சொல்லமுடியாத கவர்ச்சியானது: வெளிப்படுத்த முடியாத ஒரு ஹனிபாட்டை எப்படி உருவாக்கினோம்

வைரஸ் தடுப்பு நிறுவனங்கள், தகவல் பாதுகாப்பு வல்லுநர்கள் மற்றும் ஆர்வலர்கள் வைரஸின் புதிய மாறுபாட்டை "பிடிக்க" அல்லது அசாதாரண ஹேக்கர் தந்திரங்களை அடையாளம் காண ஹனிபாட் அமைப்புகளை இணையத்தில் வைக்கின்றனர். ஹனிபாட்கள் மிகவும் பொதுவானவை, சைபர் கிரைமினல்கள் ஒரு வகையான நோய் எதிர்ப்பு சக்தியை உருவாக்கியுள்ளனர்: அவர்கள் ஒரு பொறிக்கு முன்னால் இருப்பதை அவர்கள் விரைவாக அடையாளம் கண்டு அதை புறக்கணிக்கிறார்கள். நவீன ஹேக்கர்களின் தந்திரோபாயங்களை ஆராய்வதற்காக, நாங்கள் ஏழு மாதங்கள் இணையத்தில் வாழ்ந்து, பல்வேறு தாக்குதல்களை ஈர்க்கும் ஒரு யதார்த்தமான ஹனிபாட் ஒன்றை உருவாக்கினோம். எங்கள் ஆய்வில் இது எப்படி நடந்தது என்பதைப் பற்றி நாங்கள் பேசினோம் "சட்டத்தில் சிக்கியது: உண்மையான அச்சுறுத்தல்களைக் கைப்பற்ற ஒரு யதார்த்தமான தொழிற்சாலை ஹனிபாட் நடத்துதல்" ஆய்வின் சில உண்மைகள் இந்தப் பதிவில் உள்ளன.

ஹனிபாட் வளர்ச்சி: சரிபார்ப்பு பட்டியல்

எங்கள் சூப்பர்ட்ராப்பை உருவாக்கும் முக்கிய பணி, அதில் ஆர்வம் காட்டிய ஹேக்கர்களால் நம்மை வெளிப்படுத்துவதைத் தடுப்பதாகும். இதற்கு நிறைய வேலை தேவைப்பட்டது:

1. ஊழியர்களின் முழுப் பெயர்கள் மற்றும் புகைப்படங்கள், ஃபோன் எண்கள் மற்றும் மின்னஞ்சல்கள் உட்பட நிறுவனத்தைப் பற்றிய ஒரு யதார்த்தமான புராணக்கதையை உருவாக்கவும்.
2. எங்கள் நிறுவனத்தின் செயல்பாடுகள் பற்றிய புராணக்கதைக்கு ஒத்த தொழில்துறை உள்கட்டமைப்பின் மாதிரியைக் கொண்டு வந்து செயல்படுத்தவும்.
3. எந்த நெட்வொர்க் சேவைகளை வெளியில் இருந்து அணுக முடியும் என்பதைத் தீர்மானிக்கவும், ஆனால் பாதிக்கப்படக்கூடிய துறைமுகங்களைத் திறப்பதன் மூலம் அது உறிஞ்சிகளுக்கு ஒரு பொறியாகத் தெரியவில்லை.
4. பாதிக்கப்படக்கூடிய அமைப்பு பற்றிய தகவல் கசிவுகளின் தெரிவுநிலையை ஒழுங்கமைத்து, இந்தத் தகவலை சாத்தியமான தாக்குபவர்களிடையே விநியோகிக்கவும்.
5. ஹனிபாட் உள்கட்டமைப்பில் ஹேக்கர் செயல்பாடுகளை விவேகமான கண்காணிப்பை செயல்படுத்தவும்.

இப்போது எல்லாவற்றையும் பற்றி.

ஒரு புராணத்தை உருவாக்குதல்

சைபர் கிரைமினல்கள் ஏற்கனவே நிறைய ஹனிபாட்களைச் சந்திக்கப் பழகிவிட்டனர், எனவே அவர்களில் மிகவும் மேம்பட்ட பகுதியானது, அது ஒரு பொறி அல்ல என்பதை உறுதிப்படுத்த ஒவ்வொரு பாதிக்கப்படக்கூடிய அமைப்புகளின் ஆழமான விசாரணையை நடத்துகிறது. அதே காரணத்திற்காக, ஹனிபாட் வடிவமைப்பு மற்றும் தொழில்நுட்ப அம்சங்களில் யதார்த்தமானதாக மட்டுமல்லாமல், உண்மையான நிறுவனத்தின் தோற்றத்தை உருவாக்கவும் நாங்கள் முயன்றோம்.

