చెప్పలేనంత ఆకర్షణీయమైనది: బహిర్గతం చేయలేని హనీపాట్‌ను మేము ఎలా సృష్టించాము

యాంటీవైరస్ కంపెనీలు, ఇన్ఫర్మేషన్ సెక్యూరిటీ నిపుణులు మరియు కేవలం ఔత్సాహికులు వైరస్ యొక్క కొత్త వైవిధ్యాన్ని "క్యాచ్" చేయడానికి లేదా అసాధారణ హ్యాకర్ వ్యూహాలను గుర్తించడానికి ఇంటర్నెట్‌లో హనీపాట్ సిస్టమ్‌లను ఉంచారు. హనీపాట్‌లు చాలా సాధారణం, సైబర్ నేరస్థులు ఒక రకమైన రోగనిరోధక శక్తిని అభివృద్ధి చేస్తారు: వారు ఒక ఉచ్చు ముందు ఉన్నారని వారు త్వరగా గుర్తించి దానిని విస్మరిస్తారు. ఆధునిక హ్యాకర్ల వ్యూహాలను అన్వేషించడానికి, మేము ఏడు నెలల పాటు ఇంటర్నెట్‌లో నివసించే వాస్తవిక హనీపాట్‌ను సృష్టించాము, వివిధ రకాల దాడులను ఆకర్షిస్తున్నాము. మా అధ్యయనంలో ఇది ఎలా జరిగిందో మేము మాట్లాడాము "చట్టంలో చిక్కుకున్నారు: నిజమైన బెదిరింపులను సంగ్రహించడానికి ఒక వాస్తవిక ఫ్యాక్టరీ హనీపాట్‌ను నడుపుతోంది" అధ్యయనం నుండి కొన్ని వాస్తవాలు ఈ పోస్ట్‌లో ఉన్నాయి.

హనీపాట్ అభివృద్ధి: చెక్‌లిస్ట్

మా సూపర్‌ట్రాప్‌ను రూపొందించడంలో ప్రధాన పని ఏమిటంటే, దానిపై ఆసక్తి చూపిన హ్యాకర్‌ల ద్వారా మమ్మల్ని బహిర్గతం చేయకుండా నిరోధించడం. దీనికి చాలా పని అవసరం:

1. ఉద్యోగుల పూర్తి పేర్లు మరియు ఫోటోలు, ఫోన్ నంబర్‌లు మరియు ఇమెయిల్‌లతో సహా కంపెనీ గురించి వాస్తవిక పురాణాన్ని సృష్టించండి.
2. మా కంపెనీ కార్యకలాపాల గురించి పురాణానికి అనుగుణంగా పారిశ్రామిక మౌలిక సదుపాయాల నమూనాను రూపొందించడానికి మరియు అమలు చేయడానికి.
3. బయటి నుండి ఏ నెట్‌వర్క్ సేవలను యాక్సెస్ చేయవచ్చో నిర్ణయించుకోండి, కానీ హాని కలిగించే పోర్ట్‌లను తెరవడం ద్వారా దూరంగా ఉండకండి, తద్వారా ఇది సక్కర్‌లకు ట్రాప్ లాగా కనిపించదు.
4. హాని కలిగించే సిస్టమ్ గురించిన సమాచార లీక్‌ల దృశ్యమానతను నిర్వహించండి మరియు సంభావ్య దాడి చేసేవారిలో ఈ సమాచారాన్ని పంపిణీ చేయండి.
5. హనీపాట్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో హ్యాకర్ కార్యకలాపాలపై వివేకవంతమైన పర్యవేక్షణను అమలు చేయండి.

మరియు ఇప్పుడు మొదటి విషయాలు మొదటి.

ఒక పురాణాన్ని సృష్టిస్తోంది

సైబర్ నేరగాళ్లు ఇప్పటికే చాలా హనీపాట్‌లను ఎదుర్కోవడానికి అలవాటు పడ్డారు, కాబట్టి వారిలో అత్యంత అధునాతనమైన భాగం అది ఒక ఉచ్చు కాదని నిర్ధారించుకోవడానికి ప్రతి హాని కలిగించే వ్యవస్థపై లోతైన పరిశోధనను నిర్వహిస్తుంది. అదే కారణంతో, మేము హనీపాట్ డిజైన్ మరియు సాంకేతిక అంశాల పరంగా వాస్తవికంగా ఉండటమే కాకుండా, నిజమైన కంపెనీ రూపాన్ని కూడా రూపొందించడానికి ప్రయత్నించాము.

ఊహాజనిత కూల్ హ్యాకర్ యొక్క బూట్లలో మమ్మల్ని ఉంచడం, మేము ఒక ట్రాప్ నుండి నిజమైన సిస్టమ్‌ను వేరు చేసే ధృవీకరణ అల్గారిథమ్‌ను అభివృద్ధి చేసాము. ఇది కంపెనీ IP చిరునామాలను కీర్తి వ్యవస్థలలో శోధించడం, IP చిరునామాల చరిత్రలో రివర్స్ రీసెర్చ్, కంపెనీకి సంబంధించిన పేర్లు మరియు కీలకపదాల కోసం శోధించడం, అలాగే దాని కౌంటర్‌పార్టీలు మరియు అనేక ఇతర విషయాలను కలిగి ఉంది. ఫలితంగా, పురాణం చాలా నమ్మకంగా మరియు ఆకర్షణీయంగా మారింది.

