防毒公司、資訊安全專家和普通愛好者將蜜罐系統放在網路上,以便「捕捉」病毒的新變種或識別不尋常的駭客策略。 蜜罐如此普遍,以至於網路犯罪分子已經形成了一種免疫力:他們很快就發現自己正處於陷阱之中,然後直接忽略它。 為了探索現代駭客的策略,我們創建了一個現實的蜜罐,它在網路上存活了七個月,吸引了各種攻擊。 我們在研究中討論了這是如何發生的“」 這篇文章中包含了該研究的一些事實。
蜜罐開發:清單
創建超級陷阱的主要任務是防止我們被對此感興趣的駭客揭露。 這需要做很多工作:
- 創建有關公司的真實傳奇,包括員工的全名和照片、電話號碼和電子郵件。
- 提出並實施與我們公司活動傳說相對應的工業基礎設施模型。
- 決定哪些網路服務可以從外部訪問,但不要因為打開易受攻擊的連接埠而得意忘形,這樣它就不會看起來像一個陷阱。
- 組織有關易受攻擊系統的資訊洩漏的可見性,並將此資訊分發給潛在的攻擊者。
- 對蜜罐基礎設施中的駭客活動進行謹慎的監控。
現在一切井然有序。
創造傳奇
網路犯罪分子已經習慣了遇到大量的蜜罐,因此他們中最先進的部分會對每個易受攻擊的系統進行深入調查,以確保它不是陷阱。 基於同樣的原因,我們力求確保蜜罐不僅在設計和技術方面是現實的,而且還要創造一個真正公司的外觀。
我們將自己置於假設的酷黑客的境地,開發了一種驗證演算法,可以區分真實系統和陷阱。 它包括在聲譽系統中搜尋公司IP位址、對IP位址歷史進行逆向研究、搜尋與公司及其交易對手相關的名稱和關鍵字等等。 結果,這個傳說變得非常有說服力和吸引力。
我們決定將誘餌工廠定位為小型工業原型精品店,為軍事和航空領域的大型匿名客戶提供服務。 這使我們擺脫了與使用現有品牌相關的法律複雜性。
接下來我們必須為組織提出願景、使命和名稱。 我們決定我們的公司將是一家擁有少量員工的新創公司,每個人都是創辦人。 這增加了我們業務的專業性故事的可信度,使其能夠為大型且重要的客戶處理敏感專案。 我們希望我們的公司從網路安全的角度來看顯得很弱,但同時很明顯我們正在使用目標系統上的重要資產。
MeTech 蜜罐網站的螢幕截圖。 來源:趨勢科技
我們選擇 MeTech 這個字作為公司名稱。 該網站是基於免費模板製作的。 這些圖像是從照片庫中獲取的,使用了最不受歡迎的圖像並對其進行了修改,以使其不易識別。
我們希望公司看起來真實,因此我們需要增加具有與活動概況相符的專業技能的員工。 我們為他們想出了名字和個性,然後嘗試根據種族從照片庫中選擇圖像。
MeTech 蜜罐網站的螢幕截圖。 來源:趨勢科技
為了避免被發現,我們尋找高品質的集體照片,從中選擇我們需要的臉。 然而,我們隨後放棄了這個選項,因為潛在的駭客可以使用反向圖像搜尋並發現我們的「員工」只住在照片庫中。 最後,我們使用了透過神經網路創建的不存在的人的照片。
網站上發布的員工資料包含有關其技術技能的重要信息,但我們避免指出具體的學校或城市。
為了建立郵箱,我們使用了託管提供者的伺服器,然後在美國租用了幾個電話號碼,並將它們組合成一個帶有語音選單和答錄機的虛擬 PBX。
蜜罐基礎設施
為了避免暴露,我們決定結合使用真實的工業硬體、實體電腦和安全的虛擬機器。 展望未來,我們會說我們使用 Shodan 搜尋引擎檢查了我們的努力結果,它表明蜜罐看起來像一個真正的工業系統。
使用 Shodan 掃描蜜罐的結果。 來源:趨勢科技
