యాంటీవైరస్ కంపెనీలు, ఇన్ఫర్మేషన్ సెక్యూరిటీ నిపుణులు మరియు కేవలం ఔత్సాహికులు వైరస్ యొక్క కొత్త వైవిధ్యాన్ని "క్యాచ్" చేయడానికి లేదా అసాధారణ హ్యాకర్ వ్యూహాలను గుర్తించడానికి ఇంటర్నెట్లో హనీపాట్ సిస్టమ్లను ఉంచారు. హనీపాట్లు చాలా సాధారణం, సైబర్ నేరస్థులు ఒక రకమైన రోగనిరోధక శక్తిని అభివృద్ధి చేస్తారు: వారు ఒక ఉచ్చు ముందు ఉన్నారని వారు త్వరగా గుర్తించి దానిని విస్మరిస్తారు. ఆధునిక హ్యాకర్ల వ్యూహాలను అన్వేషించడానికి, మేము ఏడు నెలల పాటు ఇంటర్నెట్లో నివసించే వాస్తవిక హనీపాట్ను సృష్టించాము, వివిధ రకాల దాడులను ఆకర్షిస్తున్నాము. మా అధ్యయనంలో ఇది ఎలా జరిగిందో మేము మాట్లాడాము "
హనీపాట్ అభివృద్ధి: చెక్లిస్ట్
మా సూపర్ట్రాప్ను రూపొందించడంలో ప్రధాన పని ఏమిటంటే, దానిపై ఆసక్తి చూపిన హ్యాకర్ల ద్వారా మమ్మల్ని బహిర్గతం చేయకుండా నిరోధించడం. దీనికి చాలా పని అవసరం:
- ఉద్యోగుల పూర్తి పేర్లు మరియు ఫోటోలు, ఫోన్ నంబర్లు మరియు ఇమెయిల్లతో సహా కంపెనీ గురించి వాస్తవిక పురాణాన్ని సృష్టించండి.
- మా కంపెనీ కార్యకలాపాల గురించి పురాణానికి అనుగుణంగా పారిశ్రామిక మౌలిక సదుపాయాల నమూనాను రూపొందించడానికి మరియు అమలు చేయడానికి.
- బయటి నుండి ఏ నెట్వర్క్ సేవలను యాక్సెస్ చేయవచ్చో నిర్ణయించుకోండి, కానీ హాని కలిగించే పోర్ట్లను తెరవడం ద్వారా దూరంగా ఉండకండి, తద్వారా ఇది సక్కర్లకు ట్రాప్ లాగా కనిపించదు.
- హాని కలిగించే సిస్టమ్ గురించిన సమాచార లీక్ల దృశ్యమానతను నిర్వహించండి మరియు సంభావ్య దాడి చేసేవారిలో ఈ సమాచారాన్ని పంపిణీ చేయండి.
- హనీపాట్ ఇన్ఫ్రాస్ట్రక్చర్లో హ్యాకర్ కార్యకలాపాలపై వివేకవంతమైన పర్యవేక్షణను అమలు చేయండి.
మరియు ఇప్పుడు మొదటి విషయాలు మొదటి.
ఒక పురాణాన్ని సృష్టిస్తోంది
సైబర్ నేరగాళ్లు ఇప్పటికే చాలా హనీపాట్లను ఎదుర్కోవడానికి అలవాటు పడ్డారు, కాబట్టి వారిలో అత్యంత అధునాతనమైన భాగం అది ఒక ఉచ్చు కాదని నిర్ధారించుకోవడానికి ప్రతి హాని కలిగించే వ్యవస్థపై లోతైన పరిశోధనను నిర్వహిస్తుంది. అదే కారణంతో, మేము హనీపాట్ డిజైన్ మరియు సాంకేతిక అంశాల పరంగా వాస్తవికంగా ఉండటమే కాకుండా, నిజమైన కంపెనీ రూపాన్ని కూడా రూపొందించడానికి ప్రయత్నించాము.
ఊహాజనిత కూల్ హ్యాకర్ యొక్క బూట్లలో మమ్మల్ని ఉంచడం, మేము ఒక ట్రాప్ నుండి నిజమైన సిస్టమ్ను వేరు చేసే ధృవీకరణ అల్గారిథమ్ను అభివృద్ధి చేసాము. ఇది కంపెనీ IP చిరునామాలను కీర్తి వ్యవస్థలలో శోధించడం, IP చిరునామాల చరిత్రలో రివర్స్ రీసెర్చ్, కంపెనీకి సంబంధించిన పేర్లు మరియు కీలకపదాల కోసం శోధించడం, అలాగే దాని కౌంటర్పార్టీలు మరియు అనేక ఇతర విషయాలను కలిగి ఉంది. ఫలితంగా, పురాణం చాలా నమ్మకంగా మరియు ఆకర్షణీయంగా మారింది.
మేము సైనిక మరియు విమానయాన విభాగంలో చాలా పెద్ద అనామక క్లయింట్ల కోసం పని చేసే చిన్న పారిశ్రామిక ప్రోటోటైపింగ్ బోటిక్గా డికాయ్ ఫ్యాక్టరీని ఉంచాలని నిర్ణయించుకున్నాము. ఇది ఇప్పటికే ఉన్న బ్రాండ్ను ఉపయోగించడంతో ముడిపడి ఉన్న చట్టపరమైన సమస్యల నుండి మాకు విముక్తి కలిగించింది.
తరువాత మేము సంస్థ కోసం ఒక విజన్, మిషన్ మరియు పేరుతో ముందుకు రావాలి. మా కంపెనీ తక్కువ సంఖ్యలో ఉద్యోగులతో స్టార్టప్ కావాలని మేము నిర్ణయించుకున్నాము, వీరిలో ప్రతి ఒక్కరూ వ్యవస్థాపకులు. ఇది మా వ్యాపారం యొక్క ప్రత్యేక స్వభావం యొక్క కథనానికి విశ్వసనీయతను జోడించింది, ఇది పెద్ద మరియు ముఖ్యమైన క్లయింట్ల కోసం సున్నితమైన ప్రాజెక్ట్లను నిర్వహించడానికి అనుమతిస్తుంది. సైబర్ సెక్యూరిటీ దృక్పథం నుండి మా కంపెనీ బలహీనంగా కనిపించాలని మేము కోరుకుంటున్నాము, అయితే అదే సమయంలో మేము లక్ష్య సిస్టమ్లపై ముఖ్యమైన ఆస్తులతో పని చేస్తున్నామని స్పష్టంగా ఉంది.
MeTech హనీపాట్ వెబ్సైట్ యొక్క స్క్రీన్షాట్. మూలం: ట్రెండ్ మైక్రో
మేము కంపెనీ పేరుగా MeTech అనే పదాన్ని ఎంచుకున్నాము. సైట్ ఉచిత టెంప్లేట్ ఆధారంగా రూపొందించబడింది. ఫోటో బ్యాంకుల నుండి చిత్రాలు తీయబడ్డాయి, అత్యంత ప్రజాదరణ లేని వాటిని ఉపయోగించి మరియు వాటిని తక్కువ గుర్తించేలా వాటిని సవరించడం జరిగింది.
కంపెనీ వాస్తవికంగా కనిపించాలని మేము కోరుకుంటున్నాము, కాబట్టి మేము కార్యాచరణ యొక్క ప్రొఫైల్కు సరిపోయే వృత్తిపరమైన నైపుణ్యాలు కలిగిన ఉద్యోగులను జోడించాల్సిన అవసరం ఉంది. మేము వారి కోసం పేర్లు మరియు వ్యక్తులతో ముందుకు వచ్చాము, ఆపై జాతి ప్రకారం ఫోటో బ్యాంకుల నుండి చిత్రాలను ఎంచుకోవడానికి ప్రయత్నించాము.
MeTech హనీపాట్ వెబ్సైట్ యొక్క స్క్రీన్షాట్. మూలం: ట్రెండ్ మైక్రో
కనుగొనబడకుండా ఉండటానికి, మేము మంచి నాణ్యత గల సమూహ ఫోటోల కోసం వెతుకుతున్నాము, దాని నుండి మనకు అవసరమైన ముఖాలను ఎంచుకోవచ్చు. అయినప్పటికీ, సంభావ్య హ్యాకర్ రివర్స్ ఇమేజ్ సెర్చ్ని ఉపయోగించగలడు మరియు మా “ఉద్యోగులు” ఫోటో బ్యాంక్లలో మాత్రమే నివసిస్తున్నారని కనుక్కోవచ్చు కాబట్టి మేము ఈ ఎంపికను వదిలివేసాము. చివరికి, మేము న్యూరల్ నెట్వర్క్లను ఉపయోగించి సృష్టించిన ఉనికిలో లేని వ్యక్తుల ఫోటోగ్రాఫ్లను ఉపయోగించాము.
సైట్లో ప్రచురించబడిన ఉద్యోగుల ప్రొఫైల్లు వారి సాంకేతిక నైపుణ్యాల గురించి ముఖ్యమైన సమాచారాన్ని కలిగి ఉన్నాయి, కానీ మేము నిర్దిష్ట పాఠశాలలు లేదా నగరాలను గుర్తించడాన్ని నివారించాము.
