โปรโฮสต์ > บล็อก > การบริหาร > มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
บริษัทป้องกันไวรัส ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล และผู้ที่ชื่นชอบการวางระบบ honeypot บนอินเทอร์เน็ตเพื่อ "จับ" ไวรัสสายพันธุ์ใหม่หรือระบุกลยุทธ์ของแฮ็กเกอร์ที่ผิดปกติ Honeypots เป็นเรื่องปกติมากจนอาชญากรไซเบอร์ได้พัฒนาภูมิคุ้มกันชนิดหนึ่ง โดยระบุได้อย่างรวดเร็วว่าตนอยู่หน้ากับดักและเพิกเฉยต่อมัน เพื่อสำรวจกลยุทธ์ของแฮ็กเกอร์ยุคใหม่ เราได้สร้าง honeypot ที่สมจริงซึ่งอาศัยอยู่บนอินเทอร์เน็ตเป็นเวลาเจ็ดเดือน และดึงดูดการโจมตีที่หลากหลาย เราคุยกันว่าสิ่งนี้เกิดขึ้นได้อย่างไรในการศึกษาของเรา”ติดอยู่ในเหตุการณ์: ใช้งาน Honeypot ของโรงงานที่สมจริงเพื่อจับภัยคุกคามที่แท้จริง" ข้อเท็จจริงบางประการจากการศึกษาอยู่ในโพสต์นี้

การพัฒนา Honeypot: รายการตรวจสอบ

ภารกิจหลักในการสร้าง supertrap ของเราคือการป้องกันไม่ให้เราถูกเปิดเผยโดยแฮกเกอร์ที่แสดงความสนใจในมัน สิ่งนี้ต้องทำงานมาก:

  1. สร้างตำนานที่สมจริงเกี่ยวกับบริษัท รวมถึงชื่อนามสกุลและรูปถ่ายของพนักงาน หมายเลขโทรศัพท์ และอีเมล
  2. เพื่อสร้างและปรับใช้แบบจำลองโครงสร้างพื้นฐานทางอุตสาหกรรมที่สอดคล้องกับตำนานเกี่ยวกับกิจกรรมของบริษัทของเรา
  3. ตัดสินใจว่าบริการเครือข่ายใดที่จะสามารถเข้าถึงได้จากภายนอก แต่อย่าเปิดพอร์ตที่มีช่องโหว่จนเกินไปเพื่อไม่ให้ดูเหมือนเป็นกับดักสำหรับตัวดูด
  4. จัดระเบียบการเปิดเผยข้อมูลที่รั่วไหลเกี่ยวกับระบบที่มีช่องโหว่และกระจายข้อมูลนี้ไปยังผู้โจมตีที่อาจเกิดขึ้น
  5. ใช้การตรวจสอบกิจกรรมของแฮ็กเกอร์อย่างรอบคอบในโครงสร้างพื้นฐานของ honeypot

และตอนนี้เกี่ยวกับทุกอย่างตามลำดับ

สร้างตำนาน

อาชญากรไซเบอร์คุ้นเคยกับการเผชิญหน้ากับฮันนีพอทจำนวนมากอยู่แล้ว ดังนั้นส่วนที่ก้าวหน้าที่สุดจึงดำเนินการตรวจสอบเชิงลึกของระบบที่มีช่องโหว่แต่ละระบบเพื่อให้แน่ใจว่าไม่ใช่กับดัก ด้วยเหตุผลเดียวกัน เราพยายามทำให้แน่ใจว่า honeypot ไม่เพียงแต่มีความสมจริงในแง่ของการออกแบบและด้านเทคนิคเท่านั้น แต่ยังสร้างรูปลักษณ์ของบริษัทที่แท้จริงด้วย

ด้วยการสวมบทบาทเป็นแฮ็กเกอร์สุดเจ๋งสมมุติ เราได้พัฒนาอัลกอริธึมการตรวจสอบที่จะแยกความแตกต่างระหว่างระบบจริงกับกับดัก รวมถึงการค้นหาที่อยู่ IP ของบริษัทในระบบชื่อเสียง การวิจัยย้อนกลับเกี่ยวกับประวัติของที่อยู่ IP การค้นหาชื่อและคำสำคัญที่เกี่ยวข้องกับบริษัท ตลอดจนคู่ค้า และอื่นๆ อีกมากมาย เป็นผลให้ตำนานกลายเป็นเรื่องที่น่าเชื่อและน่าดึงดูด