我們使用四個 PLC 作為陷阱的硬體:
- 西門子S7-1200,
- 兩台 AllenBradley MicroLogix 1100,
- 歐姆龍CP1L。
這些 PLC 因其在全球控制系統市場的受歡迎程度而被選中。 每個控制器都使用自己的協議,這使我們能夠檢查哪些 PLC 會更頻繁地受到攻擊,以及原則上它們是否會引起任何人的興趣。
我們「工廠」陷阱的設備。 來源:趨勢科技
我們不只是安裝硬體並將其連接到互聯網。 我們對每個控制器進行編程以執行任務,包括
- 混合,
- 燃燒器和傳送帶控制,
- 使用機器人操縱器堆疊。
為了使生產過程更加真實,我們編寫了邏輯來隨機改變反饋參數,模擬馬達的啟動和停止以及燃燒器的打開和關閉。
我們工廠有三台虛擬計算機和一台實體計算機。 虛擬電腦用於控制工廠、碼垛機器人,並作為 PLC 軟體工程師的工作站。 實體計算機充當文件伺服器。
除了監控對 PLC 的攻擊之外,我們還希望監控設備上載入的程式的狀態。 為此,我們創建了一個介面,使我們能夠快速確定虛擬執行器和安裝的狀態是如何修改的。 在規劃階段,我們發現使用控製程式來實現這一點比透過控制器邏輯的直接程式設計要容易得多。 我們透過VNC開放了對蜜罐設備管理介面的訪問,無需密碼。
工業機器人是現代智慧製造的關鍵組成部分。 對此,我們決定在我們的陷阱工廠的設備中添加一個機器人和一個自動化工作場所來控制它。 為了讓「工廠」更真實,我們在控制工作站上安裝了真實的軟體,工程師用它對機器人的邏輯進行圖形化程式設計。 嗯,由於工業機器人通常位於隔離的內部網路中,因此我們決定僅將透過 VNC 的不受保護存取留給控制工作站。
具有機器人 3D 模型的 RobotStudio 環境。 來源:趨勢科技
我們在具有機器人控制工作站的虛擬機器上安裝了 ABB Robotics 的 RobotStudio 程式設計環境。 配置完 RobotStudio 後,我們打開了一個包含機器人的模擬文件,以便其 3D 影像在螢幕上可見。 因此,Shodan 和其他搜尋引擎在檢測到不安全的 VNC 伺服器後,將抓取此螢幕影像並將其顯示給那些正在尋找具有開放控制存取權限的工業機器人的人。
這種對細節的關注的目的是為攻擊者創造一個有吸引力且現實的目標,一旦他們發現它,就會一次又一次地回到它。
工程師工作站
為了對 PLC 邏輯進行編程,我們在基礎設施中添加了一台工程計算機。 其上安裝有PLC程式設計的工業軟體:
- 西門子 TIA Portal,
- MicroLogix for Allen-Bradley 控制器,
- 歐姆龍 CX-One。
我們決定無法在網路外部存取工程工作區。 相反,我們為管理員帳戶設定與可透過網路存取的機器人控制工作站和工廠控制工作站相同的密碼。 這種配置在很多公司都很常見。
不幸的是,儘管我們付出了一切努力,但沒有一個攻擊者到達工程師的工作站。
文件服務器
我們需要它作為攻擊者的誘餌,並作為支持我們自己在誘餌工廠「工作」的手段。 這使我們能夠使用 USB 設備與蜜罐共享文件,而不會在蜜罐網路上留下痕跡。 我們安裝了Windows 7 Pro作為檔案伺服器的作業系統,在其中建立了一個任何人都可以讀寫的共用資料夾。
起初,我們沒有在文件伺服器上建立任何資料夾和文件的層次結構。 然而,我們後來發現攻擊者正在積極研究這個資料夾,因此我們決定用各種文件填充它。 為此,我們編寫了一個 python 腳本,該腳本創建一個具有給定擴展名之一的隨機大小的文件,並根據字典形成一個名稱。