ஒரு கற்பனையான கூல் ஹேக்கரின் காலணியில் நம்மை ஈடுபடுத்திக் கொண்டு, ஒரு உண்மையான அமைப்பை ஒரு பொறியிலிருந்து வேறுபடுத்தும் சரிபார்ப்பு அல்காரிதத்தை நாங்கள் உருவாக்கினோம். நற்பெயர் அமைப்புகளில் நிறுவனத்தின் ஐபி முகவரிகளைத் தேடுதல், ஐபி முகவரிகளின் வரலாற்றைத் தலைகீழாக ஆய்வு செய்தல், நிறுவனத்துடன் தொடர்புடைய பெயர்கள் மற்றும் முக்கிய வார்த்தைகளைத் தேடுதல், அத்துடன் அதன் எதிர் கட்சிகள் மற்றும் பல விஷயங்கள் இதில் அடங்கும். இதன் விளைவாக, புராணக்கதை மிகவும் உறுதியானதாகவும் கவர்ச்சிகரமானதாகவும் மாறியது.

இராணுவம் மற்றும் விமானப் பிரிவில் உள்ள மிகப் பெரிய அநாமதேய வாடிக்கையாளர்களுக்காக வேலை செய்யும் ஒரு சிறிய தொழில்துறை முன்மாதிரி பூட்டிக்காக டிகோய் தொழிற்சாலையை நிலைநிறுத்த முடிவு செய்தோம். இது ஏற்கனவே உள்ள பிராண்டைப் பயன்படுத்துவதில் உள்ள சட்டச் சிக்கல்களில் இருந்து எங்களை விடுவித்தது.

அடுத்து நாம் ஒரு தொலைநோக்கு, பணி மற்றும் அமைப்புக்கான பெயரைக் கொண்டு வர வேண்டியிருந்தது. எங்கள் நிறுவனம் ஒரு சிறிய எண்ணிக்கையிலான ஊழியர்களைக் கொண்ட ஒரு தொடக்கமாக இருக்க வேண்டும் என்று நாங்கள் முடிவு செய்தோம், அவர்கள் ஒவ்வொருவரும் ஒரு நிறுவனர். இது எங்கள் வணிகத்தின் சிறப்புத் தன்மையின் கதைக்கு நம்பகத்தன்மையைச் சேர்த்தது, இது பெரிய மற்றும் முக்கியமான வாடிக்கையாளர்களுக்கான முக்கியமான திட்டங்களைக் கையாள அனுமதிக்கிறது. இணையப் பாதுகாப்புக் கண்ணோட்டத்தில் எங்கள் நிறுவனம் பலவீனமாகத் தோன்ற வேண்டும் என்று நாங்கள் விரும்பினோம், ஆனால் அதே நேரத்தில் இலக்கு அமைப்புகளில் முக்கியமான சொத்துக்களுடன் நாங்கள் வேலை செய்கிறோம் என்பது தெளிவாகத் தெரிந்தது.

MeTech honeypot இணையதளத்தின் ஸ்கிரீன்ஷாட். ஆதாரம்: ட்ரெண்ட் மைக்ரோ

நிறுவனத்தின் பெயராக MeTech என்ற வார்த்தையைத் தேர்ந்தெடுத்தோம். தளம் இலவச டெம்ப்ளேட்டின் அடிப்படையில் உருவாக்கப்பட்டது. புகைப்பட வங்கிகளில் இருந்து எடுக்கப்பட்ட படங்கள், மிகவும் பிரபலமில்லாதவற்றைப் பயன்படுத்தி, அவற்றைக் குறைவாக அடையாளம் காணும் வகையில் மாற்றியமைத்தன.

நிறுவனம் உண்மையானதாக இருக்க வேண்டும் என்று நாங்கள் விரும்பினோம், எனவே செயல்பாட்டின் சுயவிவரத்துடன் பொருந்தக்கூடிய தொழில்முறை திறன்களைக் கொண்ட பணியாளர்களைச் சேர்க்க வேண்டும். நாங்கள் அவர்களுக்கான பெயர்கள் மற்றும் ஆளுமைகளைக் கொண்டு வந்தோம், பின்னர் புகைப்பட வங்கிகளில் இருந்து இனத்தின்படி படங்களைத் தேர்ந்தெடுக்க முயற்சித்தோம்.

MeTech honeypot இணையதளத்தின் ஸ்கிரீன்ஷாட். ஆதாரம்: ட்ரெண்ட் மைக்ரோ

கண்டுபிடிக்கப்படுவதைத் தவிர்க்க, நல்ல தரமான குழுப் புகைப்படங்களைத் தேடினோம், அதில் இருந்து நமக்குத் தேவையான முகங்களைத் தேர்வுசெய்யலாம். இருப்பினும், இந்த விருப்பத்தை நாங்கள் கைவிட்டோம், ஏனெனில் சாத்தியமான ஹேக்கர் தலைகீழ் படத் தேடலைப் பயன்படுத்தி, எங்கள் "ஊழியர்கள்" புகைப்பட வங்கிகளில் மட்டுமே வாழ்கிறார்கள் என்பதைக் கண்டறியலாம். முடிவில், நரம்பியல் நெட்வொர்க்குகளைப் பயன்படுத்தி உருவாக்கப்பட்ட இல்லாத நபர்களின் புகைப்படங்களைப் பயன்படுத்தினோம்.