เราตัดสินใจวางตำแหน่งโรงงานล่อให้เป็นบูติกต้นแบบทางอุตสาหกรรมขนาดเล็กที่ทำงานให้กับลูกค้าที่ไม่เปิดเผยตัวตนรายใหญ่ในภาคการทหารและการบิน สิ่งนี้ช่วยให้เราปลอดจากความยุ่งยากทางกฎหมายที่เกี่ยวข้องกับการใช้แบรนด์ที่มีอยู่

ต่อไปเราก็ต้องกำหนดวิสัยทัศน์ พันธกิจ และชื่อองค์กรขึ้นมา เราตัดสินใจว่าบริษัทของเราจะเป็นสตาร์ทอัพที่มีพนักงานจำนวนไม่มาก ซึ่งแต่ละคนเป็นผู้ก่อตั้ง สิ่งนี้เพิ่มความน่าเชื่อถือให้กับเรื่องราวของลักษณะพิเศษของธุรกิจของเรา ซึ่งช่วยให้สามารถจัดการโครงการที่มีความละเอียดอ่อนสำหรับลูกค้ารายใหญ่และสำคัญได้ เราต้องการให้บริษัทของเราดูอ่อนแอจากมุมมองด้านความปลอดภัยทางไซเบอร์ แต่ในขณะเดียวกันก็ชัดเจนว่าเรากำลังทำงานกับสินทรัพย์ที่สำคัญบนระบบเป้าหมาย

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
ภาพหน้าจอของเว็บไซต์ honeypot ของ MeTech ที่มา: เทรนด์ไมโคร

เราเลือกคำว่า MeTech เป็นชื่อบริษัท ไซต์นี้สร้างขึ้นโดยใช้เทมเพลตฟรี ภาพเหล่านี้ถ่ายจากคลังภาพ โดยใช้ภาพที่ไม่ได้รับความนิยมมากที่สุดและแก้ไขภาพให้เป็นที่รู้จักน้อยลง

เราต้องการให้บริษัทดูสมจริง ดังนั้นเราจึงจำเป็นต้องเพิ่มพนักงานที่มีทักษะทางวิชาชีพที่ตรงกับโปรไฟล์ของกิจกรรม เราตั้งชื่อและบุคลิกให้กับพวกเขา จากนั้นจึงพยายามเลือกภาพจากคลังภาพตามชาติพันธุ์

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
ภาพหน้าจอของเว็บไซต์ honeypot ของ MeTech ที่มา: เทรนด์ไมโคร

เพื่อหลีกเลี่ยงไม่ให้ใครถูกค้นพบ เรามองหาภาพถ่ายกลุ่มคุณภาพดี ซึ่งเราสามารถเลือกใบหน้าที่ต้องการได้ อย่างไรก็ตาม จากนั้นเราก็ละทิ้งตัวเลือกนี้ เนื่องจากแฮ็กเกอร์อาจใช้การค้นหารูปภาพแบบย้อนกลับและพบว่า "พนักงาน" ของเราอาศัยอยู่ในคลังภาพเท่านั้น ในท้ายที่สุด เราใช้รูปถ่ายของคนที่ไม่มีอยู่จริงซึ่งสร้างขึ้นโดยใช้โครงข่ายประสาทเทียม

โปรไฟล์พนักงานที่เผยแพร่บนเว็บไซต์มีข้อมูลสำคัญเกี่ยวกับทักษะทางเทคนิคของพวกเขา แต่เราหลีกเลี่ยงการระบุโรงเรียนหรือเมืองที่เฉพาะเจาะจง
ในการสร้างกล่องจดหมาย เราใช้เซิร์ฟเวอร์ของผู้ให้บริการโฮสติ้ง จากนั้นเช่าหมายเลขโทรศัพท์หลายหมายเลขในสหรัฐอเมริกาและรวมเป็น PBX เสมือนพร้อมเมนูเสียงและเครื่องตอบรับอัตโนมัติ

