Antivirus kompaniyalari, axborot xavfsizligi bo'yicha mutaxassislar va oddiy ishqibozlar virusning yangi variantini "ushlash" yoki noodatiy xakerlik taktikasini aniqlash uchun Internetga honeypot tizimlarini joylashtiradilar. Honeypots shunchalik keng tarqalganki, kiberjinoyatchilar o'ziga xos immunitetni rivojlantirdilar: ular tuzoq oldida ekanliklarini tezda aniqlaydilar va shunchaki unga e'tibor bermaydilar. Zamonaviy xakerlarning taktikasini o'rganish uchun biz etti oy davomida Internetda yashab, turli xil hujumlarni o'ziga tortadigan haqiqiy honeypot yaratdik. Biz tadqiqotimizda bu qanday sodir bo'lganligi haqida gaplashdik "" Tadqiqotning ba'zi faktlari ushbu postda.
Honeypot rivojlanishi: nazorat ro'yxati
Bizning supertrapimizni yaratishdagi asosiy vazifamiz unga qiziqish bildirgan xakerlar tomonidan fosh etilishimizning oldini olish edi. Bu juda ko'p mehnat talab qildi:
- Kompaniya haqida haqiqiy afsonani yarating, shu jumladan xodimlarning to'liq ismlari va fotosuratlari, telefon raqamlari va elektron pochta xabarlari.
- Kompaniyamiz faoliyati haqidagi afsonaga mos keladigan sanoat infratuzilmasi modelini ishlab chiqish va amalga oshirish.
- Qaysi tarmoq xizmatlariga tashqaridan kirish mumkinligini aniqlang, ammo so'rg'ichlar uchun tuzoqqa o'xshamasligi uchun zaif portlarni ochish bilan mashg'ul bo'lmang.
- Zaif tizim haqida ma'lumotlar sizib chiqishini ko'rishni tashkil qiling va bu ma'lumotni potentsial tajovuzkorlar orasida tarqating.
- Honeypot infratuzilmasida xakerlik faoliyatini ehtiyotkorlik bilan kuzatishni amalga oshiring.
Va endi birinchi narsa.
Afsona yaratish
Kiber jinoyatchilar allaqachon ko'plab honeypots bilan uchrashishga odatlangan, shuning uchun ularning eng ilg'or qismi tuzoq emasligiga ishonch hosil qilish uchun har bir zaif tizimni chuqur o'rganadi. Xuddi shu sababga ko'ra, biz asal idishining nafaqat dizayn va texnik jihatlari bo'yicha realistik bo'lishini ta'minlashga, balki haqiqiy kompaniya ko'rinishini yaratishga harakat qildik.
O'zimizni gipotetik xakerning o'rniga qo'yib, biz haqiqiy tizimni tuzoqdan ajratib turadigan tekshirish algoritmini ishlab chiqdik. Bu obro'-e'tibor tizimlarida kompaniyaning IP manzillarini qidirish, IP manzillar tarixini teskari tadqiq qilish, kompaniya, shuningdek, uning kontragentlari bilan bog'liq nomlar va kalit so'zlarni qidirish va boshqa ko'p narsalarni o'z ichiga olgan. Natijada, afsona juda ishonchli va jozibali bo'lib chiqdi.
Biz aldash zavodini harbiy va aviatsiya segmentidagi juda katta anonim mijozlar uchun ishlaydigan kichik sanoat prototipi butiki sifatida joylashtirishga qaror qildik. Bu bizni mavjud brenddan foydalanish bilan bog'liq huquqiy qiyinchiliklardan xalos qildi.
Keyinchalik biz tashkilot uchun qarash, missiya va nom bilan chiqishimiz kerak edi. Biz kompaniyamiz oz sonli xodimlarga ega startap bo'lishiga qaror qildik, ularning har biri ta'sischi. Bu bizning biznesimizning ixtisoslashgan tabiati haqidagi hikoyaga ishonchlilikni qo'shdi, bu esa unga yirik va muhim mijozlar uchun nozik loyihalarni hal qilish imkonini beradi. Biz kompaniyamiz kiberxavfsizlik nuqtai nazaridan zaif ko'rinishini xohladik, lekin shu bilan birga maqsadli tizimlarda muhim aktivlar bilan ishlayotganimiz aniq edi.