మేము సైనిక మరియు విమానయాన విభాగంలో చాలా పెద్ద అనామక క్లయింట్‌ల కోసం పని చేసే చిన్న పారిశ్రామిక ప్రోటోటైపింగ్ బోటిక్‌గా డికాయ్ ఫ్యాక్టరీని ఉంచాలని నిర్ణయించుకున్నాము. ఇది ఇప్పటికే ఉన్న బ్రాండ్‌ను ఉపయోగించడంతో ముడిపడి ఉన్న చట్టపరమైన సమస్యల నుండి మాకు విముక్తి కలిగించింది.

తరువాత మేము సంస్థ కోసం ఒక విజన్, మిషన్ మరియు పేరుతో ముందుకు రావాలి. మా కంపెనీ తక్కువ సంఖ్యలో ఉద్యోగులతో స్టార్టప్ కావాలని మేము నిర్ణయించుకున్నాము, వీరిలో ప్రతి ఒక్కరూ వ్యవస్థాపకులు. ఇది మా వ్యాపారం యొక్క ప్రత్యేక స్వభావం యొక్క కథనానికి విశ్వసనీయతను జోడించింది, ఇది పెద్ద మరియు ముఖ్యమైన క్లయింట్‌ల కోసం సున్నితమైన ప్రాజెక్ట్‌లను నిర్వహించడానికి అనుమతిస్తుంది. సైబర్‌ సెక్యూరిటీ దృక్పథం నుండి మా కంపెనీ బలహీనంగా కనిపించాలని మేము కోరుకుంటున్నాము, అయితే అదే సమయంలో మేము లక్ష్య సిస్టమ్‌లపై ముఖ్యమైన ఆస్తులతో పని చేస్తున్నామని స్పష్టంగా ఉంది.

MeTech హనీపాట్ వెబ్‌సైట్ యొక్క స్క్రీన్‌షాట్. మూలం: ట్రెండ్ మైక్రో

మేము కంపెనీ పేరుగా MeTech అనే పదాన్ని ఎంచుకున్నాము. సైట్ ఉచిత టెంప్లేట్ ఆధారంగా రూపొందించబడింది. ఫోటో బ్యాంకుల నుండి చిత్రాలు తీయబడ్డాయి, అత్యంత ప్రజాదరణ లేని వాటిని ఉపయోగించి మరియు వాటిని తక్కువ గుర్తించేలా వాటిని సవరించడం జరిగింది.

కంపెనీ వాస్తవికంగా కనిపించాలని మేము కోరుకుంటున్నాము, కాబట్టి మేము కార్యాచరణ యొక్క ప్రొఫైల్‌కు సరిపోయే వృత్తిపరమైన నైపుణ్యాలు కలిగిన ఉద్యోగులను జోడించాల్సిన అవసరం ఉంది. మేము వారి కోసం పేర్లు మరియు వ్యక్తులతో ముందుకు వచ్చాము, ఆపై జాతి ప్రకారం ఫోటో బ్యాంకుల నుండి చిత్రాలను ఎంచుకోవడానికి ప్రయత్నించాము.

MeTech హనీపాట్ వెబ్‌సైట్ యొక్క స్క్రీన్‌షాట్. మూలం: ట్రెండ్ మైక్రో

కనుగొనబడకుండా ఉండటానికి, మేము మంచి నాణ్యత గల సమూహ ఫోటోల కోసం వెతుకుతున్నాము, దాని నుండి మనకు అవసరమైన ముఖాలను ఎంచుకోవచ్చు. అయినప్పటికీ, సంభావ్య హ్యాకర్ రివర్స్ ఇమేజ్ సెర్చ్‌ని ఉపయోగించగలడు మరియు మా “ఉద్యోగులు” ఫోటో బ్యాంక్‌లలో మాత్రమే నివసిస్తున్నారని కనుక్కోవచ్చు కాబట్టి మేము ఈ ఎంపికను వదిలివేసాము. చివరికి, మేము న్యూరల్ నెట్‌వర్క్‌లను ఉపయోగించి సృష్టించిన ఉనికిలో లేని వ్యక్తుల ఫోటోగ్రాఫ్‌లను ఉపయోగించాము.