โครงสร้างพื้นฐานของฮันนี่พอต

เพื่อหลีกเลี่ยงไม่ให้ถูกเปิดเผย เราจึงตัดสินใจใช้ฮาร์ดแวร์อุตสาหกรรมจริง คอมพิวเตอร์จริง และเครื่องเสมือนที่ปลอดภัยร่วมกัน เมื่อมองไปข้างหน้า เราจะบอกว่าเราได้ตรวจสอบผลลัพธ์ของความพยายามของเราโดยใช้เครื่องมือค้นหา Shodan และแสดงให้เห็นว่า honeypot ดูเหมือนระบบอุตสาหกรรมจริงๆ

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
ผลลัพธ์ของการสแกน honeypot โดยใช้ Shodan ที่มา: เทรนด์ไมโคร

เราใช้ PLC สี่ตัวเป็นฮาร์ดแวร์สำหรับกับดักของเรา:

  • ซีเมนส์ S7-1200,
  • AllenBradley MicroLogix 1100 สองตัว
  • ออมรอน CP1L

PLC เหล่านี้ได้รับเลือกเนื่องจากความนิยมในตลาดระบบควบคุมทั่วโลก และตัวควบคุมแต่ละตัวใช้โปรโตคอลของตัวเอง ซึ่งช่วยให้เราตรวจสอบได้ว่า PLC ตัวใดที่จะถูกโจมตีบ่อยกว่า และจะสนใจใครก็ตามในหลักการหรือไม่

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
อุปกรณ์ของ "โรงงาน" ของเรา - กับดัก ที่มา: เทรนด์ไมโคร

เราไม่เพียงแค่ติดตั้งฮาร์ดแวร์และเชื่อมต่อกับอินเทอร์เน็ตเท่านั้น เราตั้งโปรแกรมคอนโทรลเลอร์แต่ละตัวให้ทำงานต่างๆ รวมถึง

  • การผสม,
  • การควบคุมหัวเผาและสายพานลำเลียง,
  • การจัดวางบนพาเลทโดยใช้หุ่นยนต์ควบคุม

และเพื่อทำให้กระบวนการผลิตเป็นจริง เราได้ตั้งโปรแกรมตรรกะให้สุ่มเปลี่ยนพารามิเตอร์ป้อนกลับ จำลองการสตาร์ทและการหยุดมอเตอร์ และการเปิดและปิดหัวเผา

โรงงานของเรามีคอมพิวเตอร์เสมือนสามเครื่องและคอมพิวเตอร์จริงหนึ่งเครื่อง คอมพิวเตอร์เสมือนถูกใช้เพื่อควบคุมโรงงาน หุ่นยนต์จัดเรียงพาเลท และเป็นเวิร์กสเตชันสำหรับวิศวกรซอฟต์แวร์ PLC คอมพิวเตอร์ทางกายภาพทำงานเป็นเซิร์ฟเวอร์ไฟล์

นอกเหนือจากการตรวจสอบการโจมตีบน PLC แล้ว เรายังต้องการตรวจสอบสถานะของโปรแกรมที่โหลดบนอุปกรณ์ของเราอีกด้วย ในการทำเช่นนี้ เราได้สร้างอินเทอร์เฟซที่ช่วยให้เราสามารถระบุได้อย่างรวดเร็วว่าสถานะของตัวกระตุ้นเสมือนและการติดตั้งของเราได้รับการแก้ไขอย่างไร ในขั้นตอนการวางแผน เราค้นพบว่าการดำเนินการนี้โดยใช้โปรแกรมควบคุมทำได้ง่ายกว่าการตั้งโปรแกรมโดยตรงของตรรกะของตัวควบคุม เราเปิดการเข้าถึงอินเทอร์เฟซการจัดการอุปกรณ์ของ honeypot ของเราผ่าน VNC โดยไม่ต้องใช้รหัสผ่าน