MeTech honeypot veb-saytining skrinshoti. Manba: Trend Micro
Biz kompaniya nomi sifatida MeTech so'zini tanladik. Sayt bepul shablon asosida yaratilgan. Tasvirlar eng mashhur bo'lmaganlaridan foydalangan holda va ularni kamroq tanib olish uchun o'zgartirib, fotobanklardan olingan.
Biz kompaniyaning haqiqiy ko'rinishini xohladik, shuning uchun biz faoliyat profiliga mos keladigan professional ko'nikmalarga ega xodimlarni qo'shishimiz kerak edi. Biz ular uchun ismlar va shaxslarni o'ylab topdik va keyin fotosuratlar banklaridan etnik kelib chiqishiga qarab rasmlarni tanlashga harakat qildik.
MeTech honeypot veb-saytining skrinshoti. Manba: Trend Micro
Tanib qolmaslik uchun biz kerakli yuzlarni tanlashimiz mumkin bo'lgan sifatli guruh fotosuratlarini qidirdik. Biroq, keyin biz bu variantdan voz kechdik, chunki potentsial xaker teskari tasvirni qidirishdan foydalanishi va bizning "xodimlarimiz" faqat fotobanklarda yashashini aniqlashi mumkin edi. Oxir-oqibat, biz neyron tarmoqlar yordamida yaratilgan mavjud bo'lmagan odamlarning fotosuratlaridan foydalandik.
Saytda chop etilgan xodimlarning profillarida ularning texnik ko'nikmalari haqida muhim ma'lumotlar bor edi, ammo biz aniq maktablar yoki shaharlarni aniqlashdan qochdik.
Pochta qutilarini yaratish uchun biz hosting-provayder serveridan foydalandik, keyin esa Qo'shma Shtatlarda bir nechta telefon raqamlarini ijaraga oldik va ularni ovozli menyu va javob berish mashinasi bilan virtual PBXga birlashtirdik.
Honeypot infratuzilmasi
Ta'sir qilishning oldini olish uchun biz haqiqiy sanoat uskunalari, jismoniy kompyuterlar va xavfsiz virtual mashinalarning kombinatsiyasidan foydalanishga qaror qildik. Oldinga qarab, biz Shodan qidiruv tizimidan foydalangan holda o'z sa'y-harakatlarimiz natijasini tekshirganimizni aytamiz va bu asal potining haqiqiy sanoat tizimiga o'xshashligini ko'rsatdi.
Shodan yordamida asal idishini skanerlash natijasi. Manba: Trend Micro
Biz tuzoq uchun apparat sifatida to'rtta PLC dan foydalandik:
- Siemens S7-1200,
- ikkita AllenBradley MicroLogix 1100,
- Omron CP1L.
Ushbu PLClar global boshqaruv tizimi bozorida mashhurligi uchun tanlangan. Va bu kontrollerlarning har biri o'z protokolidan foydalanadi, bu bizga PLC-larning qaysi biri tez-tez hujumga uchraganligini va ular printsipial jihatdan kimnidir qiziqtiradimi yoki yo'qligini tekshirishga imkon berdi.
Bizning "zavod" tuzog'imiz jihozlari. Manba: Trend Micro
Biz shunchaki apparat o‘rnatib, uni internetga ulab qo‘yganimiz yo‘q. Biz har bir kontrollerni vazifalarni bajarish uchun dasturladik, shu jumladan
- aralashtirish,
- burner va konveyer tasmasini boshqarish,
- robotli manipulyator yordamida palletlash.
Va ishlab chiqarish jarayonini real qilish uchun biz qayta aloqa parametrlarini tasodifiy o'zgartirish, motorlarni ishga tushirish va to'xtatish, burnerlarni yoqish va o'chirishni simulyatsiya qilish uchun mantiqni dasturlashtirdik.