தளத்தில் வெளியிடப்பட்ட பணியாளர் சுயவிவரங்களில் அவர்களின் தொழில்நுட்ப திறன்கள் பற்றிய முக்கியமான தகவல்கள் உள்ளன, ஆனால் குறிப்பிட்ட பள்ளிகள் அல்லது நகரங்களை அடையாளம் காண்பதை நாங்கள் தவிர்த்துவிட்டோம்.
அஞ்சல் பெட்டிகளை உருவாக்க, நாங்கள் ஹோஸ்டிங் வழங்குநரின் சேவையகத்தைப் பயன்படுத்தினோம், பின்னர் அமெரிக்காவில் பல தொலைபேசி எண்களை வாடகைக்கு எடுத்து, குரல் மெனு மற்றும் பதிலளிக்கும் இயந்திரத்துடன் மெய்நிகர் PBX ஆக இணைத்தோம்.

ஹனிபாட் உள்கட்டமைப்பு

வெளிப்படுவதைத் தவிர்க்க, உண்மையான தொழில்துறை வன்பொருள், இயற்பியல் கணினிகள் மற்றும் பாதுகாப்பான மெய்நிகர் இயந்திரங்களின் கலவையைப் பயன்படுத்த முடிவு செய்தோம். முன்னோக்கிப் பார்க்கும்போது, ​​ஷோடான் தேடுபொறியைப் பயன்படுத்தி எங்கள் முயற்சியின் முடிவை நாங்கள் சரிபார்த்தோம் என்று கூறுவோம், மேலும் இது ஹனிபாட் ஒரு உண்மையான தொழில்துறை அமைப்பாக இருப்பதைக் காட்டியது.

ஷோடனைப் பயன்படுத்தி ஒரு ஹனிபாட்டை ஸ்கேன் செய்ததன் விளைவு. ஆதாரம்: ட்ரெண்ட் மைக்ரோ

எங்கள் பொறிக்கு நான்கு பிஎல்சிகளை வன்பொருளாகப் பயன்படுத்தினோம்:

• சீமென்ஸ் S7-1200,
• இரண்டு AllenBradley MicroLogix 1100,
• ஓம்ரான் CP1L.

இந்த PLCக்கள் உலகளாவிய கட்டுப்பாட்டு அமைப்பு சந்தையில் அவற்றின் பிரபலத்திற்காக தேர்ந்தெடுக்கப்பட்டன. இந்த கட்டுப்படுத்திகள் ஒவ்வொன்றும் அதன் சொந்த நெறிமுறையைப் பயன்படுத்துகின்றன, இது எந்த PLC களில் அடிக்கடி தாக்கப்படும் மற்றும் அவர்கள் கொள்கையளவில் யாராவது ஆர்வமாக இருக்கிறார்களா என்பதை சரிபார்க்க எங்களுக்கு அனுமதித்தது.

எங்கள் "தொழிற்சாலை"-பொறியின் உபகரணங்கள். ஆதாரம்: ட்ரெண்ட் மைக்ரோ

நாங்கள் வன்பொருளை நிறுவி இணையத்துடன் இணைக்கவில்லை. உள்ளிட்ட பணிகளைச் செய்ய ஒவ்வொரு கன்ட்ரோலரையும் நிரலாக்கினோம்

• கலவை,
• பர்னர் மற்றும் கன்வேயர் பெல்ட் கட்டுப்பாடு,
• ஒரு ரோபோட்டிக் கையாளுபவரைப் பயன்படுத்தி பலப்படுத்துதல்.

உற்பத்தி செயல்முறையை யதார்த்தமானதாக மாற்ற, பின்னூட்ட அளவுருக்களை தோராயமாக மாற்றுவதற்கும், மோட்டார்கள் தொடங்குவதையும் நிறுத்துவதையும் உருவகப்படுத்துவதற்கும், பர்னர்களை ஆன் மற்றும் ஆஃப் செய்வதற்கும் தர்க்கத்தை நாங்கள் திட்டமிட்டுள்ளோம்.

எங்கள் தொழிற்சாலையில் மூன்று மெய்நிகர் கணினிகள் மற்றும் ஒரு இயற்பியல் கணினி இருந்தது. விர்ச்சுவல் கம்ப்யூட்டர்கள் ஒரு ஆலை, ஒரு பாலேட்டிசர் ரோபோ மற்றும் ஒரு PLC மென்பொருள் பொறியாளரின் பணிநிலையத்தைக் கட்டுப்படுத்த பயன்படுத்தப்பட்டன. இயற்பியல் கணினி ஒரு கோப்பு சேவையகமாக வேலை செய்தது.

