Các công ty chống vi-rút, chuyên gia bảo mật thông tin và đơn giản là những người đam mê đưa hệ thống honeypot lên Internet để “bắt” một biến thể mới của vi-rút hoặc xác định các chiến thuật bất thường của hacker. Honeypot phổ biến đến mức tội phạm mạng đã phát triển một loại khả năng miễn dịch: chúng nhanh chóng nhận ra rằng mình đang đối mặt với một cái bẫy và chỉ cần bỏ qua nó. Để khám phá các chiến thuật của tin tặc hiện đại, chúng tôi đã tạo ra một honeypot thực tế tồn tại trên Internet trong bảy tháng, thu hút nhiều cuộc tấn công khác nhau. Chúng tôi đã nói về điều này xảy ra như thế nào trong nghiên cứu của chúng tôi “" Một số sự thật từ nghiên cứu có trong bài đăng này.
Phát triển Honeypot: danh sách kiểm tra
Nhiệm vụ chính trong việc tạo ra siêu bẫy của chúng tôi là ngăn chặn chúng tôi bị lộ bởi những tin tặc tỏ ra quan tâm đến nó. Điều này đòi hỏi rất nhiều công việc:
- Tạo huyền thoại thực tế về công ty, bao gồm tên đầy đủ và ảnh của nhân viên, số điện thoại và email.
- Để nghĩ ra và thực hiện mô hình hạ tầng công nghiệp tương ứng với huyền thoại về hoạt động của công ty chúng tôi.
- Quyết định những dịch vụ mạng nào sẽ có thể truy cập được từ bên ngoài, nhưng đừng quá hào hứng với việc mở các cổng dễ bị tấn công để nó không giống như một cái bẫy cho những kẻ lừa đảo.
- Tổ chức hiển thị các rò rỉ thông tin về một hệ thống dễ bị tấn công và phân phối thông tin này cho những kẻ tấn công tiềm năng.
- Triển khai giám sát kín đáo các hoạt động của hacker trong cơ sở hạ tầng honeypot.
Và bây giờ là điều đầu tiên trước tiên.
Tạo nên một huyền thoại
Tội phạm mạng đã quen với việc gặp rất nhiều honeypot, vì vậy phần tiên tiến nhất trong số chúng tiến hành điều tra chuyên sâu từng hệ thống dễ bị tấn công để đảm bảo rằng đó không phải là một cái bẫy. Vì lý do tương tự, chúng tôi đã tìm cách đảm bảo rằng honeypot không chỉ thực tế về mặt thiết kế và kỹ thuật mà còn tạo ra diện mạo của một công ty thực sự.
Đặt mình vào vị trí của một hacker tuyệt vời giả định, chúng tôi đã phát triển một thuật toán xác minh có thể phân biệt hệ thống thực với một cái bẫy. Nó bao gồm việc tìm kiếm địa chỉ IP của công ty trong hệ thống danh tiếng, nghiên cứu ngược về lịch sử của địa chỉ IP, tìm kiếm tên và từ khóa liên quan đến công ty cũng như các đối tác của công ty và nhiều thứ khác. Kết quả là truyền thuyết trở nên khá thuyết phục và hấp dẫn.
Chúng tôi quyết định định vị nhà máy mồi nhử như một cửa hàng tạo mẫu công nghiệp nhỏ làm việc cho những khách hàng vô danh rất lớn trong phân khúc quân sự và hàng không. Điều này đã giải phóng chúng tôi khỏi những rắc rối pháp lý liên quan đến việc sử dụng một thương hiệu hiện có.
Tiếp theo chúng tôi phải đưa ra tầm nhìn, sứ mệnh và tên gọi cho tổ chức. Chúng tôi quyết định rằng công ty của chúng tôi sẽ là một công ty khởi nghiệp với một số lượng nhỏ nhân viên, mỗi người trong số họ là người sáng lập. Điều này đã tăng thêm độ tin cậy cho câu chuyện về tính chất chuyên biệt trong hoạt động kinh doanh của chúng tôi, cho phép công ty xử lý các dự án nhạy cảm cho các khách hàng lớn và quan trọng. Chúng tôi muốn công ty của mình tỏ ra yếu kém từ góc độ an ninh mạng, nhưng đồng thời, rõ ràng là chúng tôi đang làm việc với các tài sản quan trọng trên hệ thống mục tiêu.