Fabrikamızda uchta virtual va bitta jismoniy kompyuter mavjud edi. Virtual kompyuterlar zavodni, palletizator robotini boshqarish uchun va PLC dasturiy ta'minot muhandisi uchun ish stantsiyasi sifatida ishlatilgan. Jismoniy kompyuter fayl serveri sifatida ishlagan.
PLC-larga hujumlarni kuzatishdan tashqari, biz qurilmalarimizga yuklangan dasturlarning holatini kuzatishni xohladik. Buning uchun biz virtual aktuatorlarimiz va o'rnatishlarimiz holati qanday o'zgartirilganligini tezda aniqlash imkonini beruvchi interfeys yaratdik. Rejalashtirish bosqichida biz buni boshqaruvchi mantiqni to'g'ridan-to'g'ri dasturlashdan ko'ra boshqaruv dasturi yordamida amalga oshirish osonroq ekanligini aniqladik. Biz VNC orqali asal potining qurilmalarni boshqarish interfeysiga parolsiz kirishni ochdik.
Sanoat robotlari zamonaviy aqlli ishlab chiqarishning asosiy tarkibiy qismidir. Shu munosabat bilan biz tuzoq zavodimiz jihozlariga robot va uni boshqarish uchun avtomatlashtirilgan ish joyini qo‘shishga qaror qildik. "Zavod" ni yanada aniqroq qilish uchun biz boshqaruvchi ish stantsiyasiga haqiqiy dasturiy ta'minotni o'rnatdik, muhandislar robotning mantig'ini grafik dasturlash uchun foydalanadilar. Xo'sh, sanoat robotlari odatda izolyatsiya qilingan ichki tarmoqda joylashganligi sababli, biz VNC orqali himoyasiz kirishni faqat boshqaruv ish stantsiyasiga qoldirishga qaror qildik.
Robotimizning 3D modeli bilan RobotStudio muhiti. Manba: Trend Micro
Biz ABB Robotics kompaniyasidan RobotStudio dasturlash muhitini robot boshqaruvi ish stantsiyasiga ega virtual mashinaga o'rnatdik. RobotStudio-ni sozlaganimizdan so'ng, biz robotimiz bilan simulyatsiya faylini ochdik, shunda uning 3D tasviri ekranda ko'rinadi. Natijada, Shodan va boshqa qidiruv tizimlari himoyalanmagan VNC serverini aniqlagandan so'ng, ushbu ekran tasvirini oladi va uni boshqarish uchun ochiq bo'lgan sanoat robotlarini qidirayotganlarga ko'rsatadi.
Tafsilotlarga e'tibor berishning maqsadi hujumchilar uchun jozibali va real nishonni yaratish edi, ular topilgandan so'ng unga qayta-qayta qaytib kelishadi.
Muhandisning ish joyi
PLC mantiqini dasturlash uchun biz infratuzilmaga muhandislik kompyuterini qo'shdik. Unga PLC dasturlash uchun sanoat dasturi o'rnatildi:
- Siemens uchun TIA portali,
- Allen-Bradley kontrolleri uchun MicroLogix,
- Omron uchun CX-One.
Biz muhandislik ish joyini tarmoqdan tashqarida foydalanish mumkin emas deb qaror qildik. Buning o'rniga biz administrator hisobi uchun internetdan foydalanish mumkin bo'lgan robot boshqaruvi ish stantsiyasi va zavod boshqaruvi ish stantsiyasidagi kabi parolni o'rnatdik. Ushbu konfiguratsiya ko'plab kompaniyalarda juda keng tarqalgan.
Afsuski, barcha sa'y-harakatlarimizga qaramay, birorta ham hujumchi muhandisning ish joyiga etib bormadi.
Fayl serveri
Bu bizga tajovuzkorlar uchun o'lja va aldash fabrikasida o'z "ishimizni" qo'llab-quvvatlash vositasi sifatida kerak edi. Bu bizga honeypot tarmog'ida iz qoldirmasdan USB qurilmalari yordamida honeypot bilan fayllarni almashish imkonini berdi. Biz Windows 7 Pro-ni fayl serveri uchun operatsion tizim sifatida o'rnatdik, unda biz har kim o'qishi va yozishi mumkin bo'lgan umumiy papkani yaratdik.
