Ang mga kumpanya ng antivirus, mga eksperto sa seguridad ng impormasyon at simpleng mga mahilig ay naglalagay ng mga sistema ng honeypot sa Internet upang "mahuli" ang isang bagong variant ng virus o makilala ang mga hindi pangkaraniwang taktika ng hacker. Ang mga honeypot ay napakakaraniwan na ang mga cybercriminal ay nakabuo ng isang uri ng kaligtasan sa sakit: mabilis nilang natukoy na sila ay nasa harap ng isang bitag at binabalewala lang ito. Upang tuklasin ang mga taktika ng mga modernong hacker, lumikha kami ng isang makatotohanang honeypot na nabuhay sa Internet sa loob ng pitong buwan, na umaakit ng iba't ibang mga pag-atake. Napag-usapan namin kung paano ito nangyari sa aming pag-aaral "" Ang ilang mga katotohanan mula sa pag-aaral ay nasa post na ito.
Pag-unlad ng honeypot: checklist
Ang pangunahing gawain sa paglikha ng aming supertrap ay upang pigilan kami na malantad ng mga hacker na nagpakita ng interes dito. Nangangailangan ito ng maraming trabaho:
- Lumikha ng makatotohanang alamat tungkol sa kumpanya, kabilang ang mga buong pangalan at larawan ng mga empleyado, numero ng telepono at email.
- Upang makabuo at magpatupad ng isang modelo ng pang-industriyang imprastraktura na tumutugma sa alamat tungkol sa mga aktibidad ng aming kumpanya.
- Magpasya kung aling mga serbisyo ng network ang maa-access mula sa labas, ngunit huwag madala sa pagbubukas ng mga bulnerable na port upang hindi ito magmukhang isang bitag para sa mga sucker.
- Ayusin ang visibility ng mga paglabas ng impormasyon tungkol sa isang mahinang sistema at ipamahagi ang impormasyong ito sa mga potensyal na umaatake.
- Magpatupad ng maingat na pagsubaybay sa mga aktibidad ng hacker sa imprastraktura ng honeypot.
At ngayon tungkol sa lahat nang maayos.
Paglikha ng isang alamat
Sanay na ang mga cybercriminal na makatagpo ng maraming honeypots, kaya ang pinaka-advanced na bahagi ng mga ito ay nagsasagawa ng malalim na pagsisiyasat sa bawat vulnerable system upang matiyak na hindi ito isang bitag. Para sa parehong dahilan, hinahangad naming tiyakin na ang honeypot ay hindi lamang makatotohanan sa mga tuntunin ng disenyo at teknikal na aspeto, kundi pati na rin upang lumikha ng hitsura ng isang tunay na kumpanya.
Inilalagay ang aming sarili sa posisyon ng isang hypothetical na cool na hacker, bumuo kami ng isang algorithm sa pag-verify na makikilala ang isang tunay na sistema mula sa isang bitag. Kasama dito ang paghahanap ng mga IP address ng kumpanya sa mga sistema ng reputasyon, baligtarin ang pananaliksik sa kasaysayan ng mga IP address, paghahanap ng mga pangalan at keyword na nauugnay sa kumpanya, pati na rin ang mga katapat nito, at marami pang ibang bagay. Bilang isang resulta, ang alamat ay naging medyo kapani-paniwala at kaakit-akit.
Nagpasya kaming iposisyon ang pabrika ng decoy bilang isang maliit na pang-industriyang prototyping na boutique na nagtatrabaho para sa napakalaking hindi kilalang mga kliyente sa segment ng militar at aviation. Pinalaya kami nito mula sa mga legal na komplikasyon na nauugnay sa paggamit ng isang umiiral nang brand.