Ảnh chụp màn hình trang web honeypot MeTech. Nguồn: Trend Micro
Chúng tôi chọn từ MeTech làm tên công ty. Trang web được thực hiện dựa trên một mẫu miễn phí. Các hình ảnh được lấy từ ngân hàng ảnh, sử dụng những hình ảnh không được ưa chuộng nhất và sửa đổi chúng để khiến chúng khó bị nhận ra hơn.
Chúng tôi muốn công ty trông giống thực tế nên chúng tôi cần tuyển thêm những nhân viên có kỹ năng chuyên nghiệp phù hợp với đặc điểm hoạt động. Chúng tôi nghĩ ra tên và tính cách cho họ rồi cố gắng chọn hình ảnh từ ngân hàng ảnh theo sắc tộc.
Ảnh chụp màn hình trang web honeypot MeTech. Nguồn: Trend Micro
Để tránh bị phát hiện, chúng tôi đã tìm kiếm những bức ảnh nhóm có chất lượng tốt để từ đó chúng tôi có thể chọn ra những khuôn mặt mà mình cần. Tuy nhiên, sau đó chúng tôi đã từ bỏ tùy chọn này vì một hacker tiềm năng có thể sử dụng tìm kiếm hình ảnh ngược và phát hiện ra rằng “nhân viên” của chúng tôi chỉ sống trong ngân hàng ảnh. Cuối cùng, chúng tôi sử dụng những bức ảnh về những người không tồn tại được tạo ra bằng mạng lưới thần kinh.
Hồ sơ nhân viên được công bố trên trang web chứa thông tin quan trọng về kỹ năng kỹ thuật của họ, nhưng chúng tôi tránh xác định các trường học hoặc thành phố cụ thể.
Để tạo hộp thư, chúng tôi sử dụng máy chủ của nhà cung cấp dịch vụ lưu trữ, sau đó thuê một số số điện thoại ở Hoa Kỳ và kết hợp chúng thành một PBX ảo với menu thoại và máy trả lời tự động.
Cơ sở hạ tầng Honeypot
Để tránh bị lộ, chúng tôi quyết định sử dụng kết hợp phần cứng công nghiệp thực sự, máy tính vật lý và máy ảo an toàn. Nhìn về phía trước, giả sử rằng chúng tôi đã kiểm tra kết quả nỗ lực của mình bằng cách sử dụng công cụ tìm kiếm Shodan và nó cho thấy rằng honeypot trông giống như một hệ thống công nghiệp thực sự.
Kết quả quét honeypot bằng Shodan. Nguồn: Trend Micro
Chúng tôi đã sử dụng bốn PLC làm phần cứng cho bẫy của mình:
- Siemens S7-1200,
- hai AllenBradley MicroLogix 1100,
- Omron CP1L.
Những PLC này được chọn vì mức độ phổ biến của chúng trên thị trường hệ thống điều khiển toàn cầu. Và mỗi bộ điều khiển này sử dụng giao thức riêng, cho phép chúng tôi kiểm tra PLC nào sẽ bị tấn công thường xuyên hơn và liệu về nguyên tắc chúng có khiến ai quan tâm hay không.
Thiết bị bẫy “nhà máy” của chúng tôi. Nguồn: Trend Micro
Chúng tôi không chỉ cài đặt phần cứng và kết nối nó với Internet. Chúng tôi đã lập trình từng bộ điều khiển để thực hiện các nhiệm vụ, bao gồm
- trộn,
- điều khiển đầu đốt và băng tải,
- xếp hàng bằng cách sử dụng bộ điều khiển robot.
Và để biến quy trình sản xuất trở nên thực tế, chúng tôi đã lập trình logic để thay đổi ngẫu nhiên các thông số phản hồi, mô phỏng việc khởi động và dừng động cơ cũng như bật và tắt đầu đốt.