Avvaliga biz fayl serverida papkalar va hujjatlar ierarxiyasini yaratmadik. Biroq, keyinchalik biz tajovuzkorlar ushbu jildni faol o'rganayotganini aniqladik, shuning uchun biz uni turli xil fayllar bilan to'ldirishga qaror qildik. Buning uchun biz berilgan kengaytmalardan biri bilan tasodifiy o‘lchamdagi fayl yaratuvchi, lug‘at asosida nom hosil qiluvchi python skriptini yozdik.
Jozibador fayl nomlarini yaratish uchun skript. Manba: Trend Micro
Skriptni ishga tushirgandan so'ng, biz juda qiziqarli nomlarga ega fayllar bilan to'ldirilgan papka shaklida kerakli natijaga erishdik.
Skript natijasi. Manba: Trend Micro
Monitoring muhiti
Haqiqiy kompaniyani yaratish uchun juda ko'p kuch sarflaganimiz sababli, biz "tashrifchilarimizni" kuzatish muhitida muvaffaqiyatsizlikka uchra olmadik. Biz barcha ma'lumotlarni real vaqt rejimida tajovuzkorlar kuzatilayotganini sezmasdan olishimiz kerak edi.
Biz buni to'rtta USB to Ethernet adapterlari, to'rtta SharkTap Ethernet kranlari, Raspberry Pi 3 va katta tashqi disk yordamida amalga oshirdik. Bizning tarmoq diagrammasi quyidagicha ko'rinadi:
Monitoring uskunalari bilan honeypot tarmoq diagrammasi. Manba: Trend Micro
Biz uchta SharkTap kranini PLC ga faqat ichki tarmoqdan kirish mumkin bo'lgan barcha tashqi trafikni kuzatish uchun joylashtirdik. To'rtinchi SharkTap zaif virtual mashina mehmonlari trafigini kuzatdi.
SharkTap Ethernet Tap va Sierra Wireless AirLink RV50 Router. Manba: Trend Micro
Raspberry Pi kunlik trafikni yozib olishni amalga oshirdi. Biz Internetga tez-tez sanoat korxonalarida ishlatiladigan Sierra Wireless AirLink RV50 uyali routeri yordamida ulandik.
Afsuski, ushbu router bizning rejalarimizga mos kelmaydigan hujumlarni tanlab blokirovka qilishga imkon bermadi, shuning uchun biz tarmoqqa minimal ta'sir ko'rsatadigan bloklashni amalga oshirish uchun shaffof rejimda tarmoqqa Cisco ASA 5505 xavfsizlik devorini qo'shdik.
Trafik tahlili
Tshark va tcpdump dolzarb muammolarni tezda hal qilish uchun mos keladi, ammo bizning holatlarimizda ularning imkoniyatlari etarli emas edi, chunki bizda ko'p gigabayt trafik bor edi, ularni bir necha kishi tahlil qildi. Biz AOL tomonidan ishlab chiqilgan ochiq manbali Moloch analizatoridan foydalandik. Funksionalligi boʻyicha uni Wireshark bilan solishtirish mumkin, lekin hamkorlik qilish, paketlarni tavsiflash va belgilash, eksport qilish va boshqa vazifalar uchun koʻproq imkoniyatlarga ega.
Biz to'plangan ma'lumotlarni honeypot kompyuterlarida qayta ishlashni istamaganimiz sababli, PCAP chiqindilari har kuni AWS xotirasiga eksport qilinardi, biz ularni Moloch mashinasiga import qilganmiz.