PLCக்கள் மீதான தாக்குதல்களைக் கண்காணிப்பதோடு, எங்கள் சாதனங்களில் ஏற்றப்பட்ட நிரல்களின் நிலையைக் கண்காணிக்க விரும்புகிறோம். இதைச் செய்ய, எங்கள் விர்ச்சுவல் ஆக்சுவேட்டர்கள் மற்றும் நிறுவல்களின் நிலைகள் எவ்வாறு மாற்றப்பட்டன என்பதை விரைவாகத் தீர்மானிக்க அனுமதிக்கும் ஒரு இடைமுகத்தை நாங்கள் உருவாக்கினோம். ஏற்கனவே திட்டமிடல் கட்டத்தில், கட்டுப்படுத்தி தர்க்கத்தின் நேரடி நிரலாக்கத்தை விட, கட்டுப்பாட்டு நிரலைப் பயன்படுத்தி இதைச் செயல்படுத்துவது மிகவும் எளிதானது என்பதை நாங்கள் கண்டுபிடித்தோம். கடவுச்சொல் இல்லாமல் VNC வழியாக எங்கள் ஹனிபாட்டின் சாதன மேலாண்மை இடைமுகத்திற்கான அணுகலைத் திறந்தோம்.

தொழில்துறை ரோபோக்கள் நவீன ஸ்மார்ட் உற்பத்தியின் முக்கிய அங்கமாகும். இது சம்பந்தமாக, எங்கள் பொறி தொழிற்சாலையின் உபகரணங்களில் அதைக் கட்டுப்படுத்த ஒரு ரோபோ மற்றும் ஒரு தானியங்கி பணியிடத்தைச் சேர்க்க முடிவு செய்தோம். "தொழிற்சாலையை" மிகவும் யதார்த்தமானதாக மாற்ற, கட்டுப்பாட்டு பணிநிலையத்தில் உண்மையான மென்பொருளை நிறுவியுள்ளோம், ரோபோவின் தர்க்கத்தை வரைபடமாக நிரல் செய்ய பொறியாளர்கள் பயன்படுத்துகின்றனர். தொழில்துறை ரோபோக்கள் பொதுவாக தனிமைப்படுத்தப்பட்ட உள் நெட்வொர்க்கில் இருப்பதால், VNC வழியாக பாதுகாப்பற்ற அணுகலை கட்டுப்பாட்டு பணிநிலையத்திற்கு மட்டுமே விட முடிவு செய்தோம்.

எங்கள் ரோபோவின் 3D மாதிரியுடன் கூடிய RobotStudio சூழல். ஆதாரம்: ட்ரெண்ட் மைக்ரோ

ABB Robotics இலிருந்து RobotStudio நிரலாக்க சூழலை ரோபோ கட்டுப்பாட்டு பணிநிலையத்துடன் கூடிய மெய்நிகர் கணினியில் நிறுவியுள்ளோம். RobotStudioவை உள்ளமைத்த பிறகு, அதன் 3D படம் திரையில் தெரியும்படி, அதில் எங்கள் ரோபோவுடன் உருவகப்படுத்துதல் கோப்பைத் திறந்தோம். இதன் விளைவாக, ஷோடான் மற்றும் பிற தேடுபொறிகள், பாதுகாப்பற்ற VNC சேவையகத்தைக் கண்டறிந்ததும், இந்தத் திரைப் படத்தைப் பிடித்து, கட்டுப்பாட்டுக்கான திறந்த அணுகலுடன் தொழில்துறை ரோபோக்களைத் தேடுபவர்களுக்குக் காண்பிக்கும்.

இந்த விவரங்களுக்கு கவனம் செலுத்துவது, தாக்குபவர்களுக்கு ஒரு கவர்ச்சிகரமான மற்றும் யதார்த்தமான இலக்கை உருவாக்குவதாகும், அவர்கள் அதைக் கண்டறிந்ததும், மீண்டும் மீண்டும் அதற்குத் திரும்புவார்கள்.

பொறியாளர் பணிநிலையம்

PLC லாஜிக்கை நிரல்படுத்த, உள்கட்டமைப்பில் ஒரு பொறியியல் கணினியைச் சேர்த்துள்ளோம். PLC நிரலாக்கத்திற்கான தொழில்துறை மென்பொருள் அதில் நிறுவப்பட்டது:

• சீமென்ஸிற்கான TIA போர்டல்,
• ஆலன்-பிராட்லி கட்டுப்படுத்திக்கான மைக்ரோலாஜிக்ஸ்,
• Omron க்கான CX-ஒன்.

நெட்வொர்க்கிற்கு வெளியே பொறியியல் பணியிடத்தை அணுக முடியாது என்று முடிவு செய்தோம். அதற்கு பதிலாக, ரோபோ கட்டுப்பாட்டு பணிநிலையம் மற்றும் இணையத்திலிருந்து அணுகக்கூடிய தொழிற்சாலை கட்டுப்பாட்டு பணிநிலையத்தில் உள்ள அதே கடவுச்சொல்லை நிர்வாகி கணக்கிற்கும் அமைத்துள்ளோம். இந்த அமைப்பு பல நிறுவனங்களில் மிகவும் பொதுவானது.
துரதிர்ஷ்டவசமாக, எங்களின் அனைத்து முயற்சிகளையும் மீறி, ஒரு தாக்குபவர் கூட பொறியாளரின் பணிநிலையத்தை அடையவில்லை.

கோப்பு சேவையகம்

தாக்குபவர்களுக்கான தூண்டில் மற்றும் டிகோய் தொழிற்சாலையில் எங்கள் சொந்த "வேலையை" ஆதரிக்கும் வழிமுறையாக எங்களுக்கு இது தேவைப்பட்டது. இது ஹனிபாட் நெட்வொர்க்கில் ஒரு தடயமும் இல்லாமல் USB சாதனங்களைப் பயன்படுத்தி எங்கள் ஹனிபாட் உடன் கோப்புகளைப் பகிர அனுமதித்தது. கோப்பு சேவையகத்திற்கான OS ஆக Windows 7 Pro ஐ நிறுவியுள்ளோம், அதில் யாராலும் படிக்கக்கூடிய மற்றும் எழுதக்கூடிய பகிரப்பட்ட கோப்புறையை உருவாக்கினோம்.

முதலில் நாங்கள் கோப்பு சேவையகத்தில் கோப்புறைகள் மற்றும் ஆவணங்களின் படிநிலையை உருவாக்கவில்லை. இருப்பினும், தாக்குபவர்கள் இந்த கோப்புறையை தீவிரமாகப் படிப்பதை நாங்கள் பின்னர் கண்டுபிடித்தோம், எனவே அதை பல்வேறு கோப்புகளுடன் நிரப்ப முடிவு செய்தோம். இதைச் செய்ய, பைதான் ஸ்கிரிப்டை நாங்கள் எழுதினோம், அது கொடுக்கப்பட்ட நீட்டிப்புகளில் ஒன்றைக் கொண்டு சீரற்ற அளவிலான கோப்பை உருவாக்கி, அகராதியின் அடிப்படையில் ஒரு பெயரை உருவாக்குகிறது.

கவர்ச்சிகரமான கோப்பு பெயர்களை உருவாக்குவதற்கான ஸ்கிரிப்ட். ஆதாரம்: ட்ரெண்ட் மைக்ரோ

ஸ்கிரிப்டை இயக்கிய பிறகு, மிகவும் சுவாரஸ்யமான பெயர்களைக் கொண்ட கோப்புகளால் நிரப்பப்பட்ட கோப்புறையின் வடிவத்தில் விரும்பிய முடிவைப் பெற்றோம்.

ஸ்கிரிப்ட்டின் முடிவு. ஆதாரம்: ட்ரெண்ட் மைக்ரோ

சூழல் கண்காணிப்பு

ஒரு யதார்த்தமான நிறுவனத்தை உருவாக்குவதற்கு அதிக முயற்சிகளை செலவிட்டதால், எங்கள் "பார்வையாளர்களை" கண்காணிக்கும் சூழலில் தோல்வியடைய முடியாது. தாக்குபவர்கள் தாங்கள் பார்க்கப்படுவதை உணராமல் எல்லா தரவையும் உண்மையான நேரத்தில் பெற வேண்டும்.

நான்கு USB டு ஈதர்நெட் அடாப்டர்கள், நான்கு SharkTap ஈதர்நெட் தட்டுகள், ஒரு Raspberry Pi 3 மற்றும் ஒரு பெரிய வெளிப்புற இயக்கி ஆகியவற்றைப் பயன்படுத்தி இதைச் செயல்படுத்தினோம். எங்கள் பிணைய வரைபடம் இப்படி இருந்தது:

கண்காணிப்புக் கருவியுடன் ஹனிபாட் நெட்வொர்க் வரைபடம். ஆதாரம்: ட்ரெண்ட் மைக்ரோ

PLCக்கான அனைத்து வெளிப்புற போக்குவரத்தையும் கண்காணிக்க மூன்று SharkTap தட்டுகளை நாங்கள் அமைத்துள்ளோம், உள் நெட்வொர்க்கில் இருந்து மட்டுமே அணுக முடியும். நான்காவது SharkTap பாதிக்கப்படக்கூடிய மெய்நிகர் இயந்திரத்தின் விருந்தினர்களின் போக்குவரத்தை கண்காணித்தது.

ஷார்க்டாப் ஈதர்நெட் டேப் மற்றும் சியரா வயர்லெஸ் ஏர்லிங்க் ஆர்வி50 ரூட்டர். ஆதாரம்: ட்ரெண்ட் மைக்ரோ

ராஸ்பெர்ரி பை தினசரி ட்ராஃபிக் கேப்சர் செய்தது. பெரும்பாலும் தொழில்துறை நிறுவனங்களில் பயன்படுத்தப்படும் சியரா வயர்லெஸ் ஏர்லிங்க் RV50 செல்லுலார் ரூட்டரைப் பயன்படுத்தி இணையத்துடன் இணைத்துள்ளோம்.

துரதிர்ஷ்டவசமாக, எங்கள் திட்டங்களுடன் பொருந்தாத தாக்குதல்களைத் தேர்ந்தெடுத்துத் தடுக்க இந்த திசைவி எங்களை அனுமதிக்கவில்லை, எனவே நெட்வொர்க்கில் குறைந்தபட்ச தாக்கத்துடன் தடுப்பதைச் செய்ய, வெளிப்படையான பயன்முறையில் நெட்வொர்க்கில் Cisco ASA 5505 ஃபயர்வாலைச் சேர்த்துள்ளோம்.

போக்குவரத்து பகுப்பாய்வு

தற்போதைய சிக்கல்களை விரைவாகத் தீர்க்க Tshark மற்றும் tcpdump ஆகியவை பொருத்தமானவை, ஆனால் எங்கள் விஷயத்தில் அவற்றின் திறன்கள் போதுமானதாக இல்லை, ஏனெனில் எங்களிடம் பல ஜிகாபைட் போக்குவரத்து இருந்தது, அவை பலரால் பகுப்பாய்வு செய்யப்பட்டன. AOL ஆல் உருவாக்கப்பட்ட ஓப்பன் சோர்ஸ் மோலோக் பகுப்பாய்வியைப் பயன்படுத்தினோம். இது செயல்பாட்டில் Wireshark உடன் ஒப்பிடத்தக்கது, ஆனால் ஒத்துழைப்பு, விவரித்தல் மற்றும் தொகுப்புகளை குறியிடுதல், ஏற்றுமதி செய்தல் மற்றும் பிற பணிகளுக்கான அதிக திறன்களைக் கொண்டுள்ளது.

ஹனிபாட் கணினிகளில் சேகரிக்கப்பட்ட தரவை நாங்கள் செயலாக்க விரும்பாததால், PCAP டம்ப்கள் ஒவ்வொரு நாளும் AWS சேமிப்பகத்திற்கு ஏற்றுமதி செய்யப்பட்டன, அங்கிருந்து நாங்கள் ஏற்கனவே அவற்றை Moloch இயந்திரத்தில் இறக்குமதி செய்துள்ளோம்.

திரை பதிவு

எங்கள் ஹனிபாட்டில் ஹேக்கர்களின் செயல்களை ஆவணப்படுத்த, ஒரு குறிப்பிட்ட இடைவெளியில் மெய்நிகர் இயந்திரத்தின் ஸ்கிரீன்ஷாட்களை எடுத்து, முந்தைய ஸ்கிரீன்ஷாட்டுடன் ஒப்பிட்டு, அங்கு ஏதாவது நடக்கிறதா இல்லையா என்பதைத் தீர்மானித்த ஸ்கிரிப்டை நாங்கள் எழுதினோம். செயல்பாடு கண்டறியப்பட்டபோது, ​​ஸ்கிரிப்டில் ஸ்கிரீன் ரெக்கார்டிங் இருந்தது. இந்த அணுகுமுறை மிகவும் பயனுள்ளதாக மாறியது. கணினியில் என்ன மாற்றங்கள் நிகழ்ந்தன என்பதைப் புரிந்துகொள்ள PCAP டம்ப்பில் இருந்து VNC ட்ராஃபிக்கைப் பகுப்பாய்வு செய்ய முயற்சித்தோம், ஆனால் இறுதியில் நாங்கள் செயல்படுத்திய திரைப் பதிவு எளிமையாகவும் காட்சியாகவும் மாறியது.

VNC அமர்வுகளை கண்காணித்தல்

இதற்கு நாங்கள் Chaosreader மற்றும் VNCLogger ஐப் பயன்படுத்தினோம். இரண்டு பயன்பாடுகளும் PCAP டம்ப்பில் இருந்து விசை அழுத்தங்களைப் பிரித்தெடுக்கின்றன, ஆனால் VNCLogger Backspace, Enter, Ctrl போன்ற விசைகளை மிகவும் சரியாகக் கையாளுகிறது.

VNCLogger இரண்டு குறைபாடுகளைக் கொண்டுள்ளது. முதலில்: இது இடைமுகத்தில் டிராஃபிக்கை "கேட்குதல்" மூலம் மட்டுமே விசைகளைப் பிரித்தெடுக்க முடியும், எனவே tcpreplay ஐப் பயன்படுத்தி VNC அமர்வை நாம் உருவகப்படுத்த வேண்டும். VNCLogger இன் இரண்டாவது குறைபாடு Chaosreader உடன் பொதுவானது: அவை இரண்டும் கிளிப்போர்டின் உள்ளடக்கங்களைக் காட்டாது. இதைச் செய்ய நான் வயர்ஷார்க்கைப் பயன்படுத்த வேண்டியிருந்தது.

நாங்கள் ஹேக்கர்களை ஈர்க்கிறோம்

நாங்கள் தாக்கப்படுவதற்காக தேன் பானையை உருவாக்கினோம். இதை அடைய, சாத்தியமான தாக்குபவர்களின் கவனத்தை ஈர்க்கும் வகையில் தகவல் கசிவை நாங்கள் அரங்கேற்றினோம். ஹனிபாட்டில் பின்வரும் துறைமுகங்கள் திறக்கப்பட்டன:

நாங்கள் நேரலைக்கு வந்த சிறிது நேரத்திலேயே RDP போர்ட் மூடப்பட வேண்டியதாயிற்று, ஏனெனில் எங்கள் நெட்வொர்க்கில் அதிக அளவிலான ஸ்கேனிங் ட்ராஃபிக் செயல்திறன் சிக்கல்களை ஏற்படுத்தியது.
VNC டெர்மினல்கள் முதலில் கடவுச்சொல் இல்லாமல் பார்வைக்கு மட்டும் பயன்முறையில் வேலை செய்தன, பின்னர் "தவறாக" அவற்றை முழு அணுகல் பயன்முறைக்கு மாற்றினோம்.