సైట్‌లో ప్రచురించబడిన ఉద్యోగుల ప్రొఫైల్‌లు వారి సాంకేతిక నైపుణ్యాల గురించి ముఖ్యమైన సమాచారాన్ని కలిగి ఉన్నాయి, కానీ మేము నిర్దిష్ట పాఠశాలలు లేదా నగరాలను గుర్తించడాన్ని నివారించాము.
మెయిల్‌బాక్స్‌లను సృష్టించడానికి, మేము హోస్టింగ్ ప్రొవైడర్ యొక్క సర్వర్‌ని ఉపయోగించాము, ఆపై యునైటెడ్ స్టేట్స్‌లో అనేక టెలిఫోన్ నంబర్‌లను అద్దెకు తీసుకున్నాము మరియు వాటిని వాయిస్ మెనూ మరియు ఆన్సర్ మెషీన్‌తో వర్చువల్ PBXగా కలిపాము.

హనీపాట్ మౌలిక సదుపాయాలు

బహిర్గతం కాకుండా ఉండటానికి, మేము నిజమైన పారిశ్రామిక హార్డ్‌వేర్, ఫిజికల్ కంప్యూటర్‌లు మరియు సురక్షిత వర్చువల్ మిషన్‌ల కలయికను ఉపయోగించాలని నిర్ణయించుకున్నాము. ముందుకు చూస్తే, షోడాన్ సెర్చ్ ఇంజన్‌ని ఉపయోగించి మా ప్రయత్నాల ఫలితాన్ని మేము తనిఖీ చేసాము మరియు హనీపాట్ నిజమైన పారిశ్రామిక వ్యవస్థలా కనిపిస్తోందని మేము చెబుతాము.

షోడాన్‌ని ఉపయోగించి హనీపాట్‌ని స్కాన్ చేసిన ఫలితం. మూలం: ట్రెండ్ మైక్రో

మేము మా ట్రాప్ కోసం నాలుగు PLCలను హార్డ్‌వేర్‌గా ఉపయోగించాము:

• సిమెన్స్ S7-1200,
• రెండు AllenBradley MicroLogix 1100,
• ఓమ్రాన్ CP1L.

ఈ PLCలు గ్లోబల్ కంట్రోల్ సిస్టమ్ మార్కెట్లో వాటి జనాదరణ కోసం ఎంపిక చేయబడ్డాయి. మరియు ఈ కంట్రోలర్‌లలో ప్రతి ఒక్కటి దాని స్వంత ప్రోటోకాల్‌ను ఉపయోగిస్తుంది, ఇది PLCలలో ఏది తరచుగా దాడి చేయబడుతుందో మరియు వారు సూత్రప్రాయంగా ఎవరికైనా ఆసక్తిని కలిగి ఉంటారో లేదో తనిఖీ చేయడానికి మాకు అనుమతినిచ్చింది.

మా "ఫ్యాక్టరీ"-ట్రాప్ యొక్క పరికరాలు. మూలం: ట్రెండ్ మైక్రో

మేము కేవలం హార్డ్‌వేర్‌ను ఇన్‌స్టాల్ చేసి ఇంటర్నెట్‌కి కనెక్ట్ చేయలేదు. మేము ప్రతి కంట్రోలర్‌తో సహా పనులను నిర్వహించడానికి ప్రోగ్రామ్ చేసాము

• కలపడం,
• బర్నర్ మరియు కన్వేయర్ బెల్ట్ నియంత్రణ,
• రోబోటిక్ మానిప్యులేటర్‌ని ఉపయోగించి ప్యాలెటైజింగ్.

మరియు ఉత్పత్తి ప్రక్రియను వాస్తవికంగా చేయడానికి, మేము ఫీడ్‌బ్యాక్ పారామితులను యాదృచ్ఛికంగా మార్చడానికి, మోటార్‌లను ప్రారంభించడం మరియు ఆపడాన్ని అనుకరించడం మరియు బర్నర్‌లను ఆన్ మరియు ఆఫ్ చేయడం వంటి లాజిక్‌లను ప్రోగ్రామ్ చేసాము.

మా ఫ్యాక్టరీలో మూడు వర్చువల్ కంప్యూటర్‌లు మరియు ఒక భౌతికమైనవి ఉన్నాయి. వర్చువల్ కంప్యూటర్‌లు ఒక ప్లాంట్‌ను, ప్యాలెటైజర్ రోబోట్‌ను నియంత్రించడానికి మరియు PLC సాఫ్ట్‌వేర్ ఇంజనీర్‌కు వర్క్‌స్టేషన్‌గా ఉపయోగించబడ్డాయి. భౌతిక కంప్యూటర్ ఫైల్ సర్వర్‌గా పనిచేసింది.

PLCలపై దాడులను పర్యవేక్షించడంతో పాటు, మేము మా పరికరాల్లో లోడ్ చేయబడిన ప్రోగ్రామ్‌ల స్థితిని పర్యవేక్షించాలనుకుంటున్నాము. దీన్ని చేయడానికి, మేము మా వర్చువల్ యాక్యుయేటర్‌లు మరియు సెట్టింగ్‌ల స్థితిని ఎలా సవరించాలో త్వరగా గుర్తించడానికి అనుమతించే ఇంటర్‌ఫేస్‌ను సృష్టించాము. ఇప్పటికే ప్లానింగ్ దశలో, కంట్రోలర్ లాజిక్ యొక్క డైరెక్ట్ ప్రోగ్రామింగ్ కంటే కంట్రోల్ ప్రోగ్రామ్‌ని ఉపయోగించి దీన్ని అమలు చేయడం చాలా సులభం అని మేము కనుగొన్నాము. మేము పాస్‌వర్డ్ లేకుండా VNC ద్వారా మా హనీపాట్ యొక్క పరికర నిర్వహణ ఇంటర్‌ఫేస్‌కు ప్రాప్యతను తెరిచాము.