หุ่นยนต์อุตสาหกรรมเป็นองค์ประกอบสำคัญของการผลิตอัจฉริยะสมัยใหม่ ในเรื่องนี้ เราตัดสินใจเพิ่มหุ่นยนต์และสถานที่ทำงานอัตโนมัติเพื่อควบคุมหุ่นยนต์ดังกล่าวให้กับอุปกรณ์ของโรงงานกับดักของเรา เพื่อให้ "โรงงาน" สมจริงยิ่งขึ้น เราได้ติดตั้งซอฟต์แวร์จริงบนเวิร์กสเตชันควบคุม ซึ่งวิศวกรใช้เพื่อตั้งโปรแกรมลอจิกของหุ่นยนต์แบบกราฟิก เนื่องจากหุ่นยนต์อุตสาหกรรมมักจะอยู่ในเครือข่ายภายในที่แยกออกจากกัน เราจึงตัดสินใจปล่อยให้การเข้าถึงที่ไม่มีการป้องกันผ่าน VNC อยู่ที่เวิร์กสเตชันควบคุมเท่านั้น

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
สภาพแวดล้อม RobotStudio พร้อมโมเดล 3 มิติของหุ่นยนต์ของเรา ที่มา: เทรนด์ไมโคร

เราติดตั้งสภาพแวดล้อมการเขียนโปรแกรม RobotStudio จาก ABB Robotics บนเครื่องเสมือนพร้อมเวิร์กสเตชันควบคุมหุ่นยนต์ หลังจากกำหนดค่า RobotStudio แล้ว เราก็เปิดไฟล์จำลองที่มีหุ่นยนต์ของเราอยู่ในนั้น เพื่อให้มองเห็นภาพ 3 มิติบนหน้าจอ ด้วยเหตุนี้ Shodan และเครื่องมือค้นหาอื่นๆ เมื่อตรวจพบเซิร์ฟเวอร์ VNC ที่ไม่ปลอดภัย จะคว้าภาพหน้าจอนี้และแสดงให้ผู้ที่กำลังมองหาหุ่นยนต์อุตสาหกรรมที่สามารถเข้าถึงการควบคุมแบบเปิดได้

จุดสนใจในรายละเอียดนี้คือการสร้างเป้าหมายที่น่าดึงดูดและสมจริงสำหรับผู้โจมตีซึ่งเมื่อพวกเขาพบแล้วจะกลับมาหามันครั้งแล้วครั้งเล่า

เวิร์กสเตชันของวิศวกร


ในการตั้งโปรแกรมลอจิก PLC เราได้เพิ่มคอมพิวเตอร์วิศวกรรมเข้ากับโครงสร้างพื้นฐาน มีการติดตั้งซอฟต์แวร์อุตสาหกรรมสำหรับการเขียนโปรแกรม PLC:

  • พอร์ทัล TIA สำหรับซีเมนส์
  • MicroLogix สำหรับคอนโทรลเลอร์ Allen-Bradley
  • CX-One สำหรับออมรอน

เราตัดสินใจว่าจะไม่สามารถเข้าถึงพื้นที่ทำงานด้านวิศวกรรมภายนอกเครือข่ายได้ แต่เราตั้งรหัสผ่านเดียวกันสำหรับบัญชีผู้ดูแลระบบเหมือนกับบนเวิร์กสเตชันควบคุมหุ่นยนต์และเวิร์กสเตชันควบคุมโรงงานที่สามารถเข้าถึงได้จากอินเทอร์เน็ต การกำหนดค่านี้ค่อนข้างเป็นเรื่องปกติในหลายบริษัท
น่าเสียดายที่แม้เราจะพยายามอย่างเต็มที่ แต่ไม่มีผู้โจมตีสักรายที่เข้าถึงเวิร์กสเตชันของวิศวกรได้

ไฟล์เซิร์ฟเวอร์

เราต้องการมันเป็นเหยื่อล่อสำหรับผู้โจมตีและเป็นช่องทางในการสำรอง "งาน" ของเราเองในโรงงานล่อ สิ่งนี้ทำให้เราสามารถแชร์ไฟล์กับ honeypot ของเราโดยใช้อุปกรณ์ USB โดยไม่ทิ้งร่องรอยบนเครือข่าย honeypot เราติดตั้ง Windows 7 Pro เป็นระบบปฏิบัติการสำหรับไฟล์เซิร์ฟเวอร์ ซึ่งเราได้สร้างโฟลเดอร์แชร์ที่ใครๆ ก็สามารถอ่านและเขียนได้