用於產生有吸引力的檔案名稱的腳本。 來源:趨勢科技
運行腳本後,我們得到了所需的結果,資料夾中充滿了名稱非常有趣的檔案。
腳本的結果。 來源:趨勢科技
監控環境
我們花費瞭如此多的努力創造了一家現實的公司,我們絕對不能在監控「訪客」的環境上失敗。 我們需要即時獲取所有數據,而不讓攻擊者意識到他們正在被監視。
我們使用四個 USB 轉乙太網路適配器、四個 SharkTap 乙太網路分接頭、一個 Raspberry Pi 3 和一個大型外部硬碟來實現這一點。 我們的網路圖如下所示:
帶有監控設備的蜜罐網路圖。 來源:趨勢科技
我們放置了三個 SharkTap 分接頭,以便監控 PLC 的所有外部流量,這些流量只能從內部網路存取。 第四個 SharkTap 監視易受攻擊的虛擬機器的來賓流量。
SharkTap 乙太網路分路器和 Sierra Wireless AirLink RV50 路由器。 來源:趨勢科技
Raspberry Pi 執行日常流量擷取。 我們使用常用於工業企業的 Sierra Wireless AirLink RV50 蜂窩路由器連接到互聯網。
不幸的是,該路由器不允許我們選擇性地阻止與我們的計劃不符的攻擊,因此我們以透明模式向網路添加了 Cisco ASA 5505 防火牆,以在對網路影響最小的情況下執行封鎖。
流量分析
Tshark 和 tcpdump 適合快速解決當前問題,但在我們的例子中,它們的功能還不夠,因為我們有很多 GB 的流量,並且由幾個人進行了分析。 我們使用 AOL 開發的開源 Moloch 分析器。 它的功能與 Wireshark 相當,但具有更多協作、描述和標記套件、匯出和其他任務的功能。
由於我們不想在蜜罐計算機上處理收集到的數據,因此 PCAP 轉儲每天都會導出到 AWS 存儲,我們已經從那裡將它們導入到 Moloch 機器上。
屏幕錄像
為了記錄駭客在蜜罐中的行為,我們編寫了一個腳本,以給定的時間間隔截取虛擬機的螢幕截圖,並將其與先前的螢幕截圖進行比較,以確定那裡是否發生了某些情況。 當偵測到活動時,腳本包括螢幕錄製。 事實證明,這種方法是最有效的。 我們也嘗試分析 PCAP 轉儲的 VNC 流量,以了解系統中發生了哪些變化,但最終我們實現的螢幕錄製變得更簡單、更直覺。
監控 VNC 會話
為此,我們使用 Chaosreader 和 VNCLogger。 這兩個實用程式都從 PCAP 轉儲中提取擊鍵,但 VNCLogger 可以更正確地處理 Backspace、Enter、Ctrl 等鍵。
VNCLogger 有兩個缺點。 首先:它只能透過「監聽」介面上的流量來提取金鑰,因此我們必須使用 tcpreplay 為其模擬 VNC 會話。 VNCLogger 的第二個缺點與 Chaosreader 相同:它們都不顯示剪貼簿的內容。 為此,我必須使用 Wireshark。
我們引誘駭客
我們創建了蜜罐來進行攻擊。 為了實現這一目標,我們進行了一次資訊洩露,以吸引潛在攻擊者的注意。 蜜罐上開放了以下連接埠:
我們上線後不久就必須關閉 RDP 端口,因為我們網路上的大量掃描流量導致了效能問題。
VNC 終端首先在沒有密碼的情況下以僅查看模式工作,然後我們「錯誤地」將它們切換到完全存取模式。
