防病毒公司、信息安全专家和普通爱好者将蜜罐系统放在互联网上,以便“捕获”病毒的新变种或识别不寻常的黑客策略。 蜜罐如此普遍,以至于网络犯罪分子已经形成了一种免疫力:他们很快发现自己正处于陷阱之中,然后直接忽略它。 为了探索现代黑客的策略,我们创建了一个现实的蜜罐,它在互联网上存活了七个月,吸引了各种攻击。 我们在研究中讨论了这是如何发生的“” 这篇文章中包含了该研究的一些事实。
蜜罐开发:清单
创建超级陷阱的主要任务是防止我们被对此感兴趣的黑客暴露。 这需要做很多工作:
- 创建有关公司的真实传奇,包括员工的全名和照片、电话号码和电子邮件。
- 提出并实施与我们公司活动传说相对应的工业基础设施模型。
- 决定哪些网络服务可以从外部访问,但不要因为打开易受攻击的端口而得意忘形,这样它就不会看起来像一个陷阱。
- 组织有关易受攻击系统的信息泄漏的可见性,并将此信息分发给潜在的攻击者。
- 对蜜罐基础设施中的黑客活动进行谨慎的监控。
现在一切井然有序。
创造传奇
网络犯罪分子已经习惯了遇到大量的蜜罐,因此他们中最先进的部分会对每个易受攻击的系统进行深入调查,以确保它不是陷阱。 出于同样的原因,我们力求确保蜜罐不仅在设计和技术方面是现实的,而且还要创造一个真正公司的外观。
我们将自己置于假设的酷黑客的境地,开发了一种验证算法,可以区分真实系统和陷阱。 它包括在声誉系统中搜索公司IP地址、对IP地址历史进行逆向研究、搜索与公司及其交易对手相关的名称和关键词等等。 结果,这个传说变得非常有说服力和吸引力。
我们决定将诱饵工厂定位为小型工业原型精品店,为军事和航空领域的大型匿名客户提供服务。 这使我们摆脱了与使用现有品牌相关的法律复杂性。
接下来我们必须为组织提出愿景、使命和名称。 我们决定我们的公司将是一家拥有少量员工的初创公司,每个人都是创始人。 这增加了我们业务的专业性故事的可信度,使其能够为大型且重要的客户处理敏感项目。 我们希望我们的公司从网络安全的角度来看显得很弱,但同时很明显我们正在使用目标系统上的重要资产。
MeTech 蜜罐网站的屏幕截图。 来源:趋势科技
我们选择 MeTech 这个词作为公司名称。 该网站是基于免费模板制作的。 这些图像是从照片库中获取的,使用了最不受欢迎的图像并对其进行了修改,以使其不易识别。
我们希望公司看起来真实,因此我们需要添加具有与活动概况相匹配的专业技能的员工。 我们为他们想出了名字和个性,然后尝试根据种族从照片库中选择图像。
MeTech 蜜罐网站的屏幕截图。 来源:趋势科技
为了避免被发现,我们寻找高质量的集体照片,从中选择我们需要的面孔。 然而,我们随后放弃了这个选项,因为潜在的黑客可以使用反向图像搜索并发现我们的“员工”只住在照片库中。 最后,我们使用了通过神经网络创建的不存在的人的照片。
网站上发布的员工资料包含有关其技术技能的重要信息,但我们避免指出具体的学校或城市。
为了创建邮箱,我们使用了托管提供商的服务器,然后在美国租用了几个电话号码,并将它们组合成一个带有语音菜单和答录机的虚拟 PBX。
蜜罐基础设施
为了避免暴露,我们决定结合使用真实的工业硬件、物理计算机和安全的虚拟机。 展望未来,我们会说我们使用 Shodan 搜索引擎检查了我们的努力结果,它表明蜜罐看起来像一个真正的工业系统。
使用 Shodan 扫描蜜罐的结果。 来源:趋势科技
我们使用四个 PLC 作为陷阱的硬件:
- 西门子S7-1200,
- 两台 AllenBradley MicroLogix 1100,
- 欧姆龙CP1L。
这些 PLC 因其在全球控制系统市场的受欢迎程度而被选中。 每个控制器都使用自己的协议,这使我们能够检查哪些 PLC 会更频繁地受到攻击,以及原则上它们是否会引起任何人的兴趣。
我们“工厂”陷阱的设备。 来源:趋势科技
我们不只是安装硬件并将其连接到互联网。 我们对每个控制器进行编程以执行任务,包括
- 混合,
- 燃烧器和传送带控制,
- 使用机器人操纵器码垛。
为了使生产过程更加真实,我们编写了逻辑来随机改变反馈参数,模拟电机的启动和停止以及燃烧器的打开和关闭。
我们工厂有三台虚拟计算机和一台物理计算机。 虚拟计算机用于控制工厂、码垛机器人,并作为 PLC 软件工程师的工作站。 物理计算机充当文件服务器。
除了监控对 PLC 的攻击之外,我们还希望监控设备上加载的程序的状态。 为此,我们创建了一个界面,使我们能够快速确定虚拟执行器的状态和设置是如何修改的。 在规划阶段,我们发现使用控制程序比直接对控制器逻辑进行编程要容易得多。 我们通过VNC开放了对蜜罐设备管理界面的访问,无需密码。
