Makampuni ya antivirus, wataalam wa usalama wa habari na wanaopenda tu huweka mifumo ya asali kwenye mtandao ili "kukamata" lahaja mpya ya virusi au kutambua mbinu zisizo za kawaida za wadukuzi. Vipu vya asali ni vya kawaida sana hivi kwamba wahalifu wa mtandao wameunda aina ya kinga: wanatambua haraka kuwa wako mbele ya mtego na wanapuuza tu. Ili kuchunguza mbinu za wadukuzi wa kisasa, tuliunda chungu cha asali ambacho kiliishi kwenye mtandao kwa muda wa miezi saba, na kuvutia aina mbalimbali za mashambulizi. Tulizungumza juu ya jinsi hii ilifanyika katika somo letu "" Baadhi ya ukweli kutoka kwa utafiti upo kwenye chapisho hili.
Ukuzaji wa sufuria ya asali: orodha ya ukaguzi
Kazi kuu ya kuunda mtego wetu mkuu ilikuwa kutuzuia kufichuliwa na wadukuzi ambao walionyesha kupendezwa nayo. Hii ilihitaji kazi nyingi:
- Unda hadithi ya kweli kuhusu kampuni, ikijumuisha majina kamili na picha za wafanyikazi, nambari za simu na barua pepe.
- Kuja na kutekeleza mfano wa miundombinu ya viwanda ambayo inalingana na hadithi kuhusu shughuli za kampuni yetu.
- Amua ni huduma zipi za mtandao zitapatikana kutoka nje, lakini usichukuliwe na kufungua bandari zilizo hatarini ili isionekane kama mtego wa wanyonyaji.
- Panga mwonekano wa uvujaji wa taarifa kuhusu mfumo ulio hatarini na usambaze taarifa hii miongoni mwa washambuliaji watarajiwa.
- Tekeleza ufuatiliaji wa busara wa shughuli za wadukuzi katika miundombinu ya asali.
Na sasa mambo ya kwanza kwanza.
Kuunda hadithi
Wahalifu wa mtandao tayari wamezoea kukutana na vyungu vingi vya asali, kwa hivyo sehemu ya juu zaidi yao hufanya uchunguzi wa kina wa kila mfumo ulio hatarini ili kuhakikisha kuwa sio mtego. Kwa sababu hiyo hiyo, tulitafuta kuhakikisha kuwa sufuria ya asali haikuwa ya kweli tu katika suala la kubuni na vipengele vya kiufundi, lakini pia kuunda kuonekana kwa kampuni halisi.
Kwa kujiweka katika hali ya mdukuzi dhahania, tulitengeneza kanuni ya uthibitishaji ambayo ingetofautisha mfumo halisi na mtego. Ilijumuisha kutafuta anwani za IP za kampuni katika mifumo ya sifa, kugeuza utafiti katika historia ya anwani za IP, kutafuta majina na maneno muhimu yanayohusiana na kampuni, pamoja na washirika wake, na mambo mengine mengi. Kama matokeo, hadithi hiyo iligeuka kuwa ya kushawishi na ya kuvutia.
Tuliamua kuweka kiwanda cha decoy kama bouti ndogo ya prototyping ya viwanda inayofanya kazi kwa wateja wakubwa sana wasiojulikana katika sehemu ya kijeshi na anga. Hii ilituweka huru kutokana na matatizo ya kisheria yanayohusiana na kutumia chapa iliyopo.
Kisha ilitubidi kuja na maono, misheni na jina la shirika. Tuliamua kwamba kampuni yetu itakuwa mwanzo na idadi ndogo ya wafanyakazi, ambao kila mmoja wao ni mwanzilishi. Hii iliongeza uaminifu kwa hadithi ya asili maalum ya biashara yetu, ambayo inaruhusu kushughulikia miradi nyeti kwa wateja wakubwa na muhimu. Tulitaka kampuni yetu ionekane dhaifu kutokana na mtazamo wa usalama wa mtandao, lakini wakati huo huo ilikuwa dhahiri kwamba tulikuwa tukifanya kazi na mali muhimu kwenye mifumo inayolengwa.