మెయిల్బాక్స్లను సృష్టించడానికి, మేము హోస్టింగ్ ప్రొవైడర్ యొక్క సర్వర్ని ఉపయోగించాము, ఆపై యునైటెడ్ స్టేట్స్లో అనేక టెలిఫోన్ నంబర్లను అద్దెకు తీసుకున్నాము మరియు వాటిని వాయిస్ మెనూ మరియు ఆన్సర్ మెషీన్తో వర్చువల్ PBXగా కలిపాము.
హనీపాట్ మౌలిక సదుపాయాలు
బహిర్గతం కాకుండా ఉండటానికి, మేము నిజమైన పారిశ్రామిక హార్డ్వేర్, ఫిజికల్ కంప్యూటర్లు మరియు సురక్షిత వర్చువల్ మిషన్ల కలయికను ఉపయోగించాలని నిర్ణయించుకున్నాము. ముందుకు చూస్తే, షోడాన్ సెర్చ్ ఇంజన్ని ఉపయోగించి మా ప్రయత్నాల ఫలితాన్ని మేము తనిఖీ చేసాము మరియు హనీపాట్ నిజమైన పారిశ్రామిక వ్యవస్థలా కనిపిస్తోందని మేము చెబుతాము.
షోడాన్ని ఉపయోగించి హనీపాట్ని స్కాన్ చేసిన ఫలితం. మూలం: ట్రెండ్ మైక్రో
మేము మా ట్రాప్ కోసం నాలుగు PLCలను హార్డ్వేర్గా ఉపయోగించాము:
- సిమెన్స్ S7-1200,
- రెండు AllenBradley MicroLogix 1100,
- ఓమ్రాన్ CP1L.
ఈ PLCలు గ్లోబల్ కంట్రోల్ సిస్టమ్ మార్కెట్లో వాటి జనాదరణ కోసం ఎంపిక చేయబడ్డాయి. మరియు ఈ కంట్రోలర్లలో ప్రతి ఒక్కటి దాని స్వంత ప్రోటోకాల్ను ఉపయోగిస్తుంది, ఇది PLCలలో ఏది తరచుగా దాడి చేయబడుతుందో మరియు వారు సూత్రప్రాయంగా ఎవరికైనా ఆసక్తిని కలిగి ఉంటారో లేదో తనిఖీ చేయడానికి మాకు అనుమతినిచ్చింది.
మా "ఫ్యాక్టరీ"-ట్రాప్ యొక్క పరికరాలు. మూలం: ట్రెండ్ మైక్రో
మేము కేవలం హార్డ్వేర్ను ఇన్స్టాల్ చేసి ఇంటర్నెట్కి కనెక్ట్ చేయలేదు. మేము ప్రతి కంట్రోలర్తో సహా పనులను నిర్వహించడానికి ప్రోగ్రామ్ చేసాము
- కలపడం,
- బర్నర్ మరియు కన్వేయర్ బెల్ట్ నియంత్రణ,
- రోబోటిక్ మానిప్యులేటర్ని ఉపయోగించి ప్యాలెటైజింగ్.
మరియు ఉత్పత్తి ప్రక్రియను వాస్తవికంగా చేయడానికి, మేము ఫీడ్బ్యాక్ పారామితులను యాదృచ్ఛికంగా మార్చడానికి, మోటార్లను ప్రారంభించడం మరియు ఆపడాన్ని అనుకరించడం మరియు బర్నర్లను ఆన్ మరియు ఆఫ్ చేయడం వంటి లాజిక్లను ప్రోగ్రామ్ చేసాము.
మా ఫ్యాక్టరీలో మూడు వర్చువల్ కంప్యూటర్లు మరియు ఒక భౌతికమైనవి ఉన్నాయి. వర్చువల్ కంప్యూటర్లు ఒక ప్లాంట్ను, ప్యాలెటైజర్ రోబోట్ను నియంత్రించడానికి మరియు PLC సాఫ్ట్వేర్ ఇంజనీర్కు వర్క్స్టేషన్గా ఉపయోగించబడ్డాయి. భౌతిక కంప్యూటర్ ఫైల్ సర్వర్గా పనిచేసింది.
PLCలపై దాడులను పర్యవేక్షించడంతో పాటు, మేము మా పరికరాల్లో లోడ్ చేయబడిన ప్రోగ్రామ్ల స్థితిని పర్యవేక్షించాలనుకుంటున్నాము. దీన్ని చేయడానికి, మేము మా వర్చువల్ యాక్యుయేటర్లు మరియు సెట్టింగ్ల స్థితిని ఎలా సవరించాలో త్వరగా గుర్తించడానికి అనుమతించే ఇంటర్ఫేస్ను సృష్టించాము. ఇప్పటికే ప్లానింగ్ దశలో, కంట్రోలర్ లాజిక్ యొక్క డైరెక్ట్ ప్రోగ్రామింగ్ కంటే కంట్రోల్ ప్రోగ్రామ్ని ఉపయోగించి దీన్ని అమలు చేయడం చాలా సులభం అని మేము కనుగొన్నాము. మేము పాస్వర్డ్ లేకుండా VNC ద్వారా మా హనీపాట్ యొక్క పరికర నిర్వహణ ఇంటర్ఫేస్కు ప్రాప్యతను తెరిచాము.
పారిశ్రామిక రోబోలు ఆధునిక స్మార్ట్ తయారీలో కీలకమైన భాగం. ఈ విషయంలో, మా ట్రాప్ ఫ్యాక్టరీ యొక్క పరికరాలకు నియంత్రించడానికి రోబోట్ మరియు ఆటోమేటెడ్ వర్క్ప్లేస్ని జోడించాలని మేము నిర్ణయించుకున్నాము. "ఫ్యాక్టరీ"ని మరింత వాస్తవికంగా చేయడానికి, మేము కంట్రోల్ వర్క్స్టేషన్లో నిజమైన సాఫ్ట్వేర్ను ఇన్స్టాల్ చేసాము, ఇంజనీర్లు రోబోట్ లాజిక్ను గ్రాఫికల్గా ప్రోగ్రామ్ చేయడానికి ఉపయోగిస్తారు. బాగా, పారిశ్రామిక రోబోట్లు సాధారణంగా వివిక్త అంతర్గత నెట్వర్క్లో ఉన్నందున, మేము VNC ద్వారా అసురక్షిత యాక్సెస్ను కంట్రోల్ వర్క్స్టేషన్కు మాత్రమే వదిలివేయాలని నిర్ణయించుకున్నాము.
మా రోబోట్ యొక్క 3D మోడల్తో RobotStudio వాతావరణం. మూలం: ట్రెండ్ మైక్రో
మేము రోబోట్ కంట్రోల్ వర్క్స్టేషన్తో వర్చువల్ మెషీన్లో ABB రోబోటిక్స్ నుండి RobotStudio ప్రోగ్రామింగ్ వాతావరణాన్ని ఇన్స్టాల్ చేసాము. RobotStudioని కాన్ఫిగర్ చేసిన తర్వాత, మేము మా రోబోట్తో అనుకరణ ఫైల్ను తెరిచాము, తద్వారా దాని 3D చిత్రం స్క్రీన్పై కనిపిస్తుంది. ఫలితంగా, షోడాన్ మరియు ఇతర శోధన ఇంజిన్లు, అసురక్షిత VNC సర్వర్ని గుర్తించిన తర్వాత, ఈ స్క్రీన్ ఇమేజ్ను పట్టుకుని, నియంత్రణకు ఓపెన్ యాక్సెస్తో పారిశ్రామిక రోబోట్ల కోసం చూస్తున్న వారికి చూపుతాయి.
దాడి చేసేవారి కోసం ఒక ఆకర్షణీయమైన మరియు వాస్తవిక లక్ష్యాన్ని సృష్టించడం, వారు దానిని కనుగొన్న తర్వాత, మళ్లీ మళ్లీ దానికి తిరిగి వచ్చేలా చేయడం ఈ వివరాలకు శ్రద్ధ వహించడం.
ఇంజనీర్ వర్క్స్టేషన్
PLC లాజిక్ను ప్రోగ్రామ్ చేయడానికి, మేము మౌలిక సదుపాయాలకు ఇంజనీరింగ్ కంప్యూటర్ను జోడించాము. PLC ప్రోగ్రామింగ్ కోసం పారిశ్రామిక సాఫ్ట్వేర్ దానిపై ఇన్స్టాల్ చేయబడింది:
- సిమెన్స్ కోసం TIA పోర్టల్,
- అలెన్-బ్రాడ్లీ కంట్రోలర్ కోసం మైక్రోలాజిక్స్,
- ఓమ్రాన్ కోసం CX-వన్.
నెట్వర్క్ వెలుపల ఇంజనీరింగ్ వర్క్స్పేస్ యాక్సెస్ చేయబడదని మేము నిర్ణయించుకున్నాము. బదులుగా, మేము రోబోట్ కంట్రోల్ వర్క్స్టేషన్ మరియు ఇంటర్నెట్ నుండి యాక్సెస్ చేయగల ఫ్యాక్టరీ కంట్రోల్ వర్క్స్టేషన్లో ఉన్న అదే పాస్వర్డ్ను అడ్మినిస్ట్రేటర్ ఖాతా కోసం సెట్ చేస్తాము. ఈ కాన్ఫిగరేషన్ చాలా కంపెనీలలో సర్వసాధారణం.
దురదృష్టవశాత్తు, మేము ఎన్ని ప్రయత్నాలు చేసినప్పటికీ, ఒక్క దాడి చేసే వ్యక్తి కూడా ఇంజనీర్ వర్క్స్టేషన్కు చేరుకోలేదు.
ఫైల్ సర్వర్
దాడి చేసేవారికి ఎరగా మరియు డికాయ్ ఫ్యాక్టరీలో మా స్వంత "పని"ని బ్యాకప్ చేసే సాధనంగా మాకు ఇది అవసరం. ఇది హనీపాట్ నెట్వర్క్లో ట్రేస్ను వదలకుండా USB పరికరాలను ఉపయోగించి మా హనీపాట్తో ఫైల్లను భాగస్వామ్యం చేయడానికి మాకు అనుమతినిచ్చింది. మేము ఫైల్ సర్వర్ కోసం Windows 7 Proని OSగా ఇన్స్టాల్ చేసాము, దీనిలో ఎవరైనా చదవగలిగే మరియు వ్రాయగలిగే భాగస్వామ్య ఫోల్డర్ను మేము సృష్టించాము.
మొదట మేము ఫైల్ సర్వర్లో ఫోల్డర్లు మరియు పత్రాల సోపానక్రమాన్ని సృష్టించలేదు. అయితే, దాడి చేసేవారు ఈ ఫోల్డర్ను చురుకుగా అధ్యయనం చేస్తున్నారని మేము తర్వాత కనుగొన్నాము, కాబట్టి మేము దీన్ని వివిధ ఫైల్లతో నింపాలని నిర్ణయించుకున్నాము. దీన్ని చేయడానికి, మేము ఇచ్చిన ఎక్స్టెన్షన్లలో ఒకదానితో యాదృచ్ఛిక పరిమాణంలో ఫైల్ను సృష్టించి, నిఘంటువు ఆధారంగా పేరును రూపొందించే పైథాన్ స్క్రిప్ట్ను వ్రాసాము.
ఆకర్షణీయమైన ఫైల్ పేర్లను రూపొందించడానికి స్క్రిప్ట్. మూలం: ట్రెండ్ మైక్రో
స్క్రిప్ట్ను అమలు చేసిన తర్వాత, చాలా ఆసక్తికరమైన పేర్లతో ఫైల్లతో నిండిన ఫోల్డర్ రూపంలో మేము కోరుకున్న ఫలితాన్ని పొందాము.
స్క్రిప్ట్ యొక్క ఫలితం. మూలం: ట్రెండ్ మైక్రో
పర్యావరణాన్ని పర్యవేక్షించడం
వాస్తవిక సంస్థను రూపొందించడానికి చాలా కృషి చేసినందున, మా “సందర్శకులను” పర్యవేక్షించడం కోసం మేము పర్యావరణంపై విఫలం కాలేము. దాడి చేసేవారు తాము చూస్తున్నారని గ్రహించకుండానే మేము మొత్తం డేటాను నిజ సమయంలో పొందవలసి ఉంటుంది.
మేము దీనిని నాలుగు USB నుండి ఈథర్నెట్ అడాప్టర్లు, నాలుగు షార్క్టాప్ ఈథర్నెట్ ట్యాప్లు, ఒక రాస్ప్బెర్రీ పై 3 మరియు పెద్ద బాహ్య డ్రైవ్ని ఉపయోగించి అమలు చేసాము. మా నెట్వర్క్ రేఖాచిత్రం ఇలా ఉంది:
పర్యవేక్షణ పరికరాలతో హనీపాట్ నెట్వర్క్ రేఖాచిత్రం. మూలం: ట్రెండ్ మైక్రో
PLCకి అన్ని బాహ్య ట్రాఫిక్ను పర్యవేక్షించడానికి మేము మూడు SharkTap ట్యాప్లను ఉంచాము, అంతర్గత నెట్వర్క్ నుండి మాత్రమే యాక్సెస్ చేయవచ్చు. నాల్గవ షార్క్టాప్ హాని కలిగించే వర్చువల్ మెషీన్ యొక్క అతిథుల ట్రాఫిక్ను పర్యవేక్షించింది.
షార్క్టాప్ ఈథర్నెట్ ట్యాప్ మరియు సియెర్రా వైర్లెస్ ఎయిర్లింక్ RV50 రూటర్. మూలం: ట్రెండ్ మైక్రో
రాస్ప్బెర్రీ పై రోజువారీ ట్రాఫిక్ క్యాప్చర్ని ప్రదర్శించింది. మేము సియెర్రా వైర్లెస్ ఎయిర్లింక్ RV50 సెల్యులార్ రూటర్ని ఉపయోగించి ఇంటర్నెట్కి కనెక్ట్ చేసాము, ఇది తరచుగా పారిశ్రామిక సంస్థలలో ఉపయోగించబడుతుంది.