Nhà máy của chúng tôi có ba máy tính ảo và một máy tính vật lý. Máy tính ảo được sử dụng để điều khiển nhà máy, robot xếp hàng và làm trạm làm việc cho kỹ sư phần mềm PLC. Máy tính vật lý hoạt động như một máy chủ tập tin.
Ngoài việc giám sát các cuộc tấn công PLC, chúng tôi muốn theo dõi trạng thái của các chương trình được tải trên thiết bị của mình. Để làm điều này, chúng tôi đã tạo một giao diện cho phép chúng tôi nhanh chóng xác định trạng thái của các bộ truyền động và cài đặt ảo đã được sửa đổi như thế nào. Ở giai đoạn lập kế hoạch, chúng tôi phát hiện ra rằng việc thực hiện điều này bằng chương trình điều khiển sẽ dễ dàng hơn nhiều so với lập trình trực tiếp logic của bộ điều khiển. Chúng tôi đã mở quyền truy cập vào giao diện quản lý thiết bị của honeypot thông qua VNC mà không cần mật khẩu.
Robot công nghiệp là thành phần chính của sản xuất thông minh hiện đại. Về vấn đề này, chúng tôi quyết định bổ sung robot và nơi làm việc tự động để điều khiển nó vào thiết bị của nhà máy sản xuất bẫy của chúng tôi. Để làm cho “nhà máy” trở nên thực tế hơn, chúng tôi đã cài đặt phần mềm thực tế trên trạm điều khiển mà các kỹ sư sử dụng để lập trình logic của robot bằng đồ họa. Chà, vì robot công nghiệp thường được đặt trong một mạng nội bộ biệt lập nên chúng tôi đã quyết định chỉ để lại quyền truy cập không được bảo vệ qua VNC cho máy trạm điều khiển.
Môi trường RobotStudio với mô hình 3D của robot của chúng tôi. Nguồn: Trend Micro
Chúng tôi đã cài đặt môi trường lập trình RobotStudio của ABB Robotics trên một máy ảo có trạm điều khiển robot. Sau khi định cấu hình RobotStudio, chúng tôi đã mở một tệp mô phỏng có rô-bốt của mình trong đó để hình ảnh 3D của nó hiển thị trên màn hình. Kết quả là Shodan và các công cụ tìm kiếm khác khi phát hiện máy chủ VNC không bảo mật sẽ lấy hình ảnh màn hình này và hiển thị cho những người đang tìm kiếm robot công nghiệp có quyền truy cập mở để điều khiển.
Mục đích của sự chú ý đến từng chi tiết này là tạo ra một mục tiêu hấp dẫn và thực tế cho những kẻ tấn công, những kẻ mà một khi chúng tìm thấy nó sẽ quay lại mục tiêu đó nhiều lần.
Trạm làm việc của kỹ sư
Để lập trình logic PLC, chúng tôi đã thêm một máy tính kỹ thuật vào cơ sở hạ tầng. Phần mềm công nghiệp để lập trình PLC đã được cài đặt trên đó:
- Cổng thông tin TIA cho Siemens,
- MicroLogix cho bộ điều khiển Allen-Bradley,
- CX-One dành cho Omron.
Chúng tôi quyết định rằng không gian làm việc kỹ thuật sẽ không thể truy cập được bên ngoài mạng. Thay vào đó, chúng tôi đặt cùng một mật khẩu cho tài khoản quản trị viên như trên máy trạm điều khiển robot và máy trạm điều khiển nhà máy có thể truy cập từ Internet. Cấu hình này khá phổ biến ở nhiều công ty.
Thật không may, bất chấp mọi nỗ lực của chúng tôi, không một kẻ tấn công nào tiếp cận được máy trạm của người kỹ sư.
Máy chủ tập tin
Chúng tôi cần nó như một miếng mồi cho những kẻ tấn công và như một phương tiện hỗ trợ “công việc” của chính chúng tôi trong nhà máy mồi nhử. Điều này cho phép chúng tôi chia sẻ tệp với honeypot của mình bằng thiết bị USB mà không để lại dấu vết trên mạng honeypot. Chúng tôi đã cài đặt Windows 7 Pro làm hệ điều hành cho máy chủ tệp, trong đó chúng tôi đã tạo một thư mục dùng chung mà bất kỳ ai cũng có thể đọc và ghi.