పారిశ్రామిక రోబోలు ఆధునిక స్మార్ట్ తయారీలో కీలకమైన భాగం. ఈ విషయంలో, మా ట్రాప్ ఫ్యాక్టరీ యొక్క పరికరాలకు నియంత్రించడానికి రోబోట్ మరియు ఆటోమేటెడ్ వర్క్‌ప్లేస్‌ని జోడించాలని మేము నిర్ణయించుకున్నాము. "ఫ్యాక్టరీ"ని మరింత వాస్తవికంగా చేయడానికి, మేము కంట్రోల్ వర్క్‌స్టేషన్‌లో నిజమైన సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేసాము, ఇంజనీర్లు రోబోట్ లాజిక్‌ను గ్రాఫికల్‌గా ప్రోగ్రామ్ చేయడానికి ఉపయోగిస్తారు. బాగా, పారిశ్రామిక రోబోట్‌లు సాధారణంగా వివిక్త అంతర్గత నెట్‌వర్క్‌లో ఉన్నందున, మేము VNC ద్వారా అసురక్షిత యాక్సెస్‌ను కంట్రోల్ వర్క్‌స్టేషన్‌కు మాత్రమే వదిలివేయాలని నిర్ణయించుకున్నాము.

మా రోబోట్ యొక్క 3D మోడల్‌తో RobotStudio వాతావరణం. మూలం: ట్రెండ్ మైక్రో

మేము రోబోట్ కంట్రోల్ వర్క్‌స్టేషన్‌తో వర్చువల్ మెషీన్‌లో ABB రోబోటిక్స్ నుండి RobotStudio ప్రోగ్రామింగ్ వాతావరణాన్ని ఇన్‌స్టాల్ చేసాము. RobotStudioని కాన్ఫిగర్ చేసిన తర్వాత, మేము మా రోబోట్‌తో అనుకరణ ఫైల్‌ను తెరిచాము, తద్వారా దాని 3D చిత్రం స్క్రీన్‌పై కనిపిస్తుంది. ఫలితంగా, షోడాన్ మరియు ఇతర శోధన ఇంజిన్‌లు, అసురక్షిత VNC సర్వర్‌ని గుర్తించిన తర్వాత, ఈ స్క్రీన్ ఇమేజ్‌ను పట్టుకుని, నియంత్రణకు ఓపెన్ యాక్సెస్‌తో పారిశ్రామిక రోబోట్‌ల కోసం చూస్తున్న వారికి చూపుతాయి.

దాడి చేసేవారి కోసం ఒక ఆకర్షణీయమైన మరియు వాస్తవిక లక్ష్యాన్ని సృష్టించడం, వారు దానిని కనుగొన్న తర్వాత, మళ్లీ మళ్లీ దానికి తిరిగి వచ్చేలా చేయడం ఈ వివరాలకు శ్రద్ధ వహించడం.

ఇంజనీర్ వర్క్‌స్టేషన్

PLC లాజిక్‌ను ప్రోగ్రామ్ చేయడానికి, మేము మౌలిక సదుపాయాలకు ఇంజనీరింగ్ కంప్యూటర్‌ను జోడించాము. PLC ప్రోగ్రామింగ్ కోసం పారిశ్రామిక సాఫ్ట్‌వేర్ దానిపై ఇన్‌స్టాల్ చేయబడింది:

• సిమెన్స్ కోసం TIA పోర్టల్,
• అలెన్-బ్రాడ్లీ కంట్రోలర్ కోసం మైక్రోలాజిక్స్,
• ఓమ్రాన్ కోసం CX-వన్.

నెట్‌వర్క్ వెలుపల ఇంజనీరింగ్ వర్క్‌స్పేస్ యాక్సెస్ చేయబడదని మేము నిర్ణయించుకున్నాము. బదులుగా, మేము రోబోట్ కంట్రోల్ వర్క్‌స్టేషన్ మరియు ఇంటర్నెట్ నుండి యాక్సెస్ చేయగల ఫ్యాక్టరీ కంట్రోల్ వర్క్‌స్టేషన్‌లో ఉన్న అదే పాస్‌వర్డ్‌ను అడ్మినిస్ట్రేటర్ ఖాతా కోసం సెట్ చేస్తాము. ఈ కాన్ఫిగరేషన్ చాలా కంపెనీలలో సర్వసాధారణం.
దురదృష్టవశాత్తు, మేము ఎన్ని ప్రయత్నాలు చేసినప్పటికీ, ఒక్క దాడి చేసే వ్యక్తి కూడా ఇంజనీర్ వర్క్‌స్టేషన్‌కు చేరుకోలేదు.