దురదృష్టవశాత్తూ, ఈ రూటర్ మా ప్లాన్లతో సరిపోలని దాడులను సెలెక్టివ్గా నిరోధించడానికి మమ్మల్ని అనుమతించలేదు, కాబట్టి మేము నెట్వర్క్పై తక్కువ ప్రభావంతో నిరోధించడాన్ని నిర్వహించడానికి పారదర్శక మోడ్లో నెట్వర్క్కు Cisco ASA 5505 ఫైర్వాల్ను జోడించాము.
ట్రాఫిక్ విశ్లేషణ
Tshark మరియు tcpdump ప్రస్తుత సమస్యలను త్వరగా పరిష్కరించడానికి తగినవి, కానీ మా విషయంలో వారి సామర్థ్యాలు సరిపోవు, ఎందుకంటే మాకు చాలా గిగాబైట్ల ట్రాఫిక్ ఉంది, వీటిని చాలా మంది వ్యక్తులు విశ్లేషించారు. మేము AOL చే అభివృద్ధి చేయబడిన ఓపెన్ సోర్స్ మోలోచ్ ఎనలైజర్ని ఉపయోగించాము. ఇది వైర్షార్క్తో ఫంక్షనాలిటీతో పోల్చదగినది, కానీ సహకారం కోసం, ప్యాకేజీలను వివరించడం మరియు ట్యాగ్ చేయడం, ఎగుమతి చేయడం మరియు ఇతర పనుల కోసం మరిన్ని సామర్థ్యాలను కలిగి ఉంది.
మేము హనీపాట్ కంప్యూటర్లలో సేకరించిన డేటాను ప్రాసెస్ చేయకూడదనుకోవడం వలన, PCAP డంప్లు ప్రతిరోజూ AWS స్టోరేజ్కి ఎగుమతి చేయబడుతున్నాయి, అక్కడి నుండి మేము వాటిని ఇప్పటికే మోలోచ్ మెషీన్లోకి దిగుమతి చేసుకున్నాము.
స్క్రీన్ రికార్డింగ్
మా హనీపాట్లో హ్యాకర్ల చర్యలను డాక్యుమెంట్ చేయడానికి, మేము ఇచ్చిన విరామంలో వర్చువల్ మెషీన్ యొక్క స్క్రీన్షాట్లను తీసిన స్క్రిప్ట్ను వ్రాసాము మరియు దానిని మునుపటి స్క్రీన్షాట్తో పోల్చి, అక్కడ ఏదైనా జరుగుతోందా లేదా అని నిర్ధారించాము. కార్యాచరణ గుర్తించబడినప్పుడు, స్క్రిప్ట్లో స్క్రీన్ రికార్డింగ్ ఉంటుంది. ఈ విధానం అత్యంత ప్రభావవంతమైనదిగా మారింది. సిస్టమ్లో ఎలాంటి మార్పులు సంభవించాయో అర్థం చేసుకోవడానికి మేము PCAP డంప్ నుండి VNC ట్రాఫిక్ను విశ్లేషించడానికి కూడా ప్రయత్నించాము, కానీ చివరికి మేము అమలు చేసిన స్క్రీన్ రికార్డింగ్ సరళమైనది మరియు మరింత దృశ్యమానంగా మారింది.
VNC సెషన్లను పర్యవేక్షిస్తోంది
దీని కోసం మేము Chaosreader మరియు VNCLoggerని ఉపయోగించాము. రెండు యుటిలిటీలు PCAP డంప్ నుండి కీస్ట్రోక్లను సంగ్రహిస్తాయి, అయితే VNCLogger Backspace, Enter, Ctrl వంటి కీలను మరింత సరిగ్గా నిర్వహిస్తుంది.
VNCLoggerకి రెండు ప్రతికూలతలు ఉన్నాయి. మొదటిది: ఇది ఇంటర్ఫేస్లో ట్రాఫిక్ను “వినడం” ద్వారా మాత్రమే కీలను సంగ్రహించగలదు, కాబట్టి మేము దాని కోసం tcpreplayని ఉపయోగించి VNC సెషన్ను అనుకరించవలసి ఉంటుంది. VNCLogger యొక్క రెండవ ప్రతికూలత Chaosreaderతో సాధారణం: అవి రెండూ క్లిప్బోర్డ్లోని విషయాలను చూపవు. దీన్ని చేయడానికి నేను వైర్షార్క్ని ఉపయోగించాల్సి వచ్చింది.
మేము హ్యాకర్లను ఎర చేస్తాము
మేము దాడి చేయడానికి హనీపాట్ను సృష్టించాము. దీన్ని సాధించడానికి, సంభావ్య దాడి చేసేవారి దృష్టిని ఆకర్షించడానికి మేము సమాచార లీక్ని ప్రదర్శించాము. కింది పోర్ట్లు హనీపాట్లో తెరవబడ్డాయి:
మేము ప్రత్యక్ష ప్రసారం చేసిన కొద్దిసేపటికే RDP పోర్ట్ మూసివేయవలసి వచ్చింది, ఎందుకంటే మా నెట్వర్క్లో భారీ మొత్తంలో స్కానింగ్ ట్రాఫిక్ పనితీరు సమస్యలను కలిగిస్తుంది.
