Antivirüs şirketleri, bilgi güvenliği uzmanları ve meraklıları, virüsün yeni bir versiyonunu "yakalamak" veya olağandışı hacker taktiklerini belirlemek için İnternet'e bal küpü sistemleri yerleştiriyor. Balküpleri o kadar yaygın ki, siber suçlular bir tür bağışıklık geliştirmiş durumdalar: Bir tuzağın önünde olduklarını hemen fark ediyorlar ve onu görmezden geliyorlar. Modern bilgisayar korsanlarının taktiklerini keşfetmek için internette yedi ay boyunca yaşayan ve çeşitli saldırıları çeken gerçekçi bir bal küpü oluşturduk. Çalışmamızda bunun nasıl gerçekleştiğini konuştuk"" Çalışmadan elde edilen bazı gerçekler bu yazıda.
Honeypot geliştirme: kontrol listesi
Süper tuzağımızı yaratmamızdaki asıl görev, ona ilgi gösteren bilgisayar korsanlarının bizi açığa çıkarmasını önlemekti. Bu çok fazla çalışma gerektiriyordu:
- Çalışanların tam adları ve fotoğrafları, telefon numaraları ve e-postalarını içeren şirket hakkında gerçekçi bir efsane oluşturun.
- Şirketimizin faaliyetleriyle ilgili efsaneye uygun bir endüstriyel altyapı modeli oluşturmak ve uygulamak.
- Hangi ağ hizmetlerine dışarıdan erişilebileceğine karar verin, ancak savunmasız bağlantı noktalarını açmaya kendinizi kaptırmayın ki bu enayiler için bir tuzak gibi görünmesin.
- Savunmasız bir sistem hakkındaki bilgi sızıntılarının görünürlüğünü düzenleyin ve bu bilgiyi potansiyel saldırganlar arasında dağıtın.
- Honeypot altyapısındaki hacker etkinliklerinin gizli bir şekilde izlenmesini uygulayın.
Ve şimdi sırayla her şey hakkında.
Bir efsane yaratmak
Siber suçlular zaten çok sayıda balküpüyle karşılaşmaya alışkındır, bu nedenle en gelişmiş kısmı, bunun bir tuzak olmadığından emin olmak için her savunmasız sistem üzerinde derinlemesine bir araştırma yürütür. Aynı sebepten dolayı bal küpünün sadece tasarım ve teknik açıdan gerçekçi olmasını değil, aynı zamanda gerçek bir şirket görünümü yaratmasını da sağlamaya çalıştık.
Kendimizi varsayımsal havalı bir bilgisayar korsanının yerine koyarak, gerçek bir sistemi tuzaktan ayıracak bir doğrulama algoritması geliştirdik. Bu, itibar sistemlerinde şirket IP adreslerinin aranmasını, IP adreslerinin geçmişine yönelik ters araştırmayı, şirketle ve karşı taraflarıyla ilgili adların ve anahtar kelimelerin aranmasını ve daha birçok şeyi içeriyordu. Sonuç olarak efsanenin oldukça ikna edici ve çekici olduğu ortaya çıktı.
Tuzak fabrikasını, askeri ve havacılık sektöründeki çok büyük anonim müşteriler için çalışan küçük bir endüstriyel prototipleme butiği olarak konumlandırmaya karar verdik. Bu bizi mevcut bir markayı kullanmanın getirdiği hukuki zorluklardan kurtardı.
Daha sonra organizasyon için bir vizyon, misyon ve isim bulmamız gerekiyordu. Şirketimizin her biri kurucu olan az sayıda çalışandan oluşan bir startup olmasına karar verdik. Bu, işimizin uzmanlaşmış doğasının öyküsüne, büyük ve önemli müşteriler için hassas projeler yürütmesine olanak tanıyan güvenilirlik kattı. Şirketimizin siber güvenlik açısından zayıf görünmesini istiyorduk ama aynı zamanda hedef sistemler üzerinde önemli varlıklarla çalıştığımız da aşikardı.
MeTech honeypot web sitesinin ekran görüntüsü. Kaynak: Trend Micro
Şirket ismi olarak MeTech kelimesini seçtik. Site ücretsiz bir şablona dayalı olarak yapılmıştır. Görüntüler, en popüler olmayanlar kullanılarak ve daha az tanınabilir hale getirilecek şekilde değiştirilerek fotoğraf bankalarından çekildi.