Lúc đầu, chúng tôi không tạo bất kỳ hệ thống phân cấp thư mục và tài liệu nào trên máy chủ tệp. Tuy nhiên, sau đó chúng tôi phát hiện ra rằng những kẻ tấn công đang tích cực nghiên cứu thư mục này, vì vậy chúng tôi quyết định lấp đầy nó bằng nhiều tệp khác nhau. Để làm điều này, chúng tôi đã viết một tập lệnh python tạo một tệp có kích thước ngẫu nhiên với một trong các phần mở rộng nhất định, tạo thành tên dựa trên từ điển.
Tập lệnh tạo tên tệp hấp dẫn. Nguồn: Trend Micro
Sau khi chạy tập lệnh, chúng tôi nhận được kết quả mong muốn dưới dạng một thư mục chứa đầy các tệp có tên rất thú vị.
Kết quả của kịch bản. Nguồn: Trend Micro
Môi trường giám sát
Đã dành rất nhiều nỗ lực để tạo ra một công ty thực tế, chúng tôi đơn giản là không thể chấp nhận thất bại trong việc giám sát “khách truy cập” của mình. Chúng tôi cần lấy tất cả dữ liệu theo thời gian thực mà kẻ tấn công không nhận ra rằng họ đang bị theo dõi.
Chúng tôi đã triển khai điều này bằng cách sử dụng bốn bộ chuyển đổi USB sang Ethernet, bốn vòi Ethernet SharkTap, Raspberry Pi 3 và một ổ đĩa ngoài lớn. Sơ đồ mạng của chúng tôi trông như thế này:
Sơ đồ mạng lưới Honeypot với thiết bị giám sát. Nguồn: Trend Micro
Chúng tôi đã định vị ba vòi SharkTap để giám sát tất cả lưu lượng truy cập bên ngoài tới PLC, chỉ có thể truy cập được từ mạng nội bộ. SharkTap thứ tư giám sát lưu lượng khách của một máy ảo dễ bị tấn công.
SharkTap Ethernet Tap và Bộ định tuyến Sierra Wireless AirLink RV50. Nguồn: Trend Micro
Raspberry Pi thực hiện thu thập lưu lượng truy cập hàng ngày. Chúng tôi kết nối Internet bằng bộ định tuyến di động Sierra Wireless AirLink RV50, thường được sử dụng trong các doanh nghiệp công nghiệp.
Thật không may, bộ định tuyến này không cho phép chúng tôi chặn có chọn lọc các cuộc tấn công không phù hợp với kế hoạch của chúng tôi, vì vậy chúng tôi đã thêm tường lửa Cisco ASA 5505 vào mạng ở chế độ trong suốt để thực hiện chặn với tác động tối thiểu đến mạng.
Phân tích lưu lượng truy cập
Tshark và tcpdump thích hợp để giải quyết nhanh chóng các vấn đề hiện tại, nhưng trong trường hợp của chúng tôi, khả năng của chúng là không đủ vì chúng tôi có nhiều gigabyte lưu lượng đã được một số người phân tích. Chúng tôi đã sử dụng máy phân tích Moloch mã nguồn mở do AOL phát triển. Nó có chức năng tương đương với Wireshark, nhưng có nhiều khả năng cộng tác, mô tả và gắn thẻ các gói, xuất và các tác vụ khác.
Vì chúng tôi không muốn xử lý dữ liệu đã thu thập trên máy tính honeypot nên các kết xuất PCAP được xuất hàng ngày sang bộ lưu trữ AWS, từ đó chúng tôi đã nhập chúng vào máy Moloch.