Ekran yozuvi
Bizning asal potimizdagi xakerlarning harakatlarini hujjatlashtirish uchun biz ma'lum bir vaqt oralig'ida virtual mashinaning skrinshotlarini olgan skriptni yozdik va uni oldingi skrinshot bilan taqqoslab, u erda nimadir sodir bo'ladimi yoki yo'qligini aniqladik. Faoliyat aniqlanganda, skriptga ekran yozuvi kiritilgan. Ushbu yondashuv eng samarali bo'ldi. Shuningdek, biz tizimda qanday o'zgarishlar yuz berganini tushunish uchun PCAP axlatxonasidan VNC trafigini tahlil qilishga harakat qildik, ammo oxirida biz amalga oshirgan ekran yozuvi oddiyroq va vizualroq bo'lib chiqdi.
VNC seanslarini kuzatish
Buning uchun biz Chaosreader va VNCLogger-dan foydalandik. Ikkala yordamchi dastur ham PCAP dumpidan klavish bosishlarini chiqaradi, lekin VNCLogger Backspace, Enter, Ctrl kabi tugmachalarni to'g'riroq boshqaradi.
VNCLoggerning ikkita kamchiligi bor. Birinchidan: u faqat interfeysdagi trafikni "tinglash" orqali kalitlarni chiqarib olishi mumkin, shuning uchun biz tcpreplay yordamida VNC seansini simulyatsiya qilishimiz kerak edi. VNCLogger-ning ikkinchi kamchiligi Chaosreader bilan keng tarqalgan: ular ikkalasi ham clipboard tarkibini ko'rsatmaydi. Buning uchun Wireshark-dan foydalanishim kerak edi.
Biz xakerlarni jalb qilamiz
Biz asal idishini hujum qilish uchun yaratdik. Bunga erishish uchun biz potentsial hujumchilarning e'tiborini jalb qilish uchun ma'lumotlarning sizib chiqishini uyushtirdik. Honeypotda quyidagi portlar ochildi:
RDP porti biz jonli efirga chiqqanimizdan ko'p o'tmay yopilishi kerak edi, chunki tarmog'imizdagi skanerlashning katta miqdori ishlash bilan bog'liq muammolarni keltirib chiqardi.
VNC terminallari birinchi navbatda parolsiz faqat ko'rish rejimida ishladi, keyin biz "xatolik bilan" ularni to'liq kirish rejimiga o'tkazdik.
Hujumchilarni jalb qilish uchun biz PasteBin-da mavjud sanoat tizimi haqida sizdirilgan ma'lumotlarga ega ikkita post joylashtirdik.
Hujumlarni jalb qilish uchun PasteBin-ga joylashtirilgan xabarlardan biri. Manba: Trend Micro
Hujumlar
Honeypot taxminan etti oy davomida onlayn yashadi. Birinchi hujum honeypot internetga kirganidan bir oy o'tgach sodir bo'ldi.
Skanerlar
Taniqli kompaniyalarning skanerlari - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye va boshqalardan juda ko'p trafik bor edi. Ularning soni shunchalik ko'p ediki, biz ularning IP manzillarini tahlildan chiqarib tashlashga majbur bo'ldik: 610 dan 9452 tasi yoki barcha noyob IP manzillarning 6,45 foizi mutlaqo qonuniy skanerlarga tegishli edi.
Scammers
Biz duch kelgan eng katta xavflardan biri bu tizimimizdan jinoiy maqsadlarda foydalanish: abonent hisobi orqali smartfonlar sotib olish, sovg‘a kartalari va boshqa turdagi firibgarliklardan foydalangan holda aviamillarni naqd qilish.
Konchilar
Bizning tizimimizga birinchi tashrif buyurganlardan biri konchi bo'lib chiqdi. U unga Monero kon dasturini yuklab oldi. U past mahsuldorlik tufayli bizning maxsus tizimimizda ko'p pul ishlay olmagan bo'lardi. Ammo, agar biz bir necha o'nlab yoki hatto yuzlab bunday tizimlarning sa'y-harakatlarini birlashtirsak, bu juda yaxshi bo'lishi mumkin.