為了吸引攻擊者,我們在 PasteBin 上發布了兩篇帖子,其中包含有關可用工業系統的洩漏資訊。
在 PasteBin 上發布的帖子之一是為了吸引攻擊。 來源:趨勢科技
攻擊
蜜罐在線上生活了大約七個月。 第一次攻擊發生在蜜罐上線一個月後。
掃描儀
有大量來自知名公司掃描器的流量 - ip-ip、Rapid、Shadow Server、Shodan、ZoomEye 等。 它們的數量如此之多,我們不得不將它們的 IP 位址排除在分析之外:610 個中的 9452 個或所有唯一 IP 位址的 6,45% 屬於完全合法的掃描器。
騙子
我們面臨的最大風險之一是將我們的系統用於犯罪目的:透過訂戶帳戶購買智慧型手機、使用禮品卡兌現航空里程以及其他類型的詐欺行為。
礦工
我們系統的第一批訪客之一是一名礦工。 他在上面下載了門羅幣挖礦軟體。 由於生產力低下,他不可能在我們的特定係統上賺到很多錢。 然而,如果我們把幾十個甚至上百個這樣的系統的努力結合起來,結果可能會相當好。
勒索軟體
在蜜罐工作過程中,我們兩次都遇到過真正的勒索病毒。 第一個案例是《孤島危機》。 其操作員透過 VNC 登入系統,然後安裝 TeamViewer 並使用它執行進一步的操作。 在等待一條要求 10 美元 BTC 贖金的勒索消息後,我們與犯罪分子通信,要求他們為我們解密其中一個文件。 他們答應了要求,並再次提出贖金要求。 我們設法協商了 6 美元,之後我們只是將系統重新上傳到虛擬機,因為我們收到了所有必要的資訊。
第二個勒索軟體是 Phobos。 安裝它的駭客花了一個小時瀏覽蜜罐文件系統並掃描網絡,然後最終安裝了勒索軟體。
第三次勒索軟體攻擊被證明是假的。 一位身份不明的「駭客」將 haha.bat 檔案下載到我們的系統上,之後我們觀察了他一段時間,看他試圖讓它發揮作用。 其中一項嘗試是將 haha.bat 重命名為 haha.rnsmwr。
「駭客」透過將bat檔案的副檔名更改為.rnsmwr來增加其危害性。 來源:趨勢科技
當批次檔最終開始運行時,「駭客」對其進行了編輯,將贖金從 200 美元增加到 750 美元。 之後,他「加密」了所有文件,在桌面上留下勒索訊息後就消失了,並更改了我們VNC上的密碼。
幾天后,駭客回來了,為了提醒自己,啟動了一個批次文件,打開了許多帶有色情網站的視窗。 顯然,他試圖透過這種方式引起人們對他的要求的關注。
結果
研究發現,該漏洞資訊一經發布,蜜罐就引起了人們的關注,活動日益增加。 為了讓這個陷阱引起人們的注意,我們虛構的公司不得不遭受多次安全漏洞。 不幸的是,這種情況在許多沒有全職 IT 和資安員工的真實公司中並不罕見。
一般來說,組織應該使用最小特權原則,而我們卻實施了與之完全相反的原則來吸引攻擊者。 我們觀察攻擊的時間越長,與標準滲透測試方法相比,它們變得越複雜。
最重要的是,如果在設定網路時採取了足夠的安全措施,所有這些攻擊都會失敗。 組織必須確保其設備和工業基礎設施組件無法透過網路訪問,就像我們在陷阱中所做的那樣。
儘管我們沒有記錄到對工程師工作站的一次攻擊,儘管在所有電腦上使用相同的本地管理員密碼,但應該避免這種做法,以最大限度地減少入侵的可能性。 畢竟,薄弱的安全性會額外邀請攻擊工業系統,而網路犯罪分子長期以來一直對工業系統感興趣。
來源: www.habr.com