Ghi màn hình
Để ghi lại hành động của tin tặc trong honeypot của chúng tôi, chúng tôi đã viết một tập lệnh chụp ảnh màn hình của máy ảo trong một khoảng thời gian nhất định và so sánh nó với ảnh chụp màn hình trước đó để xác định xem có điều gì đang xảy ra ở đó hay không. Khi phát hiện hoạt động, tập lệnh bao gồm ghi lại màn hình. Cách tiếp cận này hóa ra là hiệu quả nhất. Chúng tôi cũng đã cố gắng phân tích lưu lượng truy cập VNC từ kết xuất PCAP để hiểu những thay đổi nào đã xảy ra trong hệ thống, nhưng cuối cùng, bản ghi màn hình mà chúng tôi triển khai hóa ra lại đơn giản và trực quan hơn.
Giám sát phiên VNC
Để làm được điều này, chúng tôi đã sử dụng Chaosreader và VNCLogger. Cả hai tiện ích đều trích xuất các lần nhấn phím từ kết xuất PCAP, nhưng VNCLogger xử lý các phím như Backspace, Enter, Ctrl chính xác hơn.
VNCLogger có hai nhược điểm. Đầu tiên: nó chỉ có thể trích xuất khóa bằng cách “lắng nghe” lưu lượng truy cập trên giao diện, vì vậy chúng tôi phải mô phỏng phiên VNC cho nó bằng tcpreplay. Nhược điểm thứ hai của VNCLogger thường gặp với Chaosreader: cả hai đều không hiển thị nội dung của clipboard. Để làm điều này tôi phải sử dụng Wireshark.
Chúng tôi thu hút tin tặc
Chúng tôi tạo ra honeypot để bị tấn công. Để đạt được điều này, chúng tôi đã dàn dựng một vụ rò rỉ thông tin để thu hút sự chú ý của những kẻ tấn công tiềm năng. Các cổng sau đã được mở trên honeypot:
Cổng RDP đã phải đóng ngay sau khi chúng tôi đi vào hoạt động vì lượng lớn lưu lượng quét trên mạng của chúng tôi đã gây ra vấn đề về hiệu suất.
Các thiết bị đầu cuối VNC lần đầu tiên hoạt động ở chế độ chỉ xem mà không cần mật khẩu, sau đó chúng tôi “do nhầm lẫn” đã chuyển chúng sang chế độ truy cập đầy đủ.
Để thu hút những kẻ tấn công, chúng tôi đã đăng hai bài đăng chứa thông tin rò rỉ về hệ thống công nghiệp có sẵn trên PasteBin.
Một trong những bài đăng trên PasteBin nhằm thu hút sự tấn công. Nguồn: Trend Micro
Các cuộc tấn công
Honeypot đã sống trực tuyến được khoảng bảy tháng. Cuộc tấn công đầu tiên xảy ra một tháng sau khi Honeypot lên mạng.
Máy quét
Có rất nhiều lưu lượng truy cập từ máy quét của các công ty nổi tiếng - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye và các công ty khác. Có nhiều địa chỉ IP đến mức chúng tôi phải loại địa chỉ IP của họ khỏi phân tích: 610 trên 9452 hoặc 6,45% tổng số địa chỉ IP duy nhất thuộc về các máy quét hoàn toàn hợp pháp.
Kẻ lừa đảo
Một trong những rủi ro lớn nhất mà chúng tôi phải đối mặt là việc sử dụng hệ thống của chúng tôi cho mục đích tội phạm: mua điện thoại thông minh thông qua tài khoản của người đăng ký, rút tiền dặm bay bằng thẻ quà tặng và các hình thức gian lận khác.
Thợ mỏ
Một trong những khách truy cập đầu tiên vào hệ thống của chúng tôi hóa ra lại là một thợ mỏ. Anh ấy đã tải phần mềm khai thác Monero xuống đó. Anh ấy sẽ không thể kiếm được nhiều tiền trên hệ thống cụ thể của chúng tôi do năng suất thấp. Tuy nhiên, nếu chúng ta kết hợp nỗ lực của hàng chục hoặc thậm chí hàng trăm hệ thống như vậy thì mọi chuyện có thể diễn ra khá tốt.