Sumunod ay kailangan naming makabuo ng isang bisyon, misyon at pangalan para sa organisasyon. Napagpasyahan namin na ang aming kumpanya ay magiging isang startup na may maliit na bilang ng mga empleyado, na bawat isa ay isang tagapagtatag. Nagdagdag ito ng kredibilidad sa kwento ng espesyal na katangian ng aming negosyo, na nagbibigay-daan dito na pangasiwaan ang mga sensitibong proyekto para sa malalaki at mahahalagang kliyente. Nais naming magmukhang mahina ang aming kumpanya mula sa pananaw ng cybersecurity, ngunit sa parehong oras ay malinaw na nagtatrabaho kami sa mahahalagang asset sa mga target na system.
Screenshot ng website ng MeTech honeypot. Pinagmulan: Trend Micro
Pinili namin ang salitang MeTech bilang pangalan ng kumpanya. Ang site ay ginawa batay sa isang libreng template. Ang mga larawan ay kinuha mula sa mga bangko ng larawan, gamit ang mga pinaka-hindi sikat at binago ang mga ito upang hindi gaanong makilala ang mga ito.
Gusto naming magmukhang totoo ang kumpanya, kaya kailangan naming magdagdag ng mga empleyadong may mga propesyonal na kasanayan na tumutugma sa profile ng aktibidad. Nakaisip kami ng mga pangalan at personalidad para sa kanila at pagkatapos ay sinubukan naming pumili ng mga larawan mula sa mga photo bank ayon sa etnisidad.
Screenshot ng website ng MeTech honeypot. Pinagmulan: Trend Micro
Upang maiwasang matuklasan, naghanap kami ng magandang kalidad ng mga larawan ng pangkat kung saan maaari naming piliin ang mga mukha na kailangan namin. Gayunpaman, pagkatapos ay inabandona namin ang opsyong ito, dahil ang isang potensyal na hacker ay maaaring gumamit ng reverse image search at matuklasan na ang aming "mga empleyado" ay nakatira lamang sa mga photo bank. Sa huli, gumamit kami ng mga larawan ng mga hindi umiiral na tao na nilikha gamit ang mga neural network.
Ang mga profile ng empleyado na na-publish sa site ay naglalaman ng mahalagang impormasyon tungkol sa kanilang mga teknikal na kasanayan, ngunit iniwasan namin ang pagtukoy ng mga partikular na paaralan o lungsod.
Upang gumawa ng mga mailbox, gumamit kami ng server ng hosting provider, at pagkatapos ay nagrenta ng ilang numero ng telepono sa United States at pinagsama ang mga ito sa isang virtual na PBX na may voice menu at answering machine.
Imprastraktura ng honeypot
Upang maiwasan ang pagkakalantad, nagpasya kaming gumamit ng kumbinasyon ng tunay na pang-industriya na hardware, pisikal na computer at secure na virtual machine. Sa hinaharap, sasabihin namin na sinuri namin ang resulta ng aming mga pagsisikap gamit ang Shodan search engine, at ipinakita nito na ang honeypot ay mukhang isang tunay na sistemang pang-industriya.
Ang resulta ng pag-scan ng honeypot gamit ang Shodan. Pinagmulan: Trend Micro
Gumamit kami ng apat na PLC bilang hardware para sa aming bitag:
- Siemens S7-1200,
- dalawang AllenBradley MicroLogix 1100,
- Omron CP1L.
Ang mga PLC na ito ay pinili para sa kanilang katanyagan sa pandaigdigang merkado ng sistema ng kontrol. At ang bawat isa sa mga controllers na ito ay gumagamit ng sarili nitong protocol, na nagpapahintulot sa amin na suriin kung alin sa mga PLC ang mas madalas na aatakehin at kung sila ay interesado sa sinuman sa prinsipyo.
Kagamitan ng aming "pabrika"-trap. Pinagmulan: Trend Micro
Hindi lang kami nag-install ng hardware at ikinonekta ito sa Internet. Na-program namin ang bawat controller upang magsagawa ng mga gawain, kabilang ang
- paghahalo,
- kontrol ng burner at conveyor belt,
- palletizing gamit ang isang robotic manipulator.