VNC టెర్మినల్స్ మొదట పాస్వర్డ్ లేకుండా వీక్షణ-మాత్రమే మోడ్లో పనిచేశాయి, ఆపై మేము "పొరపాటున" వాటిని పూర్తి యాక్సెస్ మోడ్కి మార్చాము.
దాడి చేసేవారిని ఆకర్షించడానికి, మేము PasteBinలో అందుబాటులో ఉన్న పారిశ్రామిక వ్యవస్థ గురించి లీక్ అయిన సమాచారంతో రెండు పోస్ట్లను పోస్ట్ చేసాము.
దాడులను ఆకర్షించడానికి పేస్ట్బిన్లో పోస్ట్ చేసిన పోస్ట్లలో ఒకటి. మూలం: ట్రెండ్ మైక్రో
దాడులు
హనీపాట్ దాదాపు ఏడు నెలల పాటు ఆన్లైన్లో జీవించింది. హనీపాట్ ఆన్లైన్లోకి వచ్చిన ఒక నెల తర్వాత మొదటి దాడి జరిగింది.
స్కానర్లు
ip-ip, Rapid, Shadow Server, Shodan, ZoomEye మరియు ఇతర ప్రసిద్ధ కంపెనీల స్కానర్ల నుండి చాలా ట్రాఫిక్ ఉంది. వాటిలో చాలా ఉన్నాయి, మేము వారి IP చిరునామాలను విశ్లేషణ నుండి మినహాయించవలసి వచ్చింది: 610లో 9452 లేదా అన్ని ప్రత్యేకమైన IP చిరునామాలలో 6,45% పూర్తిగా చట్టబద్ధమైన స్కానర్లకు చెందినవి.
scammers
నేరపూరిత ప్రయోజనాల కోసం మా సిస్టమ్ను ఉపయోగించడం మేము ఎదుర్కొన్న అతిపెద్ద ప్రమాదాలలో ఒకటి: సబ్స్క్రైబర్ ఖాతా ద్వారా స్మార్ట్ఫోన్లను కొనుగోలు చేయడం, గిఫ్ట్ కార్డ్లను ఉపయోగించి ఎయిర్లైన్ మైళ్లను క్యాష్ అవుట్ చేయడం మరియు ఇతర రకాల మోసం.
మైనర్లు
మా సిస్టమ్కు వచ్చిన మొదటి సందర్శకులలో ఒకరు మైనర్గా మారారు. అతను మోనెరో మైనింగ్ సాఫ్ట్వేర్ను డౌన్లోడ్ చేశాడు. తక్కువ ఉత్పాదకత కారణంగా అతను మా నిర్దిష్ట వ్యవస్థలో ఎక్కువ డబ్బు సంపాదించలేడు. అయినప్పటికీ, మేము అనేక డజన్ల లేదా వందలకొద్దీ అటువంటి వ్యవస్థల ప్రయత్నాలను మిళితం చేస్తే, అది చాలా బాగా మారుతుంది.
రాన్సమ్వేర్
హనీపాట్ పని సమయంలో, మేము నిజమైన ransomware వైరస్లను రెండుసార్లు ఎదుర్కొన్నాము. మొదటి సందర్భంలో అది క్రైసిస్. దీని ఆపరేటర్లు VNC ద్వారా సిస్టమ్లోకి లాగిన్ అయ్యారు, కానీ తర్వాత TeamViewerని ఇన్స్టాల్ చేసి తదుపరి చర్యలను చేయడానికి దాన్ని ఉపయోగించారు. BTCలో $10 విమోచన క్రయధనం కోరుతూ ఒక దోపిడీ సందేశం కోసం వేచి ఉన్న తర్వాత, మేము నేరస్థులతో కరస్పాండెన్స్లోకి ప్రవేశించాము, మా కోసం ఫైల్లలో ఒకదాన్ని డీక్రిప్ట్ చేయమని కోరాము. వారు అభ్యర్థనకు కట్టుబడి, విమోచన డిమాండ్ను పునరావృతం చేశారు. మేము 6 వేల డాలర్ల వరకు చర్చలు జరపగలిగాము, దాని తర్వాత మేము సిస్టమ్ను వర్చువల్ మెషీన్కు తిరిగి అప్లోడ్ చేసాము, ఎందుకంటే మేము అవసరమైన మొత్తం సమాచారాన్ని అందుకున్నాము.