工业机器人是现代智能制造的关键组成部分。 对此,我们决定在我们的陷阱工厂的设备中添加一个机器人和一个自动化工作场所来控制它。 为了使“工厂”更加真实,我们在控制工作站上安装了真实的软件,工程师用它对机器人的逻辑进行图形化编程。 嗯,由于工业机器人通常位于隔离的内部网络中,因此我们决定仅将通过 VNC 的不受保护访问留给控制工作站。
带有机器人 3D 模型的 RobotStudio 环境。 来源:趋势科技
我们在带有机器人控制工作站的虚拟机上安装了 ABB Robotics 的 RobotStudio 编程环境。 配置完 RobotStudio 后,我们打开了一个包含机器人的模拟文件,以便其 3D 图像在屏幕上可见。 因此,Shodan 和其他搜索引擎在检测到不安全的 VNC 服务器后,将抓取此屏幕图像并将其显示给那些正在寻找具有开放控制访问权限的工业机器人的人。
这种对细节的关注的目的是为攻击者创造一个有吸引力且现实的目标,一旦他们发现它,就会一次又一次地返回它。
工程师工作站
为了对 PLC 逻辑进行编程,我们在基础设施中添加了一台工程计算机。 其上安装有用于PLC编程的工业软件:
- 西门子 TIA Portal,
- MicroLogix for Allen-Bradley 控制器,
- 欧姆龙 CX-One。
我们决定无法在网络外部访问工程工作区。 相反,我们为管理员帐户设置与可通过互联网访问的机器人控制工作站和工厂控制工作站相同的密码。 这种配置在很多公司都很常见。
不幸的是,尽管我们付出了一切努力,但没有一个攻击者到达工程师的工作站。
文件服务器
我们需要它作为攻击者的诱饵,并作为支持我们自己在诱饵工厂“工作”的手段。 这使我们能够使用 USB 设备与蜜罐共享文件,而不会在蜜罐网络上留下痕迹。 我们安装了Windows 7 Pro作为文件服务器的操作系统,在其中创建了一个任何人都可以读写的共享文件夹。
起初,我们没有在文件服务器上创建任何文件夹和文档的层次结构。 然而,我们后来发现攻击者正在积极研究这个文件夹,因此我们决定用各种文件填充它。 为此,我们编写了一个 python 脚本,该脚本创建一个具有给定扩展名之一的随机大小的文件,并根据字典形成一个名称。
用于生成有吸引力的文件名的脚本。 来源:趋势科技
运行脚本后,我们得到了所需的结果,文件夹中充满了名称非常有趣的文件。
脚本的结果。 来源:趋势科技
监控环境
我们花费了如此多的努力创建了一家现实的公司,我们绝对不能在监控“访客”的环境上失败。 我们需要实时获取所有数据,而不让攻击者意识到他们正在被监视。
我们使用四个 USB 转以太网适配器、四个 SharkTap 以太网分接头、一个 Raspberry Pi 3 和一个大型外部驱动器来实现这一点。 我们的网络图如下所示:
带有监控设备的蜜罐网络图。 来源:趋势科技
我们放置了三个 SharkTap 分接头,以便监控 PLC 的所有外部流量,这些流量只能从内部网络访问。 第四个 SharkTap 监视易受攻击的虚拟机的来宾流量。
SharkTap 以太网分路器和 Sierra Wireless AirLink RV50 路由器。 来源:趋势科技
Raspberry Pi 执行日常流量捕获。 我们使用常用于工业企业的 Sierra Wireless AirLink RV50 蜂窝路由器连接到互联网。
不幸的是,该路由器不允许我们有选择地阻止与我们的计划不符的攻击,因此我们以透明模式向网络添加了 Cisco ASA 5505 防火墙,以在对网络影响最小的情况下执行阻止。
流量分析
Tshark 和 tcpdump 适合快速解决当前问题,但在我们的例子中,它们的功能还不够,因为我们有很多 GB 的流量,并且由几个人进行了分析。 我们使用 AOL 开发的开源 Moloch 分析器。 它的功能与 Wireshark 相当,但具有更多协作、描述和标记包、导出和其他任务的功能。
由于我们不想在蜜罐计算机上处理收集到的数据,因此 PCAP 转储每天都会导出到 AWS 存储,我们已经从那里将它们导入到 Moloch 机器上。
屏幕录像
为了记录黑客在蜜罐中的行为,我们编写了一个脚本,以给定的时间间隔截取虚拟机的屏幕截图,并将其与之前的屏幕截图进行比较,以确定那里是否发生了某些情况。 当检测到活动时,脚本包括屏幕录制。 事实证明,这种方法是最有效的。 我们还尝试分析来自 PCAP 转储的 VNC 流量,以了解系统中发生了哪些变化,但最终我们实现的屏幕录制变得更简单、更直观。