At para maging makatotohanan ang proseso ng produksyon, nag-program kami ng logic upang random na baguhin ang mga parameter ng feedback, gayahin ang pagsisimula at paghinto ng mga motor, at pag-on at off ng mga burner.
Ang aming pabrika ay may tatlong virtual na computer at isang pisikal. Ang mga virtual na computer ay ginamit upang kontrolin ang isang planta, isang palletizer robot, at bilang isang workstation para sa isang PLC software engineer. Ang pisikal na computer ay nagtrabaho bilang isang file server.
Bilang karagdagan sa pagsubaybay sa mga pag-atake sa mga PLC, gusto naming subaybayan ang status ng mga program na na-load sa aming mga device. Upang gawin ito, gumawa kami ng interface na nagbigay-daan sa aming mabilis na matukoy kung paano binago ang mga estado ng aming mga virtual actuator at setting. Nasa yugto na ng pagpaplano, natuklasan namin na mas madaling ipatupad ito gamit ang isang control program kaysa sa pamamagitan ng direktang programming ng controller logic. Binuksan namin ang access sa interface ng pamamahala ng device ng aming honeypot sa pamamagitan ng VNC nang walang password.
Ang mga robot na pang-industriya ay isang mahalagang bahagi ng modernong matalinong pagmamanupaktura. Kaugnay nito, nagpasya kaming magdagdag ng robot at isang automated na lugar ng trabaho upang makontrol ito sa kagamitan ng aming pabrika ng bitag. Upang gawing mas makatotohanan ang "pabrika", nag-install kami ng totoong software sa control workstation, na ginagamit ng mga inhinyero upang graphical na i-program ang logic ng robot. Buweno, dahil ang mga robot na pang-industriya ay karaniwang matatagpuan sa isang nakahiwalay na panloob na network, nagpasya kaming mag-iwan lamang ng hindi protektadong access sa pamamagitan ng VNC sa control workstation.
RobotStudio na kapaligiran na may 3D na modelo ng aming robot. Pinagmulan: Trend Micro
Nag-install kami ng RobotStudio programming environment mula sa ABB Robotics sa isang virtual machine na may robot control workstation. Sa pagkakaroon ng pag-configure ng RobotStudio, nagbukas kami ng simulation file kasama ang aming robot sa loob nito upang ang 3D na imahe nito ay makikita sa screen. Bilang resulta, kukunin ng Shodan at iba pang mga search engine, sa pag-detect ng isang hindi secure na VNC server, ang screen na larawang ito at ipapakita ito sa mga naghahanap ng mga robot na pang-industriya na may bukas na access para makontrol.
Ang punto ng atensyong ito sa detalye ay upang lumikha ng isang kaakit-akit at makatotohanang target para sa mga umaatake na, kapag nahanap nila ito, ay babalik dito nang paulit-ulit.
Workstation ng engineer
Upang i-program ang lohika ng PLC, nagdagdag kami ng isang engineering computer sa imprastraktura. Ang pang-industriya na software para sa PLC programming ay na-install dito:
- TIA Portal para sa Siemens,
- MicroLogix para sa Allen-Bradley controller,
- CX-One para sa Omron.
Napagpasyahan namin na ang engineering workspace ay hindi maa-access sa labas ng network. Sa halip, itinakda namin ang parehong password para sa administrator account tulad ng sa robot control workstation at factory control workstation na naa-access mula sa Internet. Ang pagsasaayos na ito ay karaniwan sa maraming kumpanya.
Sa kasamaang-palad, sa kabila ng lahat ng aming pagsisikap, wala ni isang umaatake ang nakarating sa workstation ng engineer.
File server
Kailangan namin ito bilang pain para sa mga umaatake at bilang isang paraan ng pag-back up ng aming sariling "trabaho" sa pabrika ng pang-aakit. Nagbigay-daan ito sa amin na magbahagi ng mga file sa aming honeypot gamit ang mga USB device nang hindi nag-iiwan ng bakas sa network ng honeypot. Nag-install kami ng Windows 7 Pro bilang OS para sa file server, kung saan gumawa kami ng shared folder na maaaring basahin at isulat ng sinuman.