రెండవ ransomware ఫోబోస్ అని తేలింది. దీన్ని ఇన్స్టాల్ చేసిన హ్యాకర్ గంటసేపు హనీపాట్ ఫైల్ సిస్టమ్ను బ్రౌజ్ చేసి నెట్వర్క్ను స్కాన్ చేసి, చివరకు ransomwareని ఇన్స్టాల్ చేశాడు.
మూడో ర్యాన్సమ్వేర్ దాడి నకిలీదని తేలింది. తెలియని "హ్యాకర్" haha.bat ఫైల్ను మా సిస్టమ్లోకి డౌన్లోడ్ చేసాడు, ఆ తర్వాత అతను దానిని పని చేయడానికి ప్రయత్నించినప్పుడు మేము కాసేపు చూశాము. ప్రయత్నాలలో ఒకటి haha.bat పేరును haha.rnsmwrగా మార్చడం.
"హ్యాకర్" బ్యాట్ ఫైల్ యొక్క పొడిగింపును .rnsmwrకి మార్చడం ద్వారా దాని హానికరతను పెంచుతుంది. మూలం: ట్రెండ్ మైక్రో
బ్యాచ్ ఫైల్ చివరకు అమలు చేయడం ప్రారంభించినప్పుడు, "హ్యాకర్" దానిని సవరించాడు, విమోచన క్రయధనాన్ని $200 నుండి $750కి పెంచాడు. ఆ తరువాత, అతను అన్ని ఫైళ్ళను "గుప్తీకరించాడు", డెస్క్టాప్లో దోపిడీ సందేశాన్ని వదిలి మా VNCలో పాస్వర్డ్లను మారుస్తూ అదృశ్యమయ్యాడు.
కొన్ని రోజుల తర్వాత, హ్యాకర్ తిరిగి వచ్చి, తనను తాను గుర్తుచేసుకోవడానికి, పోర్న్ సైట్తో అనేక విండోలను తెరిచిన బ్యాచ్ ఫైల్ను ప్రారంభించాడు. స్పష్టంగా, ఈ విధంగా అతను తన డిమాండ్పై దృష్టిని ఆకర్షించడానికి ప్రయత్నించాడు.
ఫలితాలు
అధ్యయనం సమయంలో, దుర్బలత్వం గురించి సమాచారం ప్రచురించబడిన వెంటనే, హనీపాట్ దృష్టిని ఆకర్షించింది, కార్యకలాపాలు రోజురోజుకు పెరుగుతాయి. ట్రాప్ దృష్టిని ఆకర్షించడానికి, మా కల్పిత కంపెనీ అనేక భద్రతా ఉల్లంఘనలను ఎదుర్కోవలసి వచ్చింది. దురదృష్టవశాత్తు, పూర్తి-సమయం IT మరియు ఇన్ఫర్మేషన్ సెక్యూరిటీ ఉద్యోగులు లేని అనేక నిజమైన కంపెనీలలో ఈ పరిస్థితి అసాధారణమైనది కాదు.
సాధారణంగా, సంస్థలు కనీసం ప్రత్యేక హక్కు సూత్రాన్ని ఉపయోగించాలి, అయితే దాడి చేసేవారిని ఆకర్షించడానికి మేము దానికి ఖచ్చితమైన వ్యతిరేకతను అమలు చేసాము. మరియు మేము దాడులను ఎంత ఎక్కువసేపు చూశాము, అవి ప్రామాణిక చొచ్చుకుపోయే పరీక్ష పద్ధతులతో పోలిస్తే మరింత అధునాతనంగా మారాయి.
మరియు ముఖ్యంగా, నెట్వర్క్ను సెటప్ చేసేటప్పుడు తగిన భద్రతా చర్యలు అమలు చేయబడితే ఈ దాడులన్నీ విఫలమయ్యేవి. మేము ప్రత్యేకంగా మా ట్రాప్లో చేసినట్లుగా, వారి పరికరాలు మరియు పారిశ్రామిక మౌలిక సదుపాయాల భాగాలు ఇంటర్నెట్ నుండి ప్రాప్యత చేయబడవని సంస్థలు నిర్ధారించుకోవాలి.
మేము ఇంజనీర్ వర్క్స్టేషన్పై ఒక్క దాడిని నమోదు చేయనప్పటికీ, అన్ని కంప్యూటర్లలో ఒకే స్థానిక నిర్వాహక పాస్వర్డ్ని ఉపయోగిస్తున్నప్పటికీ, చొరబాట్ల అవకాశాన్ని తగ్గించడానికి ఈ అభ్యాసాన్ని నివారించాలి. అన్నింటికంటే, బలహీనమైన భద్రత పారిశ్రామిక వ్యవస్థలపై దాడి చేయడానికి అదనపు ఆహ్వానంగా పనిచేస్తుంది, ఇది సైబర్ నేరస్థులకు చాలా కాలంగా ఆసక్తిని కలిగి ఉంది.
మూలం: www.habr.com