ఫైల్ సర్వర్

దాడి చేసేవారికి ఎరగా మరియు డికాయ్ ఫ్యాక్టరీలో మా స్వంత "పని"ని బ్యాకప్ చేసే సాధనంగా మాకు ఇది అవసరం. ఇది హనీపాట్ నెట్‌వర్క్‌లో ట్రేస్‌ను వదలకుండా USB పరికరాలను ఉపయోగించి మా హనీపాట్‌తో ఫైల్‌లను భాగస్వామ్యం చేయడానికి మాకు అనుమతినిచ్చింది. మేము ఫైల్ సర్వర్ కోసం Windows 7 Proని OSగా ఇన్‌స్టాల్ చేసాము, దీనిలో ఎవరైనా చదవగలిగే మరియు వ్రాయగలిగే భాగస్వామ్య ఫోల్డర్‌ను మేము సృష్టించాము.

మొదట మేము ఫైల్ సర్వర్‌లో ఫోల్డర్‌లు మరియు పత్రాల సోపానక్రమాన్ని సృష్టించలేదు. అయితే, దాడి చేసేవారు ఈ ఫోల్డర్‌ను చురుకుగా అధ్యయనం చేస్తున్నారని మేము తర్వాత కనుగొన్నాము, కాబట్టి మేము దీన్ని వివిధ ఫైల్‌లతో నింపాలని నిర్ణయించుకున్నాము. దీన్ని చేయడానికి, మేము ఇచ్చిన ఎక్స్‌టెన్షన్‌లలో ఒకదానితో యాదృచ్ఛిక పరిమాణంలో ఫైల్‌ను సృష్టించి, నిఘంటువు ఆధారంగా పేరును రూపొందించే పైథాన్ స్క్రిప్ట్‌ను వ్రాసాము.

ఆకర్షణీయమైన ఫైల్ పేర్లను రూపొందించడానికి స్క్రిప్ట్. మూలం: ట్రెండ్ మైక్రో

స్క్రిప్ట్‌ను అమలు చేసిన తర్వాత, చాలా ఆసక్తికరమైన పేర్లతో ఫైల్‌లతో నిండిన ఫోల్డర్ రూపంలో మేము కోరుకున్న ఫలితాన్ని పొందాము.

స్క్రిప్ట్ యొక్క ఫలితం. మూలం: ట్రెండ్ మైక్రో

పర్యావరణాన్ని పర్యవేక్షించడం

వాస్తవిక సంస్థను రూపొందించడానికి చాలా కృషి చేసినందున, మా “సందర్శకులను” పర్యవేక్షించడం కోసం మేము పర్యావరణంపై విఫలం కాలేము. దాడి చేసేవారు తాము చూస్తున్నారని గ్రహించకుండానే మేము మొత్తం డేటాను నిజ సమయంలో పొందవలసి ఉంటుంది.

మేము దీనిని నాలుగు USB నుండి ఈథర్నెట్ అడాప్టర్‌లు, నాలుగు షార్క్‌టాప్ ఈథర్నెట్ ట్యాప్‌లు, ఒక రాస్ప్‌బెర్రీ పై 3 మరియు పెద్ద బాహ్య డ్రైవ్‌ని ఉపయోగించి అమలు చేసాము. మా నెట్‌వర్క్ రేఖాచిత్రం ఇలా ఉంది:

పర్యవేక్షణ పరికరాలతో హనీపాట్ నెట్‌వర్క్ రేఖాచిత్రం. మూలం: ట్రెండ్ మైక్రో

PLCకి అన్ని బాహ్య ట్రాఫిక్‌ను పర్యవేక్షించడానికి మేము మూడు SharkTap ట్యాప్‌లను ఉంచాము, అంతర్గత నెట్‌వర్క్ నుండి మాత్రమే యాక్సెస్ చేయవచ్చు. నాల్గవ షార్క్‌టాప్ హాని కలిగించే వర్చువల్ మెషీన్ యొక్క అతిథుల ట్రాఫిక్‌ను పర్యవేక్షించింది.

షార్క్‌టాప్ ఈథర్నెట్ ట్యాప్ మరియు సియెర్రా వైర్‌లెస్ ఎయిర్‌లింక్ RV50 రూటర్. మూలం: ట్రెండ్ మైక్రో

రాస్ప్‌బెర్రీ పై రోజువారీ ట్రాఫిక్ క్యాప్చర్‌ని ప్రదర్శించింది. మేము సియెర్రా వైర్‌లెస్ ఎయిర్‌లింక్ RV50 సెల్యులార్ రూటర్‌ని ఉపయోగించి ఇంటర్నెట్‌కి కనెక్ట్ చేసాము, ఇది తరచుగా పారిశ్రామిక సంస్థలలో ఉపయోగించబడుతుంది.