Sa una hindi kami lumikha ng anumang hierarchy ng mga folder at dokumento sa file server. Gayunpaman, natuklasan namin sa kalaunan na aktibong pinag-aaralan ng mga umaatake ang folder na ito, kaya nagpasya kaming punan ito ng iba't ibang mga file. Upang gawin ito, sumulat kami ng script ng python na lumikha ng isang file na random na laki gamit ang isa sa mga ibinigay na extension, na bumubuo ng isang pangalan batay sa diksyunaryo.
Script para sa pagbuo ng mga kaakit-akit na pangalan ng file. Pinagmulan: Trend Micro
Pagkatapos patakbuhin ang script, nakuha namin ang ninanais na resulta sa anyo ng isang folder na puno ng mga file na may napakakagiliw-giliw na mga pangalan.
Ang resulta ng script. Pinagmulan: Trend Micro
Kapaligiran sa pagsubaybay
Sa sobrang pagsusumikap sa paglikha ng isang makatotohanang kumpanya, hindi namin kayang mabigo sa kapaligiran para sa pagsubaybay sa aming "mga bisita". Kailangan naming makuha ang lahat ng data sa real time nang hindi napagtatanto ng mga umaatake na sila ay pinapanood.
Ipinatupad namin ito gamit ang apat na USB to Ethernet adapter, apat na SharkTap Ethernet tap, isang Raspberry Pi 3, at isang malaking external drive. Ang aming network diagram ay ganito ang hitsura:
Diagram ng network ng Honeypot na may kagamitan sa pagsubaybay. Pinagmulan: Trend Micro
Naglagay kami ng tatlong SharkTap tap upang masubaybayan ang lahat ng panlabas na trapiko sa PLC, na maa-access lamang mula sa panloob na network. Ang pang-apat na SharkTap ay sinusubaybayan ang trapiko ng mga bisita ng isang mahinang virtual machine.
SharkTap Ethernet Tap at Sierra Wireless AirLink RV50 Router. Pinagmulan: Trend Micro
Ang Raspberry Pi ay nagsagawa ng pang-araw-araw na pagkuha ng trapiko. Kumonekta kami sa Internet gamit ang Sierra Wireless AirLink RV50 cellular router, kadalasang ginagamit sa mga pang-industriyang negosyo.
Sa kasamaang palad, hindi kami pinahintulutan ng router na ito na piliing i-block ang mga pag-atake na hindi tumutugma sa aming mga plano, kaya nagdagdag kami ng Cisco ASA 5505 firewall sa network sa transparent na mode upang maisagawa ang pagharang na may kaunting epekto sa network.
Pagsusuri ng trapiko
Ang Tshark at tcpdump ay angkop para sa mabilis na paglutas ng mga kasalukuyang isyu, ngunit sa aming kaso ay hindi sapat ang kanilang mga kakayahan, dahil marami kaming gigabytes ng trapiko, na sinuri ng ilang tao. Ginamit namin ang open-source na Moloch analyzer na binuo ng AOL. Ito ay maihahambing sa pag-andar sa Wireshark, ngunit may higit pang mga kakayahan para sa pakikipagtulungan, paglalarawan at pag-tag ng mga pakete, pag-export at iba pang mga gawain.
Dahil ayaw naming iproseso ang mga nakolektang data sa mga computer ng honeypot, ang mga PCAP dump ay ini-export araw-araw sa AWS storage, kung saan na-import na namin ang mga ito sa Moloch machine.