Picha ya skrini ya tovuti ya asali ya MeTech. Chanzo: Trend Micro
Tulichagua neno MeTech kama jina la kampuni. Tovuti ilitengenezwa kwa msingi wa kiolezo cha bure. Picha hizo zilichukuliwa kutoka kwa benki za picha, kwa kutumia zile zisizopendwa zaidi na kuzirekebisha ili kuzifanya zisitambulike.
Tulitaka kampuni ionekane halisi, kwa hivyo tulihitaji kuongeza wafanyikazi walio na ujuzi wa kitaalamu unaolingana na wasifu wa shughuli. Tulikuja na majina na haiba kwao na kisha tukajaribu kuchagua picha kutoka kwa benki za picha kulingana na kabila.
Picha ya skrini ya tovuti ya asali ya MeTech. Chanzo: Trend Micro
Ili kuepuka kugunduliwa, tulitafuta picha bora za kikundi ambazo tungeweza kuchagua nyuso tunazohitaji. Hata hivyo, tuliacha chaguo hili, kwa kuwa mdukuzi anaweza kutumia utafutaji wa picha kinyume na kugundua kuwa "wafanyakazi" wetu wanaishi katika benki za picha pekee. Mwishowe, tulitumia picha za watu wasiokuwepo iliyoundwa kwa kutumia mitandao ya neva.
Wasifu wa wafanyikazi uliochapishwa kwenye tovuti ulikuwa na taarifa muhimu kuhusu ujuzi wao wa kiufundi, lakini tuliepuka kutambua shule au miji mahususi.
Ili kuunda visanduku vya barua, tulitumia seva ya mtoa huduma mwenyeji, kisha tukakodisha nambari kadhaa za simu nchini Marekani na kuziunganisha kuwa PBX pepe yenye menyu ya sauti na mashine ya kujibu.
Miundombinu ya asali
Ili kuepuka kufichuliwa, tuliamua kutumia mchanganyiko wa vifaa halisi vya viwandani, kompyuta halisi na mashine salama za mtandaoni. Kuangalia mbele, tutasema kwamba tuliangalia matokeo ya jitihada zetu kwa kutumia injini ya utafutaji ya Shodan, na ilionyesha kuwa sufuria ya asali inaonekana kama mfumo halisi wa viwanda.
Matokeo ya skanning ya asali kwa kutumia Shodan. Chanzo: Trend Micro
Tulitumia PLC nne kama vifaa vya mtego wetu:
- Siemens S7-1200,
- mbili AllenBradley MicroLogix 1100,
- Omron CP1L.
PLC hizi zilichaguliwa kwa umaarufu wao katika soko la mfumo wa udhibiti wa kimataifa. Na kila moja ya vidhibiti hivi hutumia itifaki yake, ambayo ilituruhusu kuangalia ni PLC zipi zitashambuliwa mara nyingi zaidi na ikiwa zingemvutia mtu yeyote kimsingi.
Vifaa vya "kiwanda" chetu - mtego. Chanzo: Trend Micro
Hatukusakinisha maunzi tu na kuiunganisha kwenye Mtandao. Tulipanga kila kidhibiti kutekeleza majukumu, ikijumuisha
- kuchanganya,
- burner na udhibiti wa ukanda wa conveyor,
- palletizing kwa kutumia robotic manipulator.
Na ili kufanya mchakato wa uzalishaji kuwa wa kweli, tulipanga mantiki ya kubadilisha vigezo vya maoni bila mpangilio, kuiga injini zinazoanza na kuzima, na vichomaji kuwasha na kuzima.
Kiwanda chetu kilikuwa na kompyuta tatu pepe na moja ya kawaida. Kompyuta pepe zilitumika kudhibiti mtambo, roboti ya palletizer, na kama kituo cha kazi cha mhandisi wa programu wa PLC. Kompyuta halisi ilifanya kazi kama seva ya faili.