దురదృష్టవశాత్తూ, ఈ రూటర్ మా ప్లాన్‌లతో సరిపోలని దాడులను సెలెక్టివ్‌గా నిరోధించడానికి మమ్మల్ని అనుమతించలేదు, కాబట్టి మేము నెట్‌వర్క్‌పై తక్కువ ప్రభావంతో నిరోధించడాన్ని నిర్వహించడానికి పారదర్శక మోడ్‌లో నెట్‌వర్క్‌కు Cisco ASA 5505 ఫైర్‌వాల్‌ను జోడించాము.

ట్రాఫిక్ విశ్లేషణ

Tshark మరియు tcpdump ప్రస్తుత సమస్యలను త్వరగా పరిష్కరించడానికి తగినవి, కానీ మా విషయంలో వారి సామర్థ్యాలు సరిపోవు, ఎందుకంటే మాకు చాలా గిగాబైట్ల ట్రాఫిక్ ఉంది, వీటిని చాలా మంది వ్యక్తులు విశ్లేషించారు. మేము AOL చే అభివృద్ధి చేయబడిన ఓపెన్ సోర్స్ మోలోచ్ ఎనలైజర్‌ని ఉపయోగించాము. ఇది వైర్‌షార్క్‌తో ఫంక్షనాలిటీతో పోల్చదగినది, కానీ సహకారం కోసం, ప్యాకేజీలను వివరించడం మరియు ట్యాగ్ చేయడం, ఎగుమతి చేయడం మరియు ఇతర పనుల కోసం మరిన్ని సామర్థ్యాలను కలిగి ఉంది.

మేము హనీపాట్ కంప్యూటర్‌లలో సేకరించిన డేటాను ప్రాసెస్ చేయకూడదనుకోవడం వలన, PCAP డంప్‌లు ప్రతిరోజూ AWS స్టోరేజ్‌కి ఎగుమతి చేయబడుతున్నాయి, అక్కడి నుండి మేము వాటిని ఇప్పటికే మోలోచ్ మెషీన్‌లోకి దిగుమతి చేసుకున్నాము.

స్క్రీన్ రికార్డింగ్

మా హనీపాట్‌లో హ్యాకర్ల చర్యలను డాక్యుమెంట్ చేయడానికి, మేము ఇచ్చిన విరామంలో వర్చువల్ మెషీన్ యొక్క స్క్రీన్‌షాట్‌లను తీసిన స్క్రిప్ట్‌ను వ్రాసాము మరియు దానిని మునుపటి స్క్రీన్‌షాట్‌తో పోల్చి, అక్కడ ఏదైనా జరుగుతోందా లేదా అని నిర్ధారించాము. కార్యాచరణ గుర్తించబడినప్పుడు, స్క్రిప్ట్‌లో స్క్రీన్ రికార్డింగ్ ఉంటుంది. ఈ విధానం అత్యంత ప్రభావవంతమైనదిగా మారింది. సిస్టమ్‌లో ఎలాంటి మార్పులు సంభవించాయో అర్థం చేసుకోవడానికి మేము PCAP డంప్ నుండి VNC ట్రాఫిక్‌ను విశ్లేషించడానికి కూడా ప్రయత్నించాము, కానీ చివరికి మేము అమలు చేసిన స్క్రీన్ రికార్డింగ్ సరళమైనది మరియు మరింత దృశ్యమానంగా మారింది.

VNC సెషన్‌లను పర్యవేక్షిస్తోంది

దీని కోసం మేము Chaosreader మరియు VNCLoggerని ఉపయోగించాము. రెండు యుటిలిటీలు PCAP డంప్ నుండి కీస్ట్రోక్‌లను సంగ్రహిస్తాయి, అయితే VNCLogger Backspace, Enter, Ctrl వంటి కీలను మరింత సరిగ్గా నిర్వహిస్తుంది.

VNCLoggerకి రెండు ప్రతికూలతలు ఉన్నాయి. మొదటిది: ఇది ఇంటర్‌ఫేస్‌లో ట్రాఫిక్‌ను “వినడం” ద్వారా మాత్రమే కీలను సంగ్రహించగలదు, కాబట్టి మేము దాని కోసం tcpreplayని ఉపయోగించి VNC సెషన్‌ను అనుకరించవలసి ఉంటుంది. VNCLogger యొక్క రెండవ ప్రతికూలత Chaosreaderతో సాధారణం: అవి రెండూ క్లిప్‌బోర్డ్‌లోని విషయాలను చూపవు. దీన్ని చేయడానికి నేను వైర్‌షార్క్‌ని ఉపయోగించాల్సి వచ్చింది.