Şirketin gerçekçi görünmesini istedik, bu nedenle faaliyetin profiline uygun mesleki becerilere sahip çalışanları eklememiz gerekiyordu. Onlara isimler ve kişilikler bulduk, ardından fotoğraf bankalarından etnik kökene göre görseller seçmeye çalıştık.
MeTech honeypot web sitesinin ekran görüntüsü. Kaynak: Trend Micro
Keşfedilmemek için ihtiyacımız olan yüzleri seçebileceğimiz kaliteli grup fotoğrafları aradık. Ancak daha sonra potansiyel bir bilgisayar korsanı ters görsel aramayı kullanıp "çalışanlarımızın" yalnızca fotoğraf bankalarında yaşadığını keşfedebileceği için bu seçeneği terk ettik. Sonuçta var olmayan insanların sinir ağları kullanılarak oluşturulan fotoğraflarını kullandık.
Sitede yayınlanan çalışan profilleri, teknik becerilerine ilişkin önemli bilgiler içeriyordu ancak belirli okulları veya şehirleri belirtmekten kaçındık.
Posta kutuları oluşturmak için bir barındırma sağlayıcısının sunucusunu kullandık ve ardından Amerika Birleşik Devletleri'nde birkaç telefon numarası kiraladık ve bunları ses menüsü ve telesekreter içeren sanal bir PBX'te birleştirdik.
Honeypot altyapısı
Açığa çıkmayı önlemek için gerçek endüstriyel donanım, fiziksel bilgisayarlar ve güvenli sanal makinelerin bir kombinasyonunu kullanmaya karar verdik. İleriye baktığımızda Shodan arama motorunu kullanarak çabalarımızın sonucunu kontrol ettiğimizi ve bal küpünün gerçek bir endüstriyel sisteme benzediğini gösterdiğini söyleyeceğiz.
Shodan kullanılarak bir bal küpünün taranmasının sonucu. Kaynak: Trend Micro
Tuzağımız için donanım olarak dört PLC kullandık:
- Siemens S7-1200,
- iki AllenBradley MicroLogix 1100,
- Omron CP1L.
Bu PLC'ler küresel kontrol sistemi pazarındaki popülerlikleri nedeniyle seçildi. Ve bu kontrolörlerin her biri kendi protokolünü kullanıyor, bu da hangi PLC'lere daha sık saldırılacağını ve prensipte herhangi birinin ilgisini çekip çekmeyeceğini kontrol etmemize olanak tanıyor.
“Fabrika” tuzağımızın ekipmanı. Kaynak: Trend Micro
Sadece donanım kurup internete bağlamadık. Her denetleyiciyi aşağıdakiler de dahil olmak üzere görevleri yerine getirecek şekilde programladık:
- karıştırma,
- Brülör ve konveyör bant kontrolü,
- robotik bir manipülatör kullanarak paletleme.
Üretim sürecini gerçekçi kılmak için, geri besleme parametrelerini rastgele değiştirecek, motorların başlatılmasını ve durdurulmasını ve brülörlerin açılıp kapanmasını simüle edecek mantığı programladık.
Fabrikamızda üç sanal bilgisayar ve bir fiziksel bilgisayar vardı. Bir tesisi, paletleme robotunu kontrol etmek için ve bir PLC yazılım mühendisi için iş istasyonu olarak sanal bilgisayarlar kullanıldı. Fiziksel bilgisayar bir dosya sunucusu olarak çalışıyordu.
PLC'lere yapılan saldırıları izlemenin yanı sıra cihazlarımıza yüklenen programların durumunu da izlemek istedik. Bunu yapmak için sanal aktüatörlerimizin ve ayarlarımızın durumlarının nasıl değiştirildiğini hızlı bir şekilde belirlememize olanak tanıyan bir arayüz oluşturduk. Daha planlama aşamasındayken, bunu bir kontrol programı kullanarak uygulamanın, kontrolör mantığının doğrudan programlanmasından çok daha kolay olduğunu keşfettik. Honeypot'umuzun cihaz yönetim arayüzüne VNC üzerinden şifresiz erişime açtık.
Endüstriyel robotlar modern akıllı üretimin önemli bir bileşenidir. Bu bağlamda tuzak fabrikamızın ekipmanlarına bir robot ve onu kontrol edecek otomasyonlu bir çalışma alanı eklemeye karar verdik. "Fabrikayı" daha gerçekçi kılmak için kontrol iş istasyonuna, mühendislerin robotun mantığını grafiksel olarak programlamak için kullandıkları gerçek yazılımı kurduk. Endüstriyel robotlar genellikle yalıtılmış bir dahili ağda bulunduğundan, VNC aracılığıyla korumasız erişimi yalnızca kontrol iş istasyonuna bırakmaya karar verdik.
Robotumuzun 3 boyutlu modeli ile RobotStudio ortamı. Kaynak: Trend Micro
ABB Robotics'in RobotStudio programlama ortamını, robot kontrol iş istasyonuna sahip bir sanal makineye kurduk. RobotStudio'yu yapılandırdıktan sonra robotumuzun 3 boyutlu görüntüsünün ekranda görülebileceği bir simülasyon dosyası açtık. Sonuç olarak Shodan ve diğer arama motorları, güvenli olmayan bir VNC sunucusu tespit ettiklerinde bu ekran görüntüsünü alacak ve kontrole açık erişime sahip endüstriyel robot arayanlara gösterecektir.
Detaylara gösterilen bu dikkatin amacı, bir kez bulduğunda tekrar tekrar ona dönecek olan saldırganlar için çekici ve gerçekçi bir hedef yaratmaktı.
Mühendisin iş istasyonu
PLC mantığını programlamak için altyapıya mühendislik bilgisayarı ekledik. Üzerine PLC programlama için endüstriyel yazılım kuruldu:
- Siemens için TIA Portalı,
- Allen-Bradley kontrol cihazı için MicroLogix,
- Omron için CX-One.
Mühendislik çalışma alanına ağ dışında erişilemeyeceğine karar verdik. Bunun yerine, yönetici hesabı için, robot kontrol iş istasyonunda ve internetten erişilebilen fabrika kontrol iş istasyonunda olduğu gibi aynı şifreyi belirledik. Bu yapılandırma birçok şirkette oldukça yaygındır.
Ne yazık ki tüm çabalarımıza rağmen mühendisin iş istasyonuna tek bir saldırgan bile ulaşamadı.
Dosya sunucusu
Saldırganlara yem olarak ve yem fabrikasındaki kendi "işimizi" desteklemenin bir yolu olarak buna ihtiyacımız vardı. Bu bize honeypot ağında iz bırakmadan USB aygıtlarını kullanarak honeypotumuzla dosya paylaşma olanağı sağladı. Herkes tarafından okunabilen ve yazılabilen bir paylaşımlı klasör oluşturduğumuz dosya sunucusunun işletim sistemi olarak Windows 7 Pro'yu kurduk.
İlk başta dosya sunucusunda herhangi bir klasör ve belge hiyerarşisi oluşturmadık. Ancak daha sonra saldırganların bu klasörü aktif olarak incelediğini keşfettik ve bu yüzden onu çeşitli dosyalarla doldurmaya karar verdik. Bunu yapmak için, verilen uzantılardan biriyle rastgele boyutta bir dosya oluşturan ve sözlüğe dayalı bir ad oluşturan bir python betiği yazdık.
Çekici dosya adları oluşturmak için komut dosyası. Kaynak: Trend Micro
Komut dosyasını çalıştırdıktan sonra çok ilginç adlara sahip dosyalarla dolu bir klasör şeklinde istenen sonucu elde ettik.
Senaryonun sonucu. Kaynak: Trend Micro
İzleme ortamı
Gerçekçi bir şirket yaratmak için bu kadar çok çaba harcadığımızdan, "ziyaretçilerimizi" izlemek için ortamın başarısız olmasını göze alamazdık. Saldırganlar izlendiklerini fark etmeden tüm verileri gerçek zamanlı olarak almamız gerekiyordu.
Bunu dört USB'den Ethernet'e adaptör, dört SharkTap Ethernet bağlantı noktası, bir Raspberry Pi 3 ve büyük bir harici sürücü kullanarak uyguladık. Ağ diyagramımız şöyle görünüyordu:
İzleme ekipmanıyla birlikte bal küpü ağ diyagramı. Kaynak: Trend Micro
PLC'ye giden tüm harici trafiği izlemek üzere, yalnızca dahili ağdan erişilebilecek üç SharkTap dokunuşu konumlandırdık. Dördüncü SharkTap, savunmasız bir sanal makinenin misafirlerinin trafiğini izledi.
SharkTap Ethernet Tap ve Sierra Kablosuz AirLink RV50 Yönlendirici. Kaynak: Trend Micro
Raspberry Pi günlük trafik yakalama gerçekleştirdi. İnternete genellikle endüstriyel işletmelerde kullanılan Sierra Wireless AirLink RV50 hücresel yönlendiriciyi kullanarak bağlandık.
Ne yazık ki bu yönlendirici, planlarımıza uymayan saldırıları seçici olarak engellememize izin vermedi, bu nedenle ağ üzerinde minimum etkiyle engellemeyi gerçekleştirmek için ağa şeffaf modda Cisco ASA 5505 güvenlik duvarı ekledik.
Trafik analizi
Tshark ve tcpdump, mevcut sorunları hızlı bir şekilde çözmek için uygundur, ancak bizim durumumuzda, birkaç kişi tarafından analiz edilen çok sayıda gigabaytlık trafiğe sahip olduğumuz için yetenekleri yeterli değildi. AOL tarafından geliştirilen açık kaynaklı Moloch analizörünü kullandık. İşlevsellik açısından Wireshark ile karşılaştırılabilir ancak işbirliği, paketleri tanımlama ve etiketleme, dışa aktarma ve diğer görevler için daha fazla yeteneğe sahiptir.
Toplanan verileri honeypot bilgisayarlarda işlemek istemediğimizden, PCAP dökümleri her gün AWS depolama alanına aktarılıyordu; biz bunları zaten Moloch makinesine aktarmıştık.
Ekran kaydı
Bilgisayar korsanlarının bal küpümüzdeki eylemlerini belgelemek için, belirli aralıklarla sanal makinenin ekran görüntülerini alan ve bunu önceki ekran görüntüsüyle karşılaştırarak orada bir şey olup olmadığını belirleyen bir komut dosyası yazdık. Etkinlik tespit edildiğinde komut dosyası ekran kaydını içeriyordu. Bu yaklaşımın en etkili olduğu ortaya çıktı. Ayrıca sistemde hangi değişikliklerin meydana geldiğini anlamak için PCAP dökümünden gelen VNC trafiğini analiz etmeye çalıştık, ancak sonunda uyguladığımız ekran kaydının daha basit ve daha görsel olduğu ortaya çıktı.
VNC oturumlarını izleme
Bunun için Chaosreader ve VNCLogger'ı kullandık. Her iki yardımcı program da PCAP dökümünden tuş vuruşlarını çıkarır, ancak VNCLogger Backspace, Enter, Ctrl gibi tuşları daha doğru şekilde işler.
VNCLogger'ın iki dezavantajı vardır. Birincisi: anahtarları yalnızca arayüzdeki trafiği "dinleyerek" çıkarabilir, bu nedenle tcpreplay kullanarak bunun için bir VNC oturumunu simüle etmemiz gerekti. VNCLogger'ın ikinci dezavantajı Chaosreader'da yaygındır: her ikisi de panonun içeriğini göstermez. Bunu yapmak için Wireshark'ı kullanmak zorunda kaldım.
Bilgisayar korsanlarını cezbediyoruz
Saldırılmak için balküpü yarattık. Bunu başarmak için potansiyel saldırganların dikkatini çekmek amacıyla bir bilgi sızıntısı düzenledik. Honeypot'ta aşağıdaki bağlantı noktaları açıldı:
Ağımızdaki büyük miktardaki tarama trafiği performans sorunlarına neden olduğundan, yayına girdikten kısa bir süre sonra RDP bağlantı noktasının kapatılması gerekti.
VNC terminalleri ilk önce şifre olmadan salt görüntüleme modunda çalıştı ve ardından onları "yanlışlıkla" tam erişim moduna geçirdik.
Saldırganların ilgisini çekmek için PasteBin'de mevcut endüstriyel sistem hakkında sızdırılan bilgilerin yer aldığı iki gönderi yayınladık.
Saldırıları çekmek için PasteBin'de yayınlanan gönderilerden biri. Kaynak: Trend Micro
saldırılar
Honeypot yaklaşık yedi ay boyunca internette yaşadı. İlk saldırı honeypot'un çevrimiçi hale gelmesinden bir ay sonra meydana geldi.
tarayıcılar
Tanınmış şirketlerin tarayıcılarından (ip-ip, Rapid, Shadow Server, Shodan, ZoomEye ve diğerleri) çok fazla trafik vardı. O kadar çok IP adresi vardı ki, IP adreslerini analizin dışında bırakmak zorunda kaldık: 610'den 9452'u veya tüm benzersiz IP adreslerinin %6,45'i tamamen meşru tarayıcılara aitti.
Dolandırıcılar
Karşılaştığımız en büyük risklerden biri sistemimizin suç amaçlı kullanılmasıdır: Bir abonenin hesabı aracılığıyla akıllı telefon satın almak, hediye kartları kullanarak havayolu millerini nakde çevirmek ve diğer dolandırıcılık türleri.
Madenciler
Sistemimizi ilk ziyaret edenlerden birinin madenci olduğu ortaya çıktı. Monero madencilik yazılımını ona indirdi. Düşük üretkenlik nedeniyle bizim özel sistemimizden fazla para kazanamazdı. Bununla birlikte, bu tür birkaç düzine, hatta yüzlerce sistemin çabalarını birleştirirsek, oldukça iyi sonuçlanabilir.
Fidye yazılımı
Honeypot'un çalışması sırasında iki kez gerçek fidye yazılımı virüsleriyle karşılaştık. İlk durumda Crysis'ti. Operatörleri sisteme VNC aracılığıyla giriş yaptı ancak daha sonra TeamViewer'ı kurdu ve onu daha fazla eylem gerçekleştirmek için kullandı. BTC cinsinden 10 dolar fidye talep eden bir gasp mesajını bekledikten sonra suçlularla yazışmaya başladık ve onlardan bizim için dosyalardan birinin şifresini çözmelerini istedik. Talebe uydular ve fidye talebini tekrarladılar. 6 bin dolara kadar pazarlık yapmayı başardık, ardından gerekli tüm bilgileri aldığımız için sistemi sanal makineye yeniden yükledik.
İkinci fidye yazılımının Phobos olduğu ortaya çıktı. Bunu kuran bilgisayar korsanı, bal küpü dosya sistemini tarayıp ağı tarayarak bir saat harcadı ve sonunda fidye yazılımını yükledi.
Üçüncü fidye yazılımı saldırısının sahte olduğu ortaya çıktı. Bilinmeyen bir "hacker" haha.bat dosyasını sistemimize indirdi ve ardından onu çalıştırmaya çalışırken bir süre izledik. Bu girişimlerden biri haha.bat'ın adını haha.rnsmwr olarak değiştirmekti.
“Hacker” yarasa dosyasının uzantısını .rnsmwr olarak değiştirerek zararlılığını artırıyor. Kaynak: Trend Micro
Toplu iş dosyası nihayet çalışmaya başladığında, "bilgisayar korsanı" dosyayı düzenleyerek fidyeyi 200 dolardan 750 dolara çıkardı. Bundan sonra, tüm dosyaları "şifreledi", masaüstüne bir gasp mesajı bıraktı ve VNC'mizdeki şifreleri değiştirerek ortadan kayboldu.
Birkaç gün sonra bilgisayar korsanı geri döndü ve kendine hatırlatmak için bir porno sitesiyle birlikte birçok pencere açan bir toplu iş dosyası başlattı. Görünüşe göre bu şekilde talebine dikkat çekmeye çalışmış.
sonuçlar
Çalışma sırasında, güvenlik açığıyla ilgili bilgiler yayınlanır yayınlanmaz bal küpünün ilgi çektiği ve etkinliğin her geçen gün arttığı ortaya çıktı. Tuzağın dikkat çekmesi için hayali şirketimizin birden fazla güvenlik ihlali yaşaması gerekiyordu. Ne yazık ki bu durum, tam zamanlı BT ve bilgi güvenliği çalışanlarına sahip olmayan birçok gerçek şirket arasında alışılmadık bir durum değil.
Genel olarak kuruluşların en az ayrıcalık ilkesini kullanması gerekirken, biz saldırganları çekmek için bunun tam tersini uyguladık. Saldırıları ne kadar uzun süre izlersek, standart sızma testi yöntemleriyle karşılaştırıldığında o kadar karmaşık hale geldiler.
Ve en önemlisi, eğer ağ kurulurken yeterli güvenlik önlemleri alınmış olsaydı tüm bu saldırılar başarısız olacaktı. Kuruluşlar, özellikle tuzağımızda yaptığımız gibi, ekipmanlarına ve endüstriyel altyapı bileşenlerine İnternet'ten erişilememesini sağlamalıdır.
Her ne kadar bir mühendisin iş istasyonuna tek bir saldırı kaydetmemiş olsak da, tüm bilgisayarlarda aynı yerel yönetici şifresini kullanmamıza rağmen, izinsiz giriş olasılığını en aza indirmek için bu uygulamadan kaçınılmalıdır. Sonuçta zayıf güvenlik, siber suçluların uzun süredir ilgisini çeken endüstriyel sistemlere saldırmak için ek bir davetiye görevi görüyor.
Kaynak: habr.com