ในตอนแรกเราไม่ได้สร้างลำดับชั้นของโฟลเดอร์และเอกสารบนไฟล์เซิร์ฟเวอร์ อย่างไรก็ตาม ภายหลังเราพบว่าผู้โจมตีกำลังศึกษาโฟลเดอร์นี้อย่างจริงจัง ดังนั้นเราจึงตัดสินใจเติมไฟล์ต่างๆ ลงไป ในการดำเนินการนี้ เราได้เขียนสคริปต์ Python ที่สร้างไฟล์ขนาดสุ่มโดยมีนามสกุลไฟล์ใดนามสกุลหนึ่งที่กำหนด โดยตั้งชื่อตามพจนานุกรม

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
สคริปต์สำหรับสร้างชื่อไฟล์ที่น่าสนใจ ที่มา: เทรนด์ไมโคร

หลังจากรันสคริปต์ เราได้ผลลัพธ์ที่ต้องการในรูปแบบของโฟลเดอร์ที่เต็มไปด้วยไฟล์ที่มีชื่อที่น่าสนใจมาก

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
ผลลัพธ์ของสคริปต์ ที่มา: เทรนด์ไมโคร

การตรวจสอบสภาพแวดล้อม


หลังจากที่ใช้ความพยายามอย่างมากในการสร้างบริษัทที่สมจริง เราก็ไม่สามารถที่จะล้มเหลวกับสภาพแวดล้อมในการติดตาม "ผู้เยี่ยมชม" ของเราได้ เราจำเป็นต้องได้รับข้อมูลทั้งหมดแบบเรียลไทม์โดยที่ผู้โจมตีไม่รู้ว่าพวกเขากำลังถูกจับตามอง

เราปรับใช้สิ่งนี้โดยใช้อะแดปเตอร์ USB เป็นอีเทอร์เน็ตสี่ตัว, ก๊อกอีเทอร์เน็ต SharkTap สี่ตัว, Raspberry Pi 3 และไดรฟ์ภายนอกขนาดใหญ่ แผนภาพเครือข่ายของเรามีลักษณะดังนี้:

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
แผนภาพเครือข่าย Honeypot พร้อมอุปกรณ์ตรวจสอบ ที่มา: เทรนด์ไมโคร

เราวางตำแหน่งการแตะ SharkTap สามครั้งเพื่อตรวจสอบการรับส่งข้อมูลภายนอกทั้งหมดไปยัง PLC ซึ่งสามารถเข้าถึงได้จากเครือข่ายภายในเท่านั้น SharkTap ตัวที่สี่ตรวจสอบการรับส่งข้อมูลของแขกของเครื่องเสมือนที่มีช่องโหว่

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
SharkTap Ethernet Tap และเราเตอร์ Sierra Wireless AirLink RV50 ที่มา: เทรนด์ไมโคร

Raspberry Pi ทำการจับภาพการรับส่งข้อมูลรายวัน เราเชื่อมต่ออินเทอร์เน็ตโดยใช้เราเตอร์เซลลูลาร์ Sierra Wireless AirLink RV50 ซึ่งมักใช้ในองค์กรอุตสาหกรรม

น่าเสียดายที่เราเตอร์นี้ไม่อนุญาตให้เราเลือกบล็อกการโจมตีที่ไม่ตรงกับแผนของเรา ดังนั้นเราจึงเพิ่มไฟร์วอลล์ Cisco ASA 5505 ให้กับเครือข่ายในโหมดโปร่งใสเพื่อทำการบล็อกโดยมีผลกระทบต่อเครือข่ายน้อยที่สุด