Mbali na ufuatiliaji wa mashambulizi kwenye PLC, tulitaka kufuatilia hali ya programu zinazopakiwa kwenye vifaa vyetu. Ili kufanya hivyo, tuliunda kiolesura ambacho kilituruhusu kubainisha kwa haraka jinsi hali za vitendaji na usakinishaji wetu wa mtandaoni zilibadilishwa. Tayari katika hatua ya kupanga, tuligundua kuwa ni rahisi zaidi kutekeleza hili kwa kutumia programu ya udhibiti kuliko kupitia programu ya moja kwa moja ya mantiki ya mtawala. Tulifungua ufikiaji wa kiolesura cha usimamizi wa kifaa cha honeypot yetu kupitia VNC bila nenosiri.
Roboti za viwandani ni sehemu kuu ya utengenezaji wa kisasa wa smart. Katika suala hili, tuliamua kuongeza roboti na mahali pa kazi ya kiotomatiki ili kuidhibiti kwenye vifaa vya kiwanda chetu cha mitego. Ili kufanya "kiwanda" kiwe halisi zaidi, tulisakinisha programu halisi kwenye kituo cha kudhibiti, ambacho wahandisi hutumia kupanga mantiki ya roboti kwa michoro. Kweli, kwa kuwa roboti za viwandani kawaida ziko kwenye mtandao wa ndani uliotengwa, tuliamua kuacha ufikiaji usio salama kupitia VNC tu kwa kituo cha kudhibiti.
Mazingira ya RobotStudio yenye muundo wa 3D wa roboti yetu. Chanzo: Trend Micro
Tulisakinisha mazingira ya programu ya RobotStudio kutoka ABB Robotics kwenye mashine pepe yenye kituo cha kudhibiti roboti. Baada ya kusanidi RobotStudio, tulifungua faili ya kuiga na roboti yetu ndani yake ili picha yake ya 3D ionekane kwenye skrini. Kwa hivyo, Shodan na injini nyingine za utafutaji, baada ya kugundua seva ya VNC isiyolindwa, itanyakua picha hii ya skrini na kuionyesha kwa wale wanaotafuta roboti za viwandani zilizo na ufikiaji wazi wa udhibiti.
Hoja ya umakini huu kwa undani ilikuwa kuunda shabaha ya kuvutia na ya kweli kwa washambuliaji ambao, mara walipoipata, wangeirudia tena na tena.
Kituo cha kazi cha mhandisi
Ili kupanga mantiki ya PLC, tuliongeza kompyuta ya uhandisi kwenye miundombinu. Programu ya viwandani ya programu ya PLC iliwekwa juu yake:
- TIA Portal ya Siemens,
- MicroLogix ya mtawala wa Allen-Bradley,
- CX-One kwa Omron.
Tuliamua kuwa nafasi ya kazi ya uhandisi haitapatikana nje ya mtandao. Badala yake, tunaweka nenosiri sawa la akaunti ya msimamizi kama kwenye kituo cha kazi cha kudhibiti roboti na kituo cha kazi cha udhibiti wa kiwanda kinachopatikana kutoka kwa Mtandao. Usanidi huu ni wa kawaida katika makampuni mengi.
Kwa bahati mbaya, licha ya juhudi zetu zote, hakuna mshambuliaji hata mmoja aliyefikia kituo cha kazi cha mhandisi.
Seva ya faili
Tuliihitaji kama chambo kwa washambuliaji na kama njia ya kuunga mkono "kazi" yetu wenyewe katika kiwanda cha udanganyifu. Hii ilituruhusu kushiriki faili na chungu chetu cha asali kwa kutumia vifaa vya USB bila kuacha alama kwenye mtandao wa asali. Tulisakinisha Windows 7 Pro kama OS ya seva ya faili, ambayo tuliunda folda iliyoshirikiwa ambayo inaweza kusomwa na kuandikwa na mtu yeyote.