మేము హ్యాకర్లను ఎర చేస్తాము

మేము దాడి చేయడానికి హనీపాట్‌ను సృష్టించాము. దీన్ని సాధించడానికి, సంభావ్య దాడి చేసేవారి దృష్టిని ఆకర్షించడానికి మేము సమాచార లీక్‌ని ప్రదర్శించాము. కింది పోర్ట్‌లు హనీపాట్‌లో తెరవబడ్డాయి:

మేము ప్రత్యక్ష ప్రసారం చేసిన కొద్దిసేపటికే RDP పోర్ట్ మూసివేయవలసి వచ్చింది, ఎందుకంటే మా నెట్‌వర్క్‌లో భారీ మొత్తంలో స్కానింగ్ ట్రాఫిక్ పనితీరు సమస్యలను కలిగిస్తుంది.
VNC టెర్మినల్స్ మొదట పాస్‌వర్డ్ లేకుండా వీక్షణ-మాత్రమే మోడ్‌లో పనిచేశాయి, ఆపై మేము "పొరపాటున" వాటిని పూర్తి యాక్సెస్ మోడ్‌కి మార్చాము.

దాడి చేసేవారిని ఆకర్షించడానికి, మేము PasteBinలో అందుబాటులో ఉన్న పారిశ్రామిక వ్యవస్థ గురించి లీక్ అయిన సమాచారంతో రెండు పోస్ట్‌లను పోస్ట్ చేసాము.

దాడులను ఆకర్షించడానికి పేస్ట్‌బిన్‌లో పోస్ట్ చేసిన పోస్ట్‌లలో ఒకటి. మూలం: ట్రెండ్ మైక్రో

దాడులు

హనీపాట్ దాదాపు ఏడు నెలల పాటు ఆన్‌లైన్‌లో జీవించింది. హనీపాట్ ఆన్‌లైన్‌లోకి వచ్చిన ఒక నెల తర్వాత మొదటి దాడి జరిగింది.

స్కానర్లు

ip-ip, Rapid, Shadow Server, Shodan, ZoomEye మరియు ఇతర ప్రసిద్ధ కంపెనీల స్కానర్‌ల నుండి చాలా ట్రాఫిక్ ఉంది. వాటిలో చాలా ఉన్నాయి, మేము వారి IP చిరునామాలను విశ్లేషణ నుండి మినహాయించవలసి వచ్చింది: 610లో 9452 లేదా అన్ని ప్రత్యేకమైన IP చిరునామాలలో 6,45% పూర్తిగా చట్టబద్ధమైన స్కానర్‌లకు చెందినవి.

scammers

నేరపూరిత ప్రయోజనాల కోసం మా సిస్టమ్‌ను ఉపయోగించడం మేము ఎదుర్కొన్న అతిపెద్ద ప్రమాదాలలో ఒకటి: సబ్‌స్క్రైబర్ ఖాతా ద్వారా స్మార్ట్‌ఫోన్‌లను కొనుగోలు చేయడం, గిఫ్ట్ కార్డ్‌లను ఉపయోగించి ఎయిర్‌లైన్ మైళ్లను క్యాష్ అవుట్ చేయడం మరియు ఇతర రకాల మోసం.

మైనర్లు

మా సిస్టమ్‌కు వచ్చిన మొదటి సందర్శకులలో ఒకరు మైనర్‌గా మారారు. అతను మోనెరో మైనింగ్ సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేశాడు. తక్కువ ఉత్పాదకత కారణంగా అతను మా నిర్దిష్ట వ్యవస్థలో ఎక్కువ డబ్బు సంపాదించలేడు. అయినప్పటికీ, మేము అనేక డజన్ల లేదా వందలకొద్దీ అటువంటి వ్యవస్థల ప్రయత్నాలను మిళితం చేస్తే, అది చాలా బాగా మారుతుంది.

రాన్సమ్‌వేర్

హనీపాట్ పని సమయంలో, మేము నిజమైన ransomware వైరస్‌లను రెండుసార్లు ఎదుర్కొన్నాము. మొదటి సందర్భంలో అది క్రైసిస్. దీని ఆపరేటర్లు VNC ద్వారా సిస్టమ్‌లోకి లాగిన్ అయ్యారు, కానీ తర్వాత TeamViewerని ఇన్‌స్టాల్ చేసి తదుపరి చర్యలను చేయడానికి దాన్ని ఉపయోగించారు. BTCలో $10 విమోచన క్రయధనం కోరుతూ ఒక దోపిడీ సందేశం కోసం వేచి ఉన్న తర్వాత, మేము నేరస్థులతో కరస్పాండెన్స్‌లోకి ప్రవేశించాము, మా కోసం ఫైల్‌లలో ఒకదాన్ని డీక్రిప్ట్ చేయమని కోరాము. వారు అభ్యర్థనకు కట్టుబడి, విమోచన డిమాండ్‌ను పునరావృతం చేశారు. మేము 6 వేల డాలర్ల వరకు చర్చలు జరపగలిగాము, దాని తర్వాత మేము సిస్టమ్‌ను వర్చువల్ మెషీన్‌కు తిరిగి అప్‌లోడ్ చేసాము, ఎందుకంటే మేము అవసరమైన మొత్తం సమాచారాన్ని అందుకున్నాము.

రెండవ ransomware ఫోబోస్ అని తేలింది. దీన్ని ఇన్‌స్టాల్ చేసిన హ్యాకర్ గంటసేపు హనీపాట్ ఫైల్ సిస్టమ్‌ను బ్రౌజ్ చేసి నెట్‌వర్క్‌ను స్కాన్ చేసి, చివరకు ransomwareని ఇన్‌స్టాల్ చేశాడు.
మూడో ర్యాన్సమ్‌వేర్ దాడి నకిలీదని తేలింది. తెలియని "హ్యాకర్" haha.bat ఫైల్‌ను మా సిస్టమ్‌లోకి డౌన్‌లోడ్ చేసాడు, ఆ తర్వాత అతను దానిని పని చేయడానికి ప్రయత్నించినప్పుడు మేము కాసేపు చూశాము. ప్రయత్నాలలో ఒకటి haha.bat పేరును haha.rnsmwrగా మార్చడం.

"హ్యాకర్" బ్యాట్ ఫైల్ యొక్క పొడిగింపును .rnsmwrకి మార్చడం ద్వారా దాని హానికరతను పెంచుతుంది. మూలం: ట్రెండ్ మైక్రో

బ్యాచ్ ఫైల్ చివరకు అమలు చేయడం ప్రారంభించినప్పుడు, "హ్యాకర్" దానిని సవరించాడు, విమోచన క్రయధనాన్ని $200 నుండి $750కి పెంచాడు. ఆ తరువాత, అతను అన్ని ఫైళ్ళను "గుప్తీకరించాడు", డెస్క్‌టాప్‌లో దోపిడీ సందేశాన్ని వదిలి మా VNCలో పాస్‌వర్డ్‌లను మారుస్తూ అదృశ్యమయ్యాడు.

కొన్ని రోజుల తర్వాత, హ్యాకర్ తిరిగి వచ్చి, తనను తాను గుర్తుచేసుకోవడానికి, పోర్న్ సైట్‌తో అనేక విండోలను తెరిచిన బ్యాచ్ ఫైల్‌ను ప్రారంభించాడు. స్పష్టంగా, ఈ విధంగా అతను తన డిమాండ్పై దృష్టిని ఆకర్షించడానికి ప్రయత్నించాడు.

ఫలితాలు

అధ్యయనం సమయంలో, దుర్బలత్వం గురించి సమాచారం ప్రచురించబడిన వెంటనే, హనీపాట్ దృష్టిని ఆకర్షించింది, కార్యకలాపాలు రోజురోజుకు పెరుగుతాయి. ట్రాప్ దృష్టిని ఆకర్షించడానికి, మా కల్పిత కంపెనీ అనేక భద్రతా ఉల్లంఘనలను ఎదుర్కోవలసి వచ్చింది. దురదృష్టవశాత్తు, పూర్తి-సమయం IT మరియు ఇన్ఫర్మేషన్ సెక్యూరిటీ ఉద్యోగులు లేని అనేక నిజమైన కంపెనీలలో ఈ పరిస్థితి అసాధారణమైనది కాదు.

సాధారణంగా, సంస్థలు కనీసం ప్రత్యేక హక్కు సూత్రాన్ని ఉపయోగించాలి, అయితే దాడి చేసేవారిని ఆకర్షించడానికి మేము దానికి ఖచ్చితమైన వ్యతిరేకతను అమలు చేసాము. మరియు మేము దాడులను ఎంత ఎక్కువసేపు చూశాము, అవి ప్రామాణిక చొచ్చుకుపోయే పరీక్ష పద్ధతులతో పోలిస్తే మరింత అధునాతనంగా మారాయి.

మరియు ముఖ్యంగా, నెట్‌వర్క్‌ను సెటప్ చేసేటప్పుడు తగిన భద్రతా చర్యలు అమలు చేయబడితే ఈ దాడులన్నీ విఫలమయ్యేవి. మేము ప్రత్యేకంగా మా ట్రాప్‌లో చేసినట్లుగా, వారి పరికరాలు మరియు పారిశ్రామిక మౌలిక సదుపాయాల భాగాలు ఇంటర్నెట్ నుండి ప్రాప్యత చేయబడవని సంస్థలు నిర్ధారించుకోవాలి.

మేము ఇంజనీర్ వర్క్‌స్టేషన్‌పై ఒక్క దాడిని నమోదు చేయనప్పటికీ, అన్ని కంప్యూటర్‌లలో ఒకే స్థానిక నిర్వాహక పాస్‌వర్డ్‌ని ఉపయోగిస్తున్నప్పటికీ, చొరబాట్ల అవకాశాన్ని తగ్గించడానికి ఈ అభ్యాసాన్ని నివారించాలి. అన్నింటికంటే, బలహీనమైన భద్రత పారిశ్రామిక వ్యవస్థలపై దాడి చేయడానికి అదనపు ఆహ్వానంగా పనిచేస్తుంది, ఇది సైబర్ నేరస్థులకు చాలా కాలంగా ఆసక్తిని కలిగి ఉంది.

మూలం: www.habr.com