การวิเคราะห์การจราจร


Tshark และ tcpdump มีความเหมาะสมสำหรับการแก้ไขปัญหาปัจจุบันอย่างรวดเร็ว แต่ในกรณีของเรา ความสามารถของพวกเขายังไม่เพียงพอ เนื่องจากเรามีปริมาณการรับส่งข้อมูลจำนวนมาก ซึ่งได้รับการวิเคราะห์โดยคนหลายคน เราใช้เครื่องวิเคราะห์ Moloch แบบโอเพ่นซอร์สที่พัฒนาโดย AOL ฟังก์ชันการทำงานเทียบได้กับ Wireshark แต่มีความสามารถมากกว่าสำหรับการทำงานร่วมกัน การอธิบายและการแท็กแพ็คเกจ การส่งออก และงานอื่นๆ

เนื่องจากเราไม่ต้องการประมวลผลข้อมูลที่รวบรวมไว้บนคอมพิวเตอร์ honeypot ดัมพ์ PCAP จึงถูกส่งออกทุกวันไปยังพื้นที่จัดเก็บ AWS จากจุดที่เรานำเข้าไปยังเครื่อง Moloch แล้ว

การบันทึกหน้าจอ

เพื่อบันทึกการกระทำของแฮกเกอร์ใน honeypot ของเรา เราได้เขียนสคริปต์ที่จับภาพหน้าจอของเครื่องเสมือนในช่วงเวลาที่กำหนด และเปรียบเทียบกับภาพหน้าจอก่อนหน้า เพื่อพิจารณาว่ามีบางอย่างเกิดขึ้นที่นั่นหรือไม่ เมื่อตรวจพบกิจกรรม สคริปต์จะรวมการบันทึกหน้าจอด้วย วิธีนี้ได้ผลดีที่สุด นอกจากนี้เรายังพยายามวิเคราะห์การรับส่งข้อมูล VNC จาก PCAP dump เพื่อทำความเข้าใจว่ามีการเปลี่ยนแปลงใดเกิดขึ้นในระบบ แต่ท้ายที่สุดแล้ว การบันทึกหน้าจอที่เรานำมาใช้กลับกลายเป็นเรื่องง่ายและมองเห็นได้ชัดเจนยิ่งขึ้น

การตรวจสอบเซสชัน VNC


สำหรับสิ่งนี้ เราใช้ Chaosreader และ VNCLogger ยูทิลิตี้ทั้งสองแยกการกดแป้นพิมพ์ออกจากการถ่ายโอนข้อมูล PCAP แต่ VNCLogger จัดการคีย์ต่างๆ เช่น Backspace, Enter, Ctrl ได้อย่างถูกต้องมากขึ้น

VNCLogger มีข้อเสียสองประการ ประการแรก: มันสามารถแยกคีย์ได้โดยการ "ฟัง" การรับส่งข้อมูลบนอินเทอร์เฟซเท่านั้น ดังนั้นเราจึงต้องจำลองเซสชัน VNC สำหรับมันโดยใช้ tcpreplay ข้อเสียประการที่สองของ VNCLogger นั้นพบได้ทั่วไปใน Chaosreader: ทั้งคู่ไม่แสดงเนื้อหาของคลิปบอร์ด เมื่อต้องการทำเช่นนี้ ฉันต้องใช้ Wireshark

เราล่อลวงแฮกเกอร์


เราสร้าง honeypot เพื่อจะถูกโจมตี เพื่อให้บรรลุเป้าหมายนี้ เราได้จัดฉากการรั่วไหลของข้อมูลเพื่อดึงดูดความสนใจของผู้ที่อาจโจมตี พอร์ตต่อไปนี้ถูกเปิดบน honeypot:

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร

ต้องปิดพอร์ต RDP ไม่นานหลังจากที่เราเผยแพร่จริง เนื่องจากการรับส่งข้อมูลการสแกนจำนวนมหาศาลบนเครือข่ายของเราทำให้เกิดปัญหาด้านประสิทธิภาพ
เทอร์มินัล VNC ทำงานในโหมดดูอย่างเดียวก่อนโดยไม่ต้องใช้รหัสผ่าน จากนั้นเรา "ไม่ได้ตั้งใจ" สลับพวกมันเป็นโหมดการเข้าถึงแบบเต็ม