Mwanzoni hatukuunda safu yoyote ya folda na hati kwenye seva ya faili. Hata hivyo, baadaye tuligundua kwamba washambuliaji walikuwa wakijifunza kikamilifu folda hii, kwa hiyo tuliamua kuijaza na faili mbalimbali. Ili kufanya hivyo, tuliandika hati ya python ambayo iliunda faili ya ukubwa wa random na moja ya upanuzi uliotolewa, na kutengeneza jina kulingana na kamusi.
Hati ya kutengeneza majina ya faili ya kuvutia. Chanzo: Trend Micro
Baada ya kuendesha script, tulipata matokeo yaliyohitajika kwa fomu ya folda iliyojaa faili zilizo na majina ya kuvutia sana.
Matokeo ya hati. Chanzo: Trend Micro
Mazingira ya ufuatiliaji
Baada ya kutumia juhudi nyingi kuunda kampuni ya kweli, hatukuweza kumudu kushindwa kwenye mazingira ya kufuatilia "wageni" wetu. Tulihitaji kupata data zote kwa wakati halisi bila washambuliaji kutambua kuwa walikuwa wanatazamwa.
Tulitekeleza hili kwa kutumia adapta nne za USB hadi Ethaneti, bomba nne za SharkTap Ethernet, Raspberry Pi 3, na hifadhi kubwa ya nje. Mchoro wa mtandao wetu ulionekana kama hii:
Mchoro wa mtandao wa Honeypot na vifaa vya ufuatiliaji. Chanzo: Trend Micro
Tuliweka bomba tatu za SharkTap ili kufuatilia trafiki yote ya nje kwa PLC, inayopatikana tu kutoka kwa mtandao wa ndani. SharkTap ya nne ilifuatilia trafiki ya wageni wa mashine ya mtandaoni iliyo hatarini.
SharkTap Ethernet Tap na Sierra Wireless AirLink RV50 Router. Chanzo: Trend Micro
Raspberry Pi ilifanya kunasa trafiki kila siku. Tuliunganisha kwenye Mtandao kwa kutumia kipanga njia cha simu cha Sierra Wireless AirLink RV50, ambacho hutumiwa mara nyingi katika makampuni ya viwanda.
Kwa bahati mbaya, kipanga njia hiki hakikuturuhusu kuzuia kwa hiari mashambulizi ambayo hayalingani na mipango yetu, kwa hivyo tuliongeza ngome ya moto ya Cisco ASA 5505 kwenye mtandao katika hali ya uwazi ili kutekeleza uzuiaji na athari ndogo kwenye mtandao.
Uchambuzi wa trafiki
Tshark na tcpdump zinafaa kwa haraka kutatua masuala ya sasa, lakini kwa upande wetu uwezo wao haukuwa wa kutosha, kwa kuwa tulikuwa na gigabytes nyingi za trafiki, ambazo zilichambuliwa na watu kadhaa. Tulitumia kichanganuzi cha chanzo-wazi cha Moloch kilichotengenezwa na AOL. Inalinganishwa katika utendaji kazi na Wireshark, lakini ina uwezo zaidi wa kushirikiana, kuelezea na kuweka lebo za vifurushi, kusafirisha nje na kazi zingine.
Kwa kuwa hatukutaka kuchakata data iliyokusanywa kwenye kompyuta za chungu cha asali, dampo za PCAP zilisafirishwa kila siku hadi kwenye hifadhi ya AWS, kutoka ambapo tayari tuliziingiza kwenye mashine ya Moloch.
Kurekodi skrini
Ili kuandika vitendo vya wadukuzi kwenye chungu chetu cha asali, tuliandika hati ambayo ilichukua picha za skrini za mashine pepe kwa muda fulani na, tukiilinganisha na picha ya skrini iliyotangulia, tukaamua ikiwa kitu kilikuwa kikifanyika hapo au la. Shughuli ilipogunduliwa, hati ilijumuisha kurekodi skrini. Njia hii iligeuka kuwa yenye ufanisi zaidi. Tulijaribu pia kuchanganua trafiki ya VNC kutoka kwenye dampo la PCAP ili kuelewa ni mabadiliko gani yalikuwa yametokea kwenye mfumo, lakini mwishowe urekodiji wa skrini tuliotekeleza uligeuka kuwa rahisi na unaoonekana zaidi.
Kufuatilia vikao vya VNC
Kwa hili tulitumia Chaosreader na VNCLogger. Huduma zote mbili huchota vibonye kutoka kwa dampo la PCAP, lakini VNCLogger hushughulikia vitufe kama Backspace, Enter, Ctrl kwa usahihi zaidi.
VNCLogger ina hasara mbili. Kwanza: inaweza tu kutoa funguo kwa "kusikiliza" trafiki kwenye kiolesura, kwa hivyo tulilazimika kuiga kikao cha VNC kwa kutumia tcpreplay. Ubaya wa pili wa VNCLogger ni wa kawaida kwa Chaosreader: zote mbili hazionyeshi yaliyomo kwenye ubao wa kunakili. Ili kufanya hivyo ilibidi nitumie Wireshark.
Tunawavutia wadukuzi
Tuliunda chungu cha asali ili kushambuliwa. Ili kufanikisha hili, tuliandaa uvujaji wa taarifa ili kuvutia tahadhari ya washambuliaji watarajiwa. Bandari zifuatazo zilifunguliwa kwenye sufuria ya asali:
Ilibidi bandari ya RDP ifungwe muda mfupi baada ya kuanza kutumika kwa sababu idadi kubwa ya watazamaji kwenye mtandao wetu ilikuwa ikisababisha matatizo ya utendakazi.
Vituo vya VNC kwanza vilifanya kazi katika hali ya kutazama tu bila nenosiri, na kisha "kwa makosa" tukawabadilisha kwenye hali kamili ya kufikia.
Ili kuvutia wavamizi, tulichapisha machapisho mawili yenye taarifa iliyovuja kuhusu mfumo unaopatikana wa viwanda kwenye PasteBin.
Moja ya machapisho yaliyotumwa kwenye PasteBin ili kuvutia mashambulizi. Chanzo: Trend Micro
mashambulizi
Honeypot iliishi mtandaoni kwa takriban miezi saba. Shambulio la kwanza lilitokea mwezi mmoja baada ya asali kuingia mtandaoni.
Skena
Kulikuwa na trafiki nyingi kutoka kwa scanners za makampuni maalumu - ip-ip, Rapid, Seva ya Kivuli, Shodan, ZoomEye na wengine. Kulikuwa na wengi wao hivi kwamba ilitubidi kuwatenga anwani zao za IP kwenye uchanganuzi: 610 kati ya 9452 au 6,45% ya anwani zote za kipekee za IP zilikuwa za vitambazaji halali kabisa.
Scammers
Hatari moja kubwa ambayo tumekabiliana nayo ni matumizi ya mfumo wetu kwa madhumuni ya uhalifu: kununua simu mahiri kupitia akaunti ya mteja, kutoa pesa maili za ndege kwa kutumia kadi za zawadi na aina zingine za ulaghai.
Wachimbaji madini
Mmoja wa wageni wa kwanza kwenye mfumo wetu aligeuka kuwa mchimba madini. Alipakua programu ya madini ya Monero ndani yake. Asingeweza kupata pesa nyingi kwenye mfumo wetu fulani kutokana na uzalishaji mdogo. Walakini, ikiwa tutachanganya juhudi za dazeni kadhaa au hata mamia ya mifumo kama hiyo, inaweza kuwa nzuri kabisa.
Ukombozi
Wakati wa kazi ya asali, tulikutana na virusi vya ukombozi wa kweli mara mbili. Katika kesi ya kwanza ilikuwa Crysis. Waendeshaji wake waliingia kwenye mfumo kupitia VNC, lakini kisha wakaweka TeamViewer na kuitumia kufanya vitendo zaidi. Baada ya kungoja ujumbe wa ulaghai unaodai fidia ya $ 10 katika BTC, tuliingia katika mawasiliano na wahalifu, tukiwauliza watupunguzie faili moja ya faili. Walitii ombi hilo na kurudia ombi la fidia. Tuliweza kujadili hadi dola elfu 6, baada ya hapo tulipakia tena mfumo kwenye mashine ya kawaida, kwani tulipokea habari zote muhimu.
Ransomware ya pili iligeuka kuwa Phobos. Mdukuzi aliyeisakinisha alitumia saa moja kuvinjari mfumo wa faili wa chungu cha asali na kuchanganua mtandao, na hatimaye akasakinisha programu ya ukombozi.
Shambulio la tatu la ukombozi liligeuka kuwa bandia. βMdukuziβ asiyejulikana alipakua faili ya haha.bat kwenye mfumo wetu, kisha tukatazama kwa muda alipokuwa akijaribu kuifanya ifanye kazi. Jaribio mojawapo lilikuwa kubadili jina la haha.bat hadi haha.rnsmwr.
"Mdukuzi" huongeza madhara ya faili ya popo kwa kubadilisha kiendelezi chake hadi .rnsmwr. Chanzo: Trend Micro
Wakati faili ya kundi ilipoanza kufanya kazi, "hacker" aliihariri, na kuongeza fidia kutoka $200 hadi $750. Baada ya hapo, "alificha" faili zote, akaacha ujumbe wa ulafi kwenye desktop na kutoweka, akibadilisha nywila kwenye VNC yetu.
Siku chache baadaye, mdukuzi alirudi na, ili kujikumbusha, alizindua faili ya batch ambayo ilifungua madirisha mengi na tovuti ya ponografia. Inavyoonekana, kwa njia hii alijaribu kuteka uangalifu kwa mahitaji yake.
Matokeo ya
Wakati wa utafiti, iliibuka kuwa mara tu habari juu ya hatari hiyo ilipochapishwa, sufuria ya asali ilivutia umakini, na shughuli zilikua siku baada ya siku. Ili mtego upate umakini, kampuni yetu ya uwongo ililazimika kuteseka na ukiukaji mwingi wa usalama. Kwa bahati mbaya, hali hii ni mbali na kawaida kati ya makampuni mengi ya kweli ambayo hawana IT ya wakati wote na wafanyakazi wa usalama wa habari.
Kwa ujumla, mashirika yanapaswa kutumia kanuni ya upendeleo mdogo, huku tukitekeleza kinyume chake ili kuvutia wavamizi. Na kadri tulivyotazama mashambulizi kwa muda mrefu, ndivyo yalivyozidi kuwa ya kisasa ikilinganishwa na mbinu za kawaida za kupima upenyezaji.
Na muhimu zaidi, mashambulizi haya yote yangefeli ikiwa hatua za kutosha za usalama zingetekelezwa wakati wa kuanzisha mtandao. Mashirika lazima yahakikishe kuwa vifaa vyao na vipengele vya miundombinu ya viwanda havipatikani kutoka kwa Mtandao, kama tulivyofanya katika mtego wetu.
Ingawa hatujarekodi shambulio moja kwenye kituo cha kazi cha mhandisi, licha ya kutumia nenosiri sawa la msimamizi wa eneo kwenye kompyuta zote, zoezi hili linafaa kuepukwa ili kupunguza uwezekano wa kuingiliwa. Baada ya yote, usalama dhaifu hutumika kama mwaliko wa ziada wa kushambulia mifumo ya viwanda, ambayo kwa muda mrefu imekuwa ya kupendeza kwa wahalifu wa mtandao.
Chanzo: mapenzi.com