监控 VNC 会话
为此,我们使用 Chaosreader 和 VNCLogger。 这两个实用程序都从 PCAP 转储中提取击键,但 VNCLogger 可以更正确地处理 Backspace、Enter、Ctrl 等键。
VNCLogger 有两个缺点。 首先:它只能通过“监听”接口上的流量来提取密钥,因此我们必须使用 tcpreplay 为其模拟 VNC 会话。 VNCLogger 的第二个缺点与 Chaosreader 相同:它们都不显示剪贴板的内容。 为此,我必须使用 Wireshark。
我们引诱黑客
我们创建了蜜罐来进行攻击。 为了实现这一目标,我们进行了一次信息泄露,以吸引潜在攻击者的注意。 蜜罐上开放了以下端口:
我们上线后不久就必须关闭 RDP 端口,因为我们网络上的大量扫描流量导致了性能问题。
VNC 终端首先在没有密码的情况下以仅查看模式工作,然后我们“错误地”将它们切换到完全访问模式。
为了吸引攻击者,我们在 PasteBin 上发布了两篇帖子,其中包含有关可用工业系统的泄露信息。
在 PasteBin 上发布的帖子之一是为了吸引攻击。 来源:趋势科技
攻击
蜜罐在线生活了大约七个月。 第一次攻击发生在蜜罐上线一个月后。
扫描仪
有大量来自知名公司扫描仪的流量 - ip-ip、Rapid、Shadow Server、Shodan、ZoomEye 等。 它们的数量如此之多,我们不得不将其 IP 地址排除在分析之外:610 个中的 9452 个或所有唯一 IP 地址的 6,45% 属于完全合法的扫描仪。
骗子
我们面临的最大风险之一是将我们的系统用于犯罪目的:通过订户帐户购买智能手机、使用礼品卡兑现航空里程以及其他类型的欺诈行为。
矿工
我们系统的第一批访问者之一是一名矿工。 他在上面下载了门罗币挖矿软件。 由于生产力低下,他不可能在我们的特定系统上赚到很多钱。 然而,如果我们把几十个甚至上百个这样的系统的努力结合起来,结果可能会相当好。
勒索软件
在蜜罐工作过程中,我们两次遇到过真正的勒索病毒。 第一个案例是《孤岛危机》。 其操作员通过 VNC 登录系统,然后安装 TeamViewer 并使用它执行进一步的操作。 在等待一条要求 10 美元 BTC 赎金的勒索消息后,我们与犯罪分子通信,要求他们为我们解密其中一个文件。 他们答应了要求,并再次提出赎金要求。 我们设法协商了 6 美元,之后我们只是将系统重新上传到虚拟机,因为我们收到了所有必要的信息。
第二个勒索软件是 Phobos。 安装它的黑客花了一个小时浏览蜜罐文件系统并扫描网络,然后最终安装了勒索软件。
第三次勒索软件攻击被证明是假的。 一位身份不明的“黑客”将 haha.bat 文件下载到我们的系统上,之后我们观察了他一段时间,看他试图让它发挥作用。 其中一项尝试是将 haha.bat 重命名为 haha.rnsmwr。
“黑客”通过将bat文件的扩展名更改为.rnsmwr来增加其危害性。 来源:趋势科技
当批处理文件最终开始运行时,“黑客”对其进行了编辑,将赎金从 200 美元增加到 750 美元。 之后,他“加密”了所有文件,在桌面上留下勒索信息后就消失了,并更改了我们VNC上的密码。
几天后,黑客回来了,为了提醒自己,启动了一个批处理文件,打开了许多带有色情网站的窗口。 显然,他试图通过这种方式引起人们对他的要求的关注。
结果
研究发现,该漏洞信息一经发布,蜜罐就引起了人们的关注,活动日益增多。 为了让这个陷阱引起人们的注意,我们虚构的公司不得不遭受多次安全漏洞。 不幸的是,这种情况在许多没有全职 IT 和信息安全员工的真实公司中并不罕见。
一般来说,组织应该使用最小特权原则,而我们却实施了与之完全相反的原则来吸引攻击者。 我们观察攻击的时间越长,与标准渗透测试方法相比,它们变得越复杂。
最重要的是,如果在设置网络时采取了足够的安全措施,所有这些攻击都会失败。 组织必须确保其设备和工业基础设施组件无法通过互联网访问,就像我们在陷阱中所做的那样。
尽管我们没有记录到对工程师工作站的一次攻击,尽管在所有计算机上使用相同的本地管理员密码,但应该避免这种做法,以最大限度地减少入侵的可能性。 毕竟,薄弱的安全性会额外邀请攻击工业系统,而网络犯罪分子长期以来一直对工业系统感兴趣。
来源: habr.com