เพื่อดึงดูดผู้โจมตี เราได้โพสต์สองโพสต์พร้อมข้อมูลที่รั่วไหลเกี่ยวกับระบบอุตสาหกรรมที่มีอยู่ใน PasteBin

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
หนึ่งในโพสต์ที่โพสต์บน PasteBin เพื่อดึงดูดการโจมตี ที่มา: เทรนด์ไมโคร

การโจมตี


Honeypot ใช้ชีวิตออนไลน์ประมาณเจ็ดเดือน การโจมตีครั้งแรกเกิดขึ้นหนึ่งเดือนหลังจากที่ honeypot ออนไลน์

สแกนเนอร์

มีการรับส่งข้อมูลจำนวนมากจากเครื่องสแกนของบริษัทชื่อดัง เช่น ip-ip, Rapid, Shadow Server, Shodan, ZoomEye และอื่นๆ มีจำนวนมากจนเราต้องแยกที่อยู่ IP ออกจากการวิเคราะห์: 610 จาก 9452 หรือ 6,45% ของที่อยู่ IP ที่ไม่ซ้ำกันทั้งหมดเป็นของเครื่องสแกนที่ถูกกฎหมายโดยสมบูรณ์

นักต้มตุ๋น

หนึ่งในความเสี่ยงที่ใหญ่ที่สุดที่เราเผชิญคือการใช้ระบบของเราเพื่อวัตถุประสงค์ทางอาญา: การซื้อสมาร์ทโฟนผ่านบัญชีของสมาชิก การแลกไมล์สายการบินโดยใช้บัตรของขวัญ และการฉ้อโกงประเภทอื่น ๆ

คนงานเหมือง

หนึ่งในผู้เยี่ยมชมระบบของเรากลุ่มแรก ๆ กลายเป็นคนขุดแร่ เขาดาวน์โหลดซอฟต์แวร์การขุด Monero ลงไป เขาจะไม่สามารถทำเงินได้มากมายจากระบบเฉพาะของเราเนื่องจากประสิทธิภาพการทำงานต่ำ อย่างไรก็ตาม หากเรารวมความพยายามของระบบดังกล่าวหลายสิบหรือหลายร้อยระบบเข้าด้วยกัน มันก็อาจออกมาค่อนข้างดี

แรนซัมแวร์

ในระหว่างการทำงานของ honeypot เราพบไวรัสแรนซัมแวร์จริงสองครั้ง ในกรณีแรกคือ Crysis ผู้ปฏิบัติงานเข้าสู่ระบบผ่าน VNC แต่จากนั้นจึงติดตั้ง TeamViewer และใช้มันเพื่อดำเนินการเพิ่มเติม หลังจากรอข้อความขู่กรรโชกเพื่อเรียกร้องค่าไถ่ 10 ดอลลาร์ใน BTC เราก็ได้ติดต่อกับอาชญากรโดยขอให้พวกเขาถอดรหัสไฟล์หนึ่งไฟล์ให้เรา พวกเขาปฏิบัติตามคำขอและเรียกร้องค่าไถ่ซ้ำ เราจัดการเพื่อต่อรองราคาได้มากถึง 6 ดอลลาร์ หลังจากนั้นเราก็อัปโหลดระบบไปยังเครื่องเสมือนอีกครั้ง เนื่องจากเราได้รับข้อมูลที่จำเป็นทั้งหมด

แรนซั่มแวร์ตัวที่สองกลายเป็นโฟบอส แฮกเกอร์ที่ติดตั้งมันใช้เวลาหนึ่งชั่วโมงในการเรียกดูระบบไฟล์ honeypot และสแกนเครือข่าย จากนั้นจึงติดตั้งแรนซัมแวร์ในที่สุด
การโจมตีแรนซัมแวร์ครั้งที่สามกลายเป็นการโจมตีปลอม "แฮ็กเกอร์" ที่ไม่รู้จักดาวน์โหลดไฟล์ haha.bat ลงในระบบของเรา หลังจากนั้นเราก็เฝ้าดูอยู่พักหนึ่งในขณะที่เขาพยายามทำให้มันใช้งานได้ หนึ่งในความพยายามคือการเปลี่ยนชื่อ ฮ่าฮ่า.ค้างคาว เป็น ฮ่าฮ่า.rnsmwr