To'lov dasturi
Asal potining ishlashi davomida biz ikki marta haqiqiy ransomware viruslariga duch keldik. Birinchi holda, bu Crysis edi. Uning operatorlari VNC orqali tizimga kirishdi, lekin keyin TeamViewer-ni o'rnatdilar va undan keyingi harakatlarni amalga oshirish uchun ishlatdilar. BTCda 10 6 dollar to'lashni talab qiluvchi tovlama xabarini kutganimizdan so'ng, biz jinoyatchilar bilan yozishmalarga kirishdik va ulardan biz uchun fayllardan birini parolini ochishni so'radik. Ular iltimosni bajarishdi va to'lov talabini takrorladilar. Biz XNUMX ming dollargacha muzokara qilishga muvaffaq bo'ldik, shundan so'ng biz tizimni virtual mashinaga qayta yukladik, chunki biz barcha kerakli ma'lumotlarni oldik.
Ikkinchi to'lov dasturi Phobos bo'lib chiqdi. Uni o'rnatgan xaker bir soat davomida honeypot fayl tizimini ko'rib chiqdi va tarmoqni skanerladi va nihoyat to'lov dasturini o'rnatdi.
Uchinchi ransomware hujumi soxta bo'lib chiqdi. Noma'lum "xaker" haha.bat faylini tizimimizga yuklab oldi, shundan so'ng biz uni ishga tushirishga urinayotganini bir muddat kuzatib turdik. Urinishlardan biri haha.bat nomini haha.rnsmwr deb o'zgartirish edi.
"Hacker" bat faylining kengaytmasini .rnsmwr ga o'zgartirib, uning zararliligini oshiradi. Manba: Trend Micro
Ommaviy ish fayli nihoyat ishga tusha boshlaganida, “xaker” uni tahrir qilib, to‘lovni 200 dollardan 750 dollargacha oshirdi. Shundan so'ng, u barcha fayllarni "shifrladi", ish stolida tovlamachilik xabarini qoldirdi va bizning VNC-dagi parollarni o'zgartirib, g'oyib bo'ldi.
Bir necha kundan so'ng, xaker qaytib keldi va o'zini eslatish uchun porno sayt bilan ko'plab oynalarni ochadigan ommaviy faylni ishga tushirdi. Aftidan, shu yo‘l bilan u o‘z talabiga e’tibor qaratmoqchi bo‘lgan.
natijalar
Tadqiqot davomida ma'lum bo'lishicha, zaiflik haqidagi ma'lumotlar e'lon qilinishi bilanoq, faollik kundan-kunga o'sib borayotgan honeypot e'tiborini tortdi. Qopqonga e'tibor qaratish uchun bizning xayoliy kompaniyamiz bir nechta xavfsizlik buzilishlariga duch kelishi kerak edi. Afsuski, bu holat IT va axborot xavfsizligi bo'yicha to'la vaqtli xodimlarga ega bo'lmagan ko'plab haqiqiy kompaniyalar orasida kamdan-kam uchraydi.
Umuman olganda, tashkilotlar eng kam imtiyoz printsipidan foydalanishlari kerak, biz esa hujumchilarni jalb qilish uchun uning teskarisini amalga oshirdik. Biz hujumlarni qanchalik uzoq kuzatgan bo'lsak, ular kirishni tekshirishning standart usullariga qaraganda shunchalik murakkablashdi.
Va eng muhimi, agar tarmoqni o'rnatishda tegishli xavfsizlik choralari qo'llanilsa, bu hujumlarning barchasi barbod bo'lar edi. Tashkilotlar o'zlarining uskunalari va sanoat infratuzilmasi tarkibiy qismlariga Internetdan kirish imkoni yo'qligiga ishonch hosil qilishlari kerak, chunki biz tuzoqda qilganmiz.
Garchi biz muhandisning ish stantsiyasiga bitta hujumni qayd qilmagan bo'lsak ham, barcha kompyuterlarda bir xil mahalliy administrator parolidan foydalanishga qaramay, buzg'unchilik ehtimolini minimallashtirish uchun bunday amaliyotdan qochish kerak. Axir zaif xavfsizlik uzoq vaqtdan beri kiber jinoyatchilarni qiziqtirgan sanoat tizimlariga hujum qilish uchun qo'shimcha taklif bo'lib xizmat qiladi.
Manba: www.habr.com