தாக்குபவர்களை ஈர்க்க, PasteBin இல் உள்ள தொழில்துறை அமைப்பு பற்றிய கசிந்த தகவல்களுடன் இரண்டு இடுகைகளை நாங்கள் இடுகையிட்டோம்.

தாக்குதல்களைக் கவரும் வகையில் PasteBin இல் இடுகையிடப்பட்ட இடுகைகளில் ஒன்று. ஆதாரம்: ட்ரெண்ட் மைக்ரோ

தாக்குதல்கள்

ஹனிபாட் சுமார் ஏழு மாதங்கள் ஆன்லைனில் வாழ்ந்தார். ஹனிபாட் ஆன்லைனில் சென்ற ஒரு மாதத்திற்குப் பிறகு முதல் தாக்குதல் ஏற்பட்டது.

ஸ்கேனர்கள்

ip-ip, Rapid, Shadow Server, Shodan, ZoomEye மற்றும் பிற - நன்கு அறியப்பட்ட நிறுவனங்களின் ஸ்கேனர்களில் இருந்து நிறைய போக்குவரத்து இருந்தது. அவற்றில் பல இருந்தன, அவற்றின் ஐபி முகவரிகளை நாங்கள் பகுப்பாய்விலிருந்து விலக்க வேண்டியிருந்தது: 610 இல் 9452 அல்லது அனைத்து தனித்துவமான ஐபி முகவரிகளில் 6,45% முற்றிலும் முறையான ஸ்கேனர்களுக்கு சொந்தமானது.

தீங்குவிளைப்பவர்கள்

கிரிமினல் நோக்கங்களுக்காக எங்கள் அமைப்பைப் பயன்படுத்துவது நாங்கள் எதிர்கொள்ளும் மிகப்பெரிய ஆபத்துகளில் ஒன்றாகும்: சந்தாதாரரின் கணக்கு மூலம் ஸ்மார்ட்போன்களை வாங்குதல், கிஃப்ட் கார்டுகளைப் பயன்படுத்தி விமான மைல்களைப் பணமாக்குதல் மற்றும் பிற வகையான மோசடிகள்.

சுரங்கத் தொழிலாளர்கள்

எங்கள் கணினிக்கு முதலில் வந்தவர்களில் ஒருவர் சுரங்கத் தொழிலாளியாக மாறினார். அதில் Monero மைனிங் மென்பொருளை பதிவிறக்கம் செய்தார். குறைந்த உற்பத்தித்திறன் காரணமாக அவர் எங்கள் குறிப்பிட்ட அமைப்பில் அதிக பணம் சம்பாதிக்க முடியாது. இருப்பினும், இதுபோன்ற பல டஜன் அல்லது நூற்றுக்கணக்கான அமைப்புகளின் முயற்சிகளை நாம் இணைத்தால், அது நன்றாக இருக்கும்.

Ransomware

ஹனிபாட்டின் வேலையின் போது, ​​உண்மையான ransomware வைரஸ்களை இரண்டு முறை சந்தித்தோம். முதல் வழக்கில் அது Crysis இருந்தது. அதன் ஆபரேட்டர்கள் VNC வழியாக கணினியில் உள்நுழைந்தனர், ஆனால் பின்னர் TeamViewer ஐ நிறுவி மேலும் செயல்களைச் செய்ய அதைப் பயன்படுத்தினர். BTC இல் $10 மீட்கும் தொகையைக் கோரும் மிரட்டி பணம் பறிக்கும் செய்திக்காகக் காத்திருந்த பிறகு, நாங்கள் குற்றவாளிகளுடன் கடிதப் பரிமாற்றத்தில் ஈடுபட்டோம், எங்களுக்காக கோப்புகளில் ஒன்றை மறைகுறியாக்கச் சொன்னோம். அவர்கள் கோரிக்கைக்கு இணங்கி மீட்கும் கோரிக்கையை மீண்டும் மீண்டும் செய்தனர். நாங்கள் 6 ஆயிரம் டாலர்கள் வரை பேச்சுவார்த்தை நடத்தினோம், அதன் பிறகு கணினியை ஒரு மெய்நிகர் கணினியில் மீண்டும் பதிவேற்றினோம், ஏனெனில் தேவையான அனைத்து தகவல்களையும் நாங்கள் பெற்றோம்.