Pagrekord ng screen
Upang idokumento ang mga aksyon ng mga hacker sa aming honeypot, nagsulat kami ng script na kumuha ng mga screenshot ng virtual machine sa isang partikular na agwat at, paghahambing nito sa nakaraang screenshot, natukoy kung may nangyayari doon o wala. Kapag may nakitang aktibidad, kasama sa script ang pag-record ng screen. Ang pamamaraang ito ay naging pinaka-epektibo. Sinubukan din naming suriin ang trapiko ng VNC mula sa isang PCAP dump upang maunawaan kung anong mga pagbabago ang naganap sa system, ngunit sa huli ang screen recording na ipinatupad namin ay naging mas simple at mas visual.
Pagsubaybay sa mga session ng VNC
Para dito ginamit namin ang Chaosreader at VNCLogger. Ang parehong mga utility ay kumukuha ng mga keystroke mula sa isang PCAP dump, ngunit pinangangasiwaan ng VNCLogger ang mga key tulad ng Backspace, Enter, Ctrl nang mas tama.
Ang VNCLogger ay may dalawang disadvantages. Una: maaari lamang itong mag-extract ng mga key sa pamamagitan ng "pakikinig" sa trapiko sa interface, kaya kinailangan naming gayahin ang isang session ng VNC para dito gamit ang tcpreplay. Ang pangalawang kawalan ng VNCLogger ay karaniwan sa Chaosreader: pareho silang hindi nagpapakita ng mga nilalaman ng clipboard. Upang gawin ito kailangan kong gumamit ng Wireshark.
Nang-akit kami ng mga hacker
Gumawa kami ng honeypot para atakihin. Upang makamit ito, nagsagawa kami ng pagtagas ng impormasyon upang maakit ang atensyon ng mga potensyal na umaatake. Ang mga sumusunod na port ay binuksan sa honeypot:
Kinailangang isara ang RDP port pagkatapos naming mag-live dahil ang napakalaking dami ng pag-scan ng trapiko sa aming network ay nagdudulot ng mga isyu sa performance.
Ang mga terminal ng VNC ay unang gumana sa view-only na mode na walang password, at pagkatapos ay "nagkamali" naming inilipat ang mga ito sa full access mode.
Upang maakit ang mga umaatake, nag-post kami ng dalawang post na may na-leak na impormasyon tungkol sa magagamit na sistemang pang-industriya sa PasteBin.
Isa sa mga post na nai-post sa PasteBin upang makaakit ng mga pag-atake. Pinagmulan: Trend Micro
mga pag-atake
Nabuhay si Honeypot online nang humigit-kumulang pitong buwan. Naganap ang unang pag-atake isang buwan pagkatapos mag-online ang honeypot.
Mga scanner
Nagkaroon ng maraming trapiko mula sa mga scanner ng mga kilalang kumpanya - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye at iba pa. Napakarami sa kanila kaya kinailangan naming ibukod ang kanilang mga IP address sa pagsusuri: 610 sa 9452 o 6,45% ng lahat ng natatanging IP address ay kabilang sa ganap na mga lehitimong scanner.
Scammers
Ang isa sa pinakamalalaking panganib na kinaharap namin ay ang paggamit ng aming system para sa mga layuning kriminal: upang bumili ng mga smartphone sa pamamagitan ng account ng subscriber, mag-cash out ng mga milya ng eroplano gamit ang mga gift card at iba pang uri ng panloloko.
Mga minero
Isa sa mga unang bumisita sa aming sistema ay naging isang minero. Nag-download siya ng Monero mining software dito. Hindi siya maaaring kumita ng malaking pera sa aming partikular na sistema dahil sa mababang produktibidad. Gayunpaman, kung pagsasama-samahin natin ang mga pagsisikap ng ilang dosena o kahit daan-daang mga naturang sistema, maaari itong maging maayos.
