Get best of the week

جاذبية لا يمكن التعبير عنها: كيف ابتكرنا هانيوت لا يمكن كشفه

صورة
, - - — , « » . , : , . , , , . , , «Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats». — .

: -


كانت المهمة الرئيسية في إنشاء فخنا الفائق هي منعنا من التعرض من قبل المتسللين الذين أظهروا اهتمامًا به. للقيام بذلك ، كان علي القيام بالكثير من العمل:

  1. قم بإنشاء أسطورة واقعية حول الشركة ، بما في ذلك اسم وصورة الموظفين وأرقام الهواتف ورسائل البريد الإلكتروني.
  2. ابتكار وتنفيذ نموذج للبنية التحتية الصناعية يتوافق مع أسطورة شركتنا.
  3. حدد خدمات الشبكة التي ستكون متاحة بالخارج ، ولكن لا تشارك في فتح المنافذ المعرضة للخطر بحيث لا تبدو وكأنها فخًا للمغصنات.
  4. تنظيم ظهور تسرب المعلومات حول النظام الضعيف ونشر هذه المعلومات بين المهاجمين المحتملين.
  5. تنفيذ مراقبة سرية للمتسللين في البنية التحتية للصيد.

والآن ، أول شيء أولاً.

خلق أسطورة


اعتاد مجرمو الإنترنت بالفعل على حقيقة أنهم يواجهون الكثير من التلاعبات ، لذا فإن الجزء الأكثر تقدمًا منهم يجري دراسة متعمقة لكل نظام ضعيف للتأكد من أن هذا ليس فخًا. وللسبب نفسه ، سعينا لتحقيق ليس فقط خنفساء واقعية من حيث التصميم والجوانب التقنية ، ولكن أيضًا لخلق مظهر شركة حقيقية.

بوضع أنفسنا في مكان kulhacker الافتراضي ، طورنا خوارزمية تحقق من شأنها أن تميز نظامًا حقيقيًا عن فخ. تضمن البحث عن عناوين IP للشركة في أنظمة السمعة ، والبحث العكسي في تاريخ عناوين IP ، والبحث عن الأسماء والكلمات الرئيسية المتعلقة بالشركة ، وكذلك نظرائها وأشياء أخرى كثيرة. ونتيجة لذلك ، تبين أن الأسطورة مقنعة وجذابة للغاية.

قررنا وضع مصنع المصيدة كمتجر صغير للنماذج الصناعية ، والعمل مع عملاء مجهولين كبير جدًا من القطاع العسكري والطيران. هذا يزيل الصعوبات القانونية المرتبطة باستخدام علامة تجارية موجودة.

بعد ذلك ، كان علينا أن نخرج برؤية ورسالة واسم للمنظمة. قررنا أن تكون شركتنا شركة ناشئة مع عدد قليل من الموظفين ، كل منهم مؤسس. وقد أضاف هذا المصداقية إلى أسطورة التخصص في أعمالنا ، مما يسمح لها بالعمل مع المشاريع الدقيقة للعملاء الكبار والمهمين. أردنا أن تبدو شركتنا ضعيفة من حيث الأمن السيبراني ، ولكن في نفس الوقت كان من الواضح أننا كنا نعمل مع أصول مهمة في الأنظمة المستهدفة.

صورة
لقطة شاشة لموقع MeTech Hanipot. المصدر: Trend Micro

اخترنا كلمة MeTech كاسم الشركة. تم إنشاء الموقع على أساس قالب مجاني. تم التقاط الصور من بنوك الصور ، وذلك باستخدام أكثرها شعبية وغير مصقولة لجعلها أقل تمييزًا.

أردنا أن تبدو الشركة حقيقية ، لذلك اضطررنا إلى إضافة موظفين يتمتعون بمهارات مهنية تتناسب مع الملف الشخصي للنشاط التجاري. توصلنا إلى أسماء وشخصيات لهم ، ثم حاولنا اختيار صور من بنوك الصور وفقًا لعرقهