Antivirusföretag, informationssäkerhetsexperter och helt enkelt entusiaster sätter honeypot-system på Internet för att "fånga" en ny variant av viruset eller identifiera ovanliga hackertaktik. Honungskrukor är så vanliga att cyberkriminella har utvecklat en slags immunitet: de identifierar snabbt att de befinner sig framför en fälla och ignorerar den helt enkelt. För att utforska taktiken hos moderna hackare skapade vi en realistisk honungskruka som levde på Internet i sju månader och lockade till sig en mängd olika attacker. Vi pratade om hur detta gick till i vår studie "" Lite fakta från studien finns i det här inlägget.
Honeypot-utveckling: checklista
Huvuduppgiften med att skapa vår supertrap var att förhindra att vi avslöjades av hackare som visade intresse för den. Detta krävde mycket arbete:
- Skapa en realistisk legend om företaget, inklusive fullständiga namn och bilder på anställda, telefonnummer och e-post.
- Att ta fram och implementera en modell av industriell infrastruktur som motsvarar legenden om vårt företags verksamhet.
- Bestäm vilka nätverkstjänster som ska vara tillgängliga utifrån, men låt dig inte ryckas med att öppna sårbara portar så att det inte ser ut som en fälla för sossar.
- Organisera synligheten för informationsläckor om ett sårbart system och distribuera denna information bland potentiella angripare.
- Implementera diskret övervakning av hackers aktiviteter i honeypot-infrastrukturen.
Och nu om allt i ordning.
Skapa en legend
Cyberkriminella är redan vana vid att stöta på många honungskrukor, så den mest avancerade delen av dem gör en djupgående undersökning av varje sårbart system för att försäkra sig om att det inte är en fälla. Av samma anledning försökte vi säkerställa att honungskrukan inte bara var realistisk i form av design och tekniska aspekter, utan också för att skapa intrycket av ett riktigt företag.
Genom att sätta oss i en hypotetisk cool hackers skor utvecklade vi en verifieringsalgoritm som skulle skilja ett riktigt system från en fälla. Det inkluderade sökning efter företags IP-adresser i ryktesystem, omvänd forskning om IP-adressers historia, sökning efter namn och nyckelord relaterade till företaget, såväl som dess motparter, och många andra saker. Som ett resultat visade sig legenden vara ganska övertygande och attraktiv.
Vi bestämde oss för att positionera lockbetsfabriken som en liten industriell prototypbutik som arbetar för mycket stora anonyma kunder inom militär- och flygsegmentet. Detta befriade oss från de juridiska komplikationerna i samband med att använda ett befintligt varumärke.
Därefter fick vi komma med en vision, mission och namn för organisationen. Vi beslutade att vårt företag skulle vara en startup med ett litet antal anställda, som var och en är grundare. Detta gav trovärdighet till historien om vår verksamhets specialiserade natur, vilket gör att den kan hantera känsliga projekt för stora och viktiga kunder. Vi ville att vårt företag skulle framstå som svagt ur ett cybersäkerhetsperspektiv, men samtidigt var det uppenbart att vi arbetade med viktiga tillgångar på målsystem.
Skärmdump av MeTech honeypot-webbplatsen. Källa: Trend Micro
Vi valde ordet MeTech som företagsnamn. Sajten skapades utifrån en gratis mall. Bilderna togs från fotobanker, med de mest impopulära och modifierade dem för att göra dem mindre igenkännliga.
Vi ville att företaget skulle se verkligt ut, så vi behövde lägga till medarbetare med yrkeskompetens som matchade verksamhetens profil. Vi kom på namn och personligheter till dem och försökte sedan välja ut bilder från fotobanker efter etnicitet.
Skärmdump av MeTech honeypot-webbplatsen. Källa: Trend Micro
För att undvika att bli upptäckta letade vi efter gruppbilder av bra kvalitet där vi kunde välja de ansikten vi behövde. Men vi övergav sedan det här alternativet, eftersom en potentiell hackare kunde använda omvänd bildsökning och upptäcka att våra "anställda" bara bor i fotobanker. Till slut använde vi fotografier av icke-existerande människor skapade med hjälp av neurala nätverk.
Medarbetarprofiler som publicerades på webbplatsen innehöll viktig information om deras tekniska färdigheter, men vi undvek att identifiera specifika skolor eller städer.
För att skapa brevlådor använde vi en värdleverantörs server och hyrde sedan flera telefonnummer i USA och kombinerade dem till en virtuell växel med en röstmeny och en telefonsvarare.
Honeypot-infrastruktur
För att undvika exponering bestämde vi oss för att använda en kombination av riktig industriell hårdvara, fysiska datorer och säkra virtuella maskiner. När vi blickar framåt kommer vi att säga att vi kontrollerade resultatet av våra ansträngningar med Shodans sökmotor, och det visade att honungskrukan ser ut som ett riktigt industrisystem.
Resultatet av att skanna en honungskruka med Shodan. Källa: Trend Micro
Vi använde fyra PLC:er som hårdvara för vår fälla:
- Siemens S7-1200,
- två AllenBradley MicroLogix 1100,
- Omron CP1L.
Dessa PLC:er valdes ut för deras popularitet på den globala styrsystemmarknaden. Och var och en av dessa kontroller använder sitt eget protokoll, vilket gjorde att vi kunde kontrollera vilka av PLC:erna som skulle attackeras oftare och om de skulle intressera någon i princip.
Utrustning av vår "fabriks"-fälla. Källa: Trend Micro
Vi installerade inte bara hårdvara och kopplade den till Internet. Vi programmerade varje styrenhet att utföra uppgifter, inklusive
- blanda,
- kontroll av brännare och transportband,
- palletering med hjälp av en robotmanipulator.
Och för att göra produktionsprocessen realistisk programmerade vi logik för att slumpmässigt ändra återkopplingsparametrar, simulera motorer som startar och stannar och brännare som slår på och av.
Vår fabrik hade tre virtuella datorer och en fysisk. Virtuella datorer användes för att styra en anläggning, en palleteringsrobot och som en arbetsstation för en PLC mjukvaruingenjör. Den fysiska datorn fungerade som en filserver.
Förutom att övervaka PLC-attacker ville vi övervaka statusen för program som laddats på våra enheter. För att göra detta skapade vi ett gränssnitt som gjorde det möjligt för oss att snabbt avgöra hur tillstånden för våra virtuella ställdon och installationer modifierades. Redan på planeringsstadiet upptäckte vi att det är mycket lättare att implementera detta med hjälp av ett styrprogram än genom direkt programmering av styrlogiken. Vi öppnade åtkomst till enhetshanteringsgränssnittet för vår honeypot via VNC utan lösenord.
Industrirobotar är en nyckelkomponent i modern smart tillverkning. I detta avseende beslutade vi att lägga till en robot och en automatiserad arbetsplats för att styra den till utrustningen på vår fällfabrik. För att göra "fabriken" mer realistisk installerade vi riktig programvara på kontrollarbetsstationen, som ingenjörer använder för att grafiskt programmera robotens logik. Tja, eftersom industrirobotar vanligtvis är placerade i ett isolerat internt nätverk, beslutade vi att lämna oskyddad åtkomst via VNC endast till kontrollarbetsstationen.
RobotStudio-miljö med en 3D-modell av vår robot. Källa: Trend Micro
Vi installerade programmeringsmiljön RobotStudio från ABB Robotics på en virtuell maskin med en robotstyrningsarbetsstation. Efter att ha konfigurerat RobotStudio öppnade vi en simuleringsfil med vår robot i så att dess 3D-bild var synlig på skärmen. Som ett resultat kommer Shodan och andra sökmotorer, när de upptäcker en osäkrad VNC-server, att ta tag i den här skärmbilden och visa den för dem som letar efter industrirobotar med öppen tillgång till kontroll.
Poängen med denna uppmärksamhet på detaljer var att skapa ett attraktivt och realistiskt mål för angripare som, när de väl hittade det, skulle återvända till det om och om igen.
Ingenjörens arbetsstation
För att programmera PLC-logiken lade vi till en ingenjörsdator till infrastrukturen. Industriell programvara för PLC-programmering installerades på den:
- TIA Portal för Siemens,
- MicroLogix för Allen-Bradley-kontroller,
- CX-One för Omron.
Vi beslutade att den tekniska arbetsytan inte skulle vara tillgänglig utanför nätverket. Istället ställer vi in samma lösenord för administratörskontot som på robotstyrningsarbetsstationen och fabriksstyrningsarbetsstationen som är tillgänglig från Internet. Denna konfiguration är ganska vanlig i många företag.
Tyvärr, trots alla våra ansträngningar, nådde inte en enda angripare ingenjörens arbetsstation.
Fil server
Vi behövde det som ett bete för angripare och som ett sätt att backa upp vårt eget "arbete" i lockbetsfabriken. Detta gjorde det möjligt för oss att dela filer med vår honeypot med USB-enheter utan att lämna ett spår på honeypot-nätverket. Vi installerade Windows 7 Pro som operativsystem för filservern, där vi skapade en delad mapp som kan läsas och skrivas av vem som helst.
Först skapade vi ingen hierarki av mappar och dokument på filservern. Men vi upptäckte senare att angripare aktivt studerade den här mappen, så vi bestämde oss för att fylla den med olika filer. För att göra detta skrev vi ett python-skript som skapade en fil av slumpmässig storlek med en av de givna tilläggen, som bildade ett namn baserat på ordboken.
Skript för att skapa attraktiva filnamn. Källa: Trend Micro
Efter att ha kört skriptet fick vi det önskade resultatet i form av en mapp fylld med filer med mycket intressanta namn.
Resultatet av manuset. Källa: Trend Micro
Övervakningsmiljö
Efter att ha lagt ner så mycket ansträngning på att skapa ett realistiskt företag hade vi helt enkelt inte råd att misslyckas med miljön för att övervaka våra "besökare". Vi behövde få all data i realtid utan att angriparna insåg att de sågs.
Vi implementerade detta med fyra USB till Ethernet-adaptrar, fyra SharkTap Ethernet-kranar, en Raspberry Pi 3 och en stor extern enhet. Vårt nätverksdiagram såg ut så här:
Honeypot nätverksdiagram med övervakningsutrustning. Källa: Trend Micro
Vi placerade tre SharkTap-kranar för att övervaka all extern trafik till PLC:n, endast tillgänglig från det interna nätverket. Den fjärde SharkTap övervakade trafiken för gäster på en sårbar virtuell maskin.
SharkTap Ethernet Tap och Sierra Wireless AirLink RV50 Router. Källa: Trend Micro
Raspberry Pi utförde daglig trafikfångst. Vi ansluter till Internet med en Sierra Wireless AirLink RV50 mobilrouter, som ofta används i industriföretag.
Tyvärr tillät denna router oss inte att selektivt blockera attacker som inte matchade våra planer, så vi lade till en Cisco ASA 5505-brandvägg till nätverket i transparent läge för att utföra blockering med minimal påverkan på nätverket.
Trafikanalys
Tshark och tcpdump är lämpliga för att snabbt lösa aktuella problem, men i vårt fall var deras kapacitet inte tillräcklig, eftersom vi hade många gigabyte trafik, som analyserades av flera personer. Vi använde Moloch-analysatorn med öppen källkod som utvecklats av AOL. Den är jämförbar i funktionalitet med Wireshark, men har fler möjligheter för samarbete, beskrivning och taggning av paket, export och andra uppgifter.
Eftersom vi inte ville bearbeta den insamlade informationen på honeypot-datorer exporterades PCAP-dumpar varje dag till AWS-lagring, varifrån vi redan importerade dem till Moloch-maskinen.
Skärminspelning
För att dokumentera hackares agerande i vår honeypot skrev vi ett skript som tog skärmdumpar av den virtuella maskinen vid ett givet intervall och, jämfört med den föregående skärmdumpen, fastställde om något hände där eller inte. När aktivitet upptäcktes inkluderade skriptet skärminspelning. Detta tillvägagångssätt visade sig vara det mest effektiva. Vi försökte också analysera VNC-trafik från en PCAP-dump för att förstå vilka förändringar som hade skett i systemet, men i slutändan visade sig skärminspelningen vi implementerade vara enklare och mer visuell.
Övervakning av VNC-sessioner
För detta använde vi Chaosreader och VNCLogger. Båda verktygen extraherar tangenttryckningar från en PCAP-dump, men VNCLogger hanterar tangenter som Backsteg, Enter, Ctrl mer korrekt.
VNCLogger har två nackdelar. För det första: det kan bara extrahera nycklar genom att "lyssna" på trafik på gränssnittet, så vi var tvungna att simulera en VNC-session för den med tcpreplay. Den andra nackdelen med VNCLogger är gemensam med Chaosreader: de båda visar inte innehållet i urklipp. För att göra detta var jag tvungen att använda Wireshark.
Vi lockar hackare
Vi skapade honungskruka för att bli attackerad. För att uppnå detta arrangerade vi en informationsläcka för att fånga potentiella angripares uppmärksamhet. Följande portar öppnades på honeypot:
RDP-porten var tvungen att stängas kort efter att vi gick live eftersom den enorma mängden skanningstrafik på vårt nätverk orsakade prestandaproblem.
VNC-terminalerna fungerade först i visningsläge utan lösenord, och sedan bytte vi "av misstag" dem till fullt åtkomstläge.
För att locka till sig angripare lade vi upp två inlägg med läckt information om det tillgängliga industriella systemet på PasteBin.
Ett av inläggen som postades på PasteBin för att locka till sig attacker. Källa: Trend Micro
Attacker
Honeypot levde online i cirka sju månader. Den första attacken inträffade en månad efter att honeypot gick online.
Skannrar
Det var mycket trafik från skannrar från välkända företag – ip-ip, Rapid, Shadow Server, Shodan, ZoomEye och andra. Det var så många av dem att vi var tvungna att utesluta deras IP-adresser från analysen: 610 av 9452 eller 6,45 % av alla unika IP-adresser tillhörde helt legitima skannrar.
bedragare
En av de största riskerna vi har ställts inför är användningen av vårt system i kriminella syften: att köpa smartphones via en abonnents konto, ta ut flygbolagsmil med presentkort och andra typer av bedrägerier.
Gruvarbetare
En av de första besökarna i vårt system visade sig vara en gruvarbetare. Han laddade ner Monero gruvprogramvara på den. Han skulle inte ha kunnat tjäna mycket pengar på just vårt system på grund av låg produktivitet. Men om vi kombinerar ansträngningarna från flera dussin eller till och med hundratals sådana system kan det bli ganska bra.
Ransomware
Under arbetet med honeypot stötte vi på riktiga ransomware-virus två gånger. I det första fallet var det Crysis. Dess operatörer loggade in i systemet via VNC, men installerade sedan TeamViewer och använde den för att utföra ytterligare åtgärder. Efter att ha väntat på ett utpressningsmeddelande som krävde en lösensumma på $10 6 i BTC, inledde vi korrespondens med brottslingarna och bad dem att dekryptera en av filerna åt oss. De efterkom begäran och upprepade kravet på lösen. Vi lyckades förhandla upp till XNUMX tusen dollar, varefter vi helt enkelt laddade upp systemet igen till en virtuell maskin, eftersom vi fick all nödvändig information.
Den andra ransomwaren visade sig vara Phobos. Hackaren som installerade det tillbringade en timme med att bläddra i honeypot-filsystemet och skanna nätverket, och sedan installerade han lösenprogramvaran.
Den tredje ransomware-attacken visade sig vara falsk. En okänd "hacker" laddade ner haha.bat-filen till vårt system, varefter vi tittade en stund på hur han försökte få den att fungera. Ett av försöken var att döpa om haha.bat till haha.rnsmwr.
"Hackaren" ökar bat-filens skadlighet genom att ändra dess tillägg till .rnsmwr. Källa: Trend Micro
När batchfilen äntligen började köras redigerade "hackern" den och ökade lösensumman från $200 till $750. Efter det "krypterade" han alla filer, lämnade ett utpressningsmeddelande på skrivbordet och försvann och ändrade lösenorden på vår VNC.
Ett par dagar senare kom hackaren tillbaka och, för att påminna sig själv, lanserade en batchfil som öppnade många fönster med en porrsajt. Tydligen försökte han på detta sätt uppmärksamma sitt krav.
Resultat av
Under studien visade det sig att så fort information om sårbarheten publicerades uppmärksammades honungskruka, med aktiviteten som växte dag för dag. För att fällan skulle få uppmärksamhet måste vårt fiktiva företag drabbas av flera säkerhetsintrång. Tyvärr är denna situation långt ifrån ovanlig bland många riktiga företag som inte har heltidsanställda inom IT och informationssäkerhet.
I allmänhet bör organisationer använda principen om minsta privilegium, medan vi implementerade raka motsatsen till den för att locka angripare. Och ju längre vi såg attackerna, desto mer sofistikerade blev de jämfört med standardmetoder för penetrationstestning.
Och viktigast av allt, alla dessa attacker skulle ha misslyckats om tillräckliga säkerhetsåtgärder hade implementerats när nätverket sattes upp. Organisationer måste se till att deras utrustning och industriella infrastrukturkomponenter inte är tillgängliga från Internet, som vi specifikt gjorde i vår fälla.
Även om vi inte har registrerat en enda attack på en ingenjörs arbetsstation, trots att vi använder samma lokala administratörslösenord på alla datorer, bör denna praxis undvikas för att minimera risken för intrång. När allt kommer omkring fungerar svag säkerhet som en ytterligare inbjudan att attackera industriella system, som länge varit av intresse för cyberbrottslingar.
Källa: will.com