இரண்டாவது ransomware போபோஸ் ஆனது. இதை இன்ஸ்டால் செய்த ஹேக்கர், ஒரு மணி நேரம் ஹனிபாட் பைல் சிஸ்டத்தில் உலாவவும், நெட்வொர்க்கை ஸ்கேன் செய்தும், கடைசியாக ransomware ஐ இன்ஸ்டால் செய்தார்.
மூன்றாவது ransomware தாக்குதல் போலியானது. அறியப்படாத ஒரு "ஹேக்கர்" haha.bat கோப்பை எங்கள் கணினியில் பதிவிறக்கம் செய்தார், அதன் பிறகு அவர் அதை வேலை செய்ய முயற்சித்ததை சிறிது நேரம் பார்த்தோம். முயற்சிகளில் ஒன்று haha.bat என்பதை haha.rnsmwr என மறுபெயரிடுவது.

"ஹேக்கர்" பேட் கோப்பின் நீட்டிப்பை .rnsmwr ஆக மாற்றுவதன் மூலம் அதன் தீங்கை அதிகரிக்கிறது. ஆதாரம்: ட்ரெண்ட் மைக்ரோ

தொகுதி கோப்பு இறுதியாக இயங்கத் தொடங்கியபோது, ​​"ஹேக்கர்" அதைத் திருத்தினார், மீட்கும் தொகையை $200லிருந்து $750 ஆக உயர்த்தினார். அதன் பிறகு, அவர் எல்லா கோப்புகளையும் "குறியாக்கம்" செய்து, டெஸ்க்டாப்பில் ஒரு மிரட்டி பணம் பறிக்கும் செய்தியை விட்டுவிட்டு, எங்கள் VNC இல் கடவுச்சொற்களை மாற்றி மறைந்துவிட்டார்.

இரண்டு நாட்களுக்குப் பிறகு, ஹேக்கர் திரும்பி வந்து, தன்னை நினைவுபடுத்துவதற்காக, ஆபாச தளத்துடன் பல சாளரங்களைத் திறக்கும் ஒரு தொகுதி கோப்பைத் தொடங்கினார். வெளிப்படையாக, இந்த வழியில் அவர் தனது கோரிக்கைக்கு கவனத்தை ஈர்க்க முயன்றார்.

முடிவுகளை

ஆய்வின் போது, ​​பாதிப்பு பற்றிய தகவல்கள் வெளியானவுடன், ஹனிபாட் கவனத்தை ஈர்த்தது, அதன் செயல்பாடு நாளுக்கு நாள் அதிகரித்து வருகிறது. பொறி கவனத்தை ஈர்ப்பதற்காக, எங்கள் கற்பனையான நிறுவனம் பல பாதுகாப்பு மீறல்களைச் சந்திக்க வேண்டியிருந்தது. துரதிர்ஷ்டவசமாக, முழுநேர தகவல் தொழில்நுட்பம் மற்றும் தகவல் பாதுகாப்பு ஊழியர்கள் இல்லாத பல உண்மையான நிறுவனங்களில் இந்த நிலைமை அசாதாரணமானது அல்ல.

பொதுவாக, நிறுவனங்கள் குறைந்தபட்ச சலுகைக் கொள்கையைப் பயன்படுத்த வேண்டும், அதே சமயம் தாக்குபவர்களை ஈர்ப்பதற்காக அதற்கு நேர் எதிரான கொள்கையை நாங்கள் செயல்படுத்தினோம். தாக்குதல்களை நாங்கள் எவ்வளவு நேரம் பார்த்தோம், அவை நிலையான ஊடுருவல் சோதனை முறைகளுடன் ஒப்பிடும்போது மிகவும் அதிநவீனமானது.

மற்றும் மிக முக்கியமாக, நெட்வொர்க்கை அமைக்கும் போது போதுமான பாதுகாப்பு நடவடிக்கைகள் செயல்படுத்தப்பட்டிருந்தால் இந்த தாக்குதல்கள் அனைத்தும் தோல்வியடைந்திருக்கும். நிறுவனங்கள் தங்கள் சாதனங்கள் மற்றும் தொழில்துறை உள்கட்டமைப்பு கூறுகளை இணையத்தில் இருந்து அணுக முடியாது என்பதை உறுதி செய்ய வேண்டும், நாங்கள் குறிப்பாக எங்கள் வலையில் செய்ததைப் போல.

பொறியாளரின் பணிநிலையத்தில் ஒரு தாக்குதலையும் நாங்கள் பதிவு செய்யவில்லை என்றாலும், எல்லா கணினிகளிலும் ஒரே உள்ளூர் நிர்வாகி கடவுச்சொல்லைப் பயன்படுத்தினாலும், ஊடுருவல்களின் சாத்தியத்தை குறைக்க இந்த நடைமுறை தவிர்க்கப்பட வேண்டும். எல்லாவற்றிற்கும் மேலாக, பலவீனமான பாதுகாப்பு தொழில்துறை அமைப்புகளைத் தாக்குவதற்கான கூடுதல் அழைப்பாக செயல்படுகிறது, இது சைபர் குற்றவாளிகளுக்கு நீண்ட காலமாக ஆர்வமாக உள்ளது.

ஆதாரம்: www.habr.com