Phần mềm tống tiền
Trong quá trình hoạt động của honeypot, chúng tôi đã gặp phải virus ransomware thực sự hai lần. Trong trường hợp đầu tiên đó là Crysis. Những người vận hành nó đã đăng nhập vào hệ thống thông qua VNC, nhưng sau đó đã cài đặt TeamViewer và sử dụng nó để thực hiện các hành động tiếp theo. Sau khi chờ đợi tin nhắn tống tiền yêu cầu khoản tiền chuộc 10 đô la BTC, chúng tôi đã liên lạc với bọn tội phạm, yêu cầu chúng giải mã một trong các tệp cho chúng tôi. Họ làm theo yêu cầu và lặp lại yêu cầu tiền chuộc. Chúng tôi đã cố gắng thương lượng số tiền lên tới 6 nghìn đô la, sau đó chúng tôi chỉ cần tải lại hệ thống lên máy ảo vì chúng tôi đã nhận được tất cả thông tin cần thiết.
Ransomware thứ hai hóa ra là Phobos. Hacker đã cài đặt nó đã dành một giờ để duyệt hệ thống tệp honeypot và quét mạng, rồi cuối cùng cài đặt phần mềm ransomware.
Cuộc tấn công ransomware thứ ba hóa ra là giả mạo. Một "hacker" không rõ danh tính đã tải tệp haha.bat xuống hệ thống của chúng tôi, sau đó chúng tôi theo dõi một lúc trong khi anh ta cố gắng làm cho nó hoạt động. Một trong những nỗ lực là đổi tên haha.bat thành haha.rnsmwr.
“Hacker” làm tăng mức độ độc hại của tệp bat bằng cách thay đổi phần mở rộng của nó thành .rnsmwr. Nguồn: Trend Micro
Cuối cùng, khi tệp bó bắt đầu chạy, “hacker” đã chỉnh sửa nó, tăng số tiền chuộc từ 200 USD lên 750 USD. Sau đó, anh ta “mã hóa” tất cả các tập tin, để lại tin nhắn tống tiền trên màn hình nền rồi biến mất, thay đổi mật khẩu trên VNC của chúng tôi.
Vài ngày sau, hacker quay lại và để nhắc nhở bản thân, đã tung ra một tập tin batch mở nhiều cửa sổ có chứa một trang web khiêu dâm. Rõ ràng, bằng cách này anh ta đã cố gắng thu hút sự chú ý đến yêu cầu của mình.
Kết quả
Trong quá trình nghiên cứu, hóa ra ngay khi thông tin về lỗ hổng được công bố, honeypot đã thu hút sự chú ý với hoạt động ngày càng tăng. Để cái bẫy thu hút được sự chú ý, công ty hư cấu của chúng tôi đã phải hứng chịu nhiều vụ vi phạm an ninh. Thật không may, tình trạng này không hề hiếm gặp ở nhiều công ty thực sự không có nhân viên bảo mật thông tin và CNTT toàn thời gian.
Nói chung, các tổ chức nên sử dụng nguyên tắc đặc quyền tối thiểu, trong khi chúng tôi thực hiện điều ngược lại để thu hút những kẻ tấn công. Và chúng tôi theo dõi các cuộc tấn công càng lâu thì chúng càng trở nên phức tạp hơn so với các phương pháp thử nghiệm thâm nhập tiêu chuẩn.
Và quan trọng nhất, tất cả các cuộc tấn công này sẽ thất bại nếu các biện pháp bảo mật đầy đủ được triển khai khi thiết lập mạng. Các tổ chức phải đảm bảo rằng thiết bị và các thành phần cơ sở hạ tầng công nghiệp của họ không thể truy cập được từ Internet, như chúng tôi đã làm cụ thể trong cái bẫy của mình.
Mặc dù chúng tôi chưa ghi nhận một cuộc tấn công nào vào máy trạm của kỹ sư, mặc dù sử dụng cùng một mật khẩu quản trị viên cục bộ trên tất cả các máy tính, nhưng bạn nên tránh thực hiện hành vi này để giảm thiểu khả năng bị xâm nhập. Xét cho cùng, bảo mật yếu kém là một lời mời bổ sung để tấn công các hệ thống công nghiệp, vốn từ lâu đã được tội phạm mạng quan tâm.
Nguồn: www.habr.com