Ransomware
Sa panahon ng paggawa ng honeypot, dalawang beses kaming nakatagpo ng mga totoong ransomware virus. Sa unang kaso ito ay Crysis. Ang mga operator nito ay naka-log in sa system sa pamamagitan ng VNC, ngunit pagkatapos ay na-install ang TeamViewer at ginamit ito upang magsagawa ng mga karagdagang aksyon. Pagkatapos maghintay para sa isang mensahe ng extortion na humihingi ng ransom na $10 sa BTC, nakipag-ugnayan kami sa mga kriminal, na hinihiling sa kanila na i-decrypt ang isa sa mga file para sa amin. Sinunod nila ang kahilingan at inulit ang hinihingi ng ransom. Nagawa naming makipag-ayos ng hanggang 6 na libong dolyar, pagkatapos ay muling na-upload namin ang system sa isang virtual machine, dahil natanggap namin ang lahat ng kinakailangang impormasyon.
Ang pangalawang ransomware ay naging Phobos. Ang hacker na nag-install nito ay gumugol ng isang oras sa pag-browse sa honeypot file system at pag-scan sa network, at pagkatapos ay sa wakas ay na-install ang ransomware.
Ang ikatlong pag-atake ng ransomware ay naging peke. Isang hindi kilalang "hacker" ang nag-download ng haha.bat na file sa aming system, pagkatapos nito ay nanood kami sandali habang sinusubukan niyang paandarin ito. One of the attempts was to rename haha.bat to haha.rnsmwr.
Pinapataas ng βhackerβ ang pagiging masama ng bat file sa pamamagitan ng pagpapalit ng extension nito sa .rnsmwr. Pinagmulan: Trend Micro
Nang sa wakas ay nagsimulang tumakbo ang batch file, na-edit ito ng "hacker", na pinataas ang ransom mula $200 hanggang $750. Pagkatapos nito, "na-encrypt" niya ang lahat ng mga file, nag-iwan ng mensahe ng pangingikil sa desktop at nawala, binago ang mga password sa aming VNC.
Makalipas ang ilang araw, bumalik ang hacker at, para paalalahanan ang sarili, naglunsad ng isang batch file na nagbukas ng maraming bintana na may porn site. Tila, sa ganitong paraan sinubukan niyang bigyang pansin ang kanyang hinihingi.
Mga resulta ng
Sa panahon ng pag-aaral, lumabas na sa sandaling nai-publish ang impormasyon tungkol sa kahinaan, ang honeypot ay nakakuha ng pansin, na may aktibidad na lumalaki araw-araw. Upang makakuha ng pansin ang bitag, ang aming gawa-gawang kumpanya ay kailangang dumanas ng maraming paglabag sa seguridad. Sa kasamaang palad, ang sitwasyong ito ay hindi karaniwan sa maraming tunay na kumpanya na walang full-time na IT at mga empleyado ng seguridad ng impormasyon.
Sa pangkalahatan, dapat gamitin ng mga organisasyon ang prinsipyo ng hindi bababa sa pribilehiyo, habang ipinatupad namin ang eksaktong kabaligtaran nito upang makaakit ng mga umaatake. At habang mas matagal naming pinapanood ang mga pag-atake, mas naging sopistikado ang mga ito kumpara sa mga karaniwang pamamaraan ng pagsubok sa pagtagos.
At ang pinakamahalaga, ang lahat ng mga pag-atake na ito ay mabibigo kung ang sapat na mga hakbang sa seguridad ay ipinatupad kapag nagse-set up ng network. Dapat tiyakin ng mga organisasyon na ang kanilang mga kagamitan at mga bahagi ng pang-industriya na imprastraktura ay hindi naa-access mula sa Internet, tulad ng partikular na ginawa namin sa aming bitag.
Bagama't wala kaming naitala na isang pag-atake sa workstation ng isang engineer, sa kabila ng paggamit ng parehong lokal na password ng administrator sa lahat ng mga computer, dapat na iwasan ang kasanayang ito upang mabawasan ang posibilidad ng mga panghihimasok. Pagkatapos ng lahat, ang mahinang seguridad ay nagsisilbing karagdagang imbitasyon sa pag-atake sa mga sistemang pang-industriya, na matagal nang interesado sa mga cybercriminal.
Pinagmulan: www.habr.com