มีเสน่ห์เหลือล้นเกินบรรยาย: เราสร้างหม้อน้ำผึ้งที่ไม่สามารถสัมผัสได้อย่างไร
“แฮกเกอร์” เพิ่มความเป็นอันตรายให้กับไฟล์ค้างคาวโดยการเปลี่ยนนามสกุลเป็น .rnsmwr ที่มา: เทรนด์ไมโคร

เมื่อไฟล์แบตช์เริ่มทำงานในที่สุด “แฮกเกอร์” ก็แก้ไขมัน โดยเพิ่มค่าไถ่จาก 200 ดอลลาร์เป็น 750 ดอลลาร์ หลังจากนั้น เขาได้ "เข้ารหัส" ไฟล์ทั้งหมด ฝากข้อความขู่กรรโชกไว้บนเดสก์ท็อป และหายไป โดยเปลี่ยนรหัสผ่านบน VNC ของเรา

สองสามวันต่อมา แฮ็กเกอร์ก็กลับมา และเพื่อเตือนตัวเองว่าได้เปิดไฟล์แบตช์ที่เปิดหลายหน้าต่างพร้อมไซต์ลามก ดู​เหมือน​ว่า​เขา​พยายาม​ดึง​ความ​สนใจ​มา​สู่​ข้อ​เรียก​ร้อง​ของ​เขา​โดย​วิธี​นี้.

ผลของการ


ในระหว่างการศึกษา ปรากฎว่าทันทีที่มีการเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่นี้ Honeypot ก็ดึงดูดความสนใจ โดยมีกิจกรรมเพิ่มขึ้นทุกวัน เพื่อให้กับดักได้รับความสนใจ บริษัทสมมติของเราต้องเผชิญกับการละเมิดความปลอดภัยหลายครั้ง น่าเสียดายที่สถานการณ์นี้ไม่ใช่เรื่องแปลกในบรรดาบริษัทจริงหลายแห่งที่ไม่มีพนักงานไอทีและความปลอดภัยข้อมูลเต็มเวลา

โดยทั่วไป องค์กรต่างๆ ควรใช้หลักการของสิทธิพิเศษน้อยที่สุด ในขณะที่เราใช้หลักการที่ตรงกันข้ามกับหลักการเพื่อดึงดูดผู้โจมตี และยิ่งเราเฝ้าดูการโจมตีนานเท่าไรก็ยิ่งมีความซับซ้อนมากขึ้นเท่านั้นเมื่อเปรียบเทียบกับวิธีทดสอบการเจาะระบบมาตรฐาน

และที่สำคัญที่สุด การโจมตีทั้งหมดเหล่านี้จะล้มเหลวหากมีการใช้มาตรการรักษาความปลอดภัยที่เพียงพอเมื่อตั้งค่าเครือข่าย องค์กรต่างๆ ต้องตรวจสอบให้แน่ใจว่าอุปกรณ์และส่วนประกอบโครงสร้างพื้นฐานทางอุตสาหกรรมไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต ดังเช่นที่เราได้ทำในกับดักของเราโดยเฉพาะ

แม้ว่าเราจะไม่ได้บันทึกการโจมตีเวิร์กสเตชันของวิศวกรแม้แต่ครั้งเดียว แม้ว่าจะใช้รหัสผ่านผู้ดูแลระบบภายในเดียวกันในคอมพิวเตอร์ทุกเครื่อง แต่แนวทางปฏิบัตินี้ควรหลีกเลี่ยงเพื่อลดโอกาสที่จะมีการบุกรุกให้เหลือน้อยที่สุด ท้ายที่สุดแล้ว การรักษาความปลอดภัยที่อ่อนแอทำหน้าที่เป็นตัวเชิญชวนเพิ่มเติมให้โจมตีระบบอุตสาหกรรมซึ่งเป็นที่สนใจของอาชญากรไซเบอร์มานานแล้ว

ที่มา: will.com

เพิ่มความคิดเห็น