Wireshark, tapi boga leuwih kamampuhan pikeun kolaborasi, ngajéntrékeun jeung méré tag pakét, exporting jeung tugas séjén.
Kusabab kami henteu hoyong ngolah data anu dikumpulkeun dina komputer honeypot, dumps PCAP diékspor unggal dinten ka panyimpenan AWS, ti mana kami parantos ngimpor kana mesin Moloch.
Ngarekam layar
Pikeun ngadokumentasikeun tindakan peretas dina honeypot kami, kami nyerat naskah anu nyandak Potret layar tina mesin virtual dina interval anu ditangtukeun sareng, ngabandingkeunana sareng screenshot sateuacana, nangtukeun naha aya kajadian atanapi henteu. Nalika kagiatan dideteksi, naskah kalebet ngarékam layar. Pendekatan ieu tétéla paling éféktif. Kami ogé nyobian nganalisa lalu lintas VNC tina dump PCAP pikeun ngartos parobahan naon anu lumangsung dina sistem, tapi tungtungna ngarékam layar anu kami laksanakeun tétéla langkung saderhana sareng langkung visual.
Ngawas sesi VNC
Pikeun ieu kami nganggo Chaosreader sareng VNCLogger. Duanana utilitas nimba keystrokes ti dump PCAP, tapi VNCLogger handles kenop kawas Backspace, Lebetkeun, Ctrl leuwih bener.
VNCLogger gaduh dua kalemahan. Kahiji: eta ngan bisa nimba konci ku "ngadangukeun" lalulintas dina panganteur, sangkan kapaksa simulate sési VNC pikeun eta ngagunakeun tcpreplay. Karugian kadua VNCLogger umum sareng Chaosreader: duanana henteu nunjukkeun eusi clipboard. Pikeun ngalakukeun ieu kuring kedah nganggo Wireshark.
Urang mamingan hacker
Kami nyiptakeun honeypot pikeun diserang. Pikeun ngahontal ieu, kami ngayakeun bocor inpormasi pikeun narik perhatian panyerang poténsial. Palabuhan di handap ieu dibuka dina honeypot:
Palabuhan RDP kedah ditutup teu lami saatos urang hirup kusabab jumlah lalu lintas scanning dina jaringan urang nyababkeun masalah kinerja.
Terminal VNC munggaran digawé dina modeu view-hijina tanpa sandi a, lajeng kami "ku kasalahan" switched aranjeunna ka modeu aksés pinuh.
Pikeun narik panyerang, kami masangkeun dua tulisan kalayan inpormasi bocor ngeunaan sistem industri anu sayogi dina PasteBin.
Salah sahiji tulisan anu dipasang dina PasteBin pikeun narik serangan. Sumber: Trend Micro
serangan
Honeypot cicing online salila tujuh bulan. Serangan munggaran lumangsung sabulan saatos honeypot online.
Panyekel
Aya seueur lalu lintas ti scanner perusahaan anu terkenal - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye sareng anu sanésna. Aya seueur di antarana sahingga urang kedah ngaluarkeun alamat IP na tina analisa: 610 tina 9452 atanapi 6,45% tina sadaya alamat IP unik milik panyeken anu sah.
Panipu
Salah sahiji résiko pangbadagna anu kami hadapi nyaéta ngagunakeun sistem kami pikeun tujuan kriminal: mésér smartphone ngalangkungan akun palanggan, kas kaluar mil maskapai nganggo kartu kado sareng jinis panipuan anu sanés.
Panambang
Salah sahiji pangunjung munggaran ka sistem kami tétéla janten panambang. Anjeunna ngaunduh parangkat lunak pertambangan Monero kana éta. Anjeunna moal bakal tiasa ngadamel seueur artos dina sistem khusus urang kusabab produktivitasna rendah. Nanging, upami urang ngagabungkeun usaha sababaraha belasan atanapi bahkan ratusan sistem sapertos kitu, éta tiasa lumayan.
Ransomware
Salila damel honeypot, urang mendakan virus ransomware nyata dua kali. Dina kasus nu pertama éta Crysis. Operator na asup kana sistem via VNC, tapi teras dipasang TeamViewer sareng dianggo pikeun ngalakukeun tindakan salajengna. Saatos ngantosan pesen extortion nungtut tebusan $ 10 dina BTC, kami asup kana korespondensi sareng penjahat, naroskeun aranjeunna pikeun ngadekrip salah sahiji file pikeun kami. Aranjeunna matuh kana pamundut sareng ngulang deui paménta tebusan. Urang junun negotiate nepi ka 6 sarébu dollar, nu satutasna urang saukur ulang unggah sistem ka mesin virtual, saprak urang nampi sagala informasi diperlukeun.
The ransomware kadua tétéla Phobos. Peretas anu masang éta nyéépkeun sajam pikeun ngotéktak sistem file honeypot sareng nyeken jaringan, teras tungtungna masang ransomware.
Serangan ransomware katilu tétéla palsu. Hiji "hacker" kanyahoan diundeur haha.bat file onto sistem kami, nu satutasna urang diawaskeun bari anjeunna nyobian sangkan eta jalan. Salah sahiji usaha nya éta ngaganti ngaran haha.bat jadi haha.rnsmwr.
The "hacker" ngaronjatkeun harmfulness tina file bat ku ngarobah extension -na pikeun .rnsmwr. Sumber: Trend Micro
Nalika file bets tungtungna mimiti jalan, "hacker" ngédit éta, ningkatkeun tebusan tina $ 200 ka $ 750. Saatos éta, anjeunna "énkripsi" sadaya file, ngantunkeun pesen extortion dina desktop sareng ngaleungit, ngarobih kecap konci dina VNC kami.
Sababaraha dinten ti harita, hacker balik deui sareng, pikeun ngingetkeun dirina, ngaluncurkeun file bets anu muka seueur windows sareng situs porno. Tétéla, ku cara kieu anjeunna nyobian narik perhatian kana paménta na.
hasil
Salila pangajaran, tétéla yén pas informasi ngeunaan kerentanan ieu diterbitkeun, honeypot narik perhatian, kalayan aktivitas tumuwuh unggal poé. Supados bubu tiasa nampi perhatian, perusahaan fiktif urang kedah ngalaman sababaraha pelanggaran kaamanan. Hanjakal, kaayaan ieu tebih ti ilahar diantara loba pausahaan nyata nu teu boga full-waktu IT jeung karyawan kaamanan informasi.
Sacara umum, organisasi kedah nganggo prinsip hak husus pangsaeutikna, samentawis urang ngalaksanakeun sabalikna ti éta pikeun narik panyerang. Sareng langkung lami urang ningali serangan, langkung canggih aranjeunna dibandingkeun sareng metodeu tés penetrasi standar.
Sareng anu paling penting, sadaya serangan ieu bakal gagal upami ukuran kaamanan anu cekap dilaksanakeun nalika nyetél jaringan. Organisasi kedah mastikeun yén alat-alat sareng komponén infrastruktur industrina henteu tiasa diaksés tina Internét, sapertos anu urang lakukeun dina bubu urang.
Sanajan urang teu ngarekam serangan tunggal on workstation insinyur urang, sanajan ngagunakeun sandi administrator lokal sami dina sakabéh komputer, prakték ieu kudu dihindari guna ngaleutikan kamungkinan intrusions. Barina ogé, kaamanan lemah dijadikeun uleman tambahan pikeun nyerang sistem industri, nu geus lila dipikaresep ku cybercriminals.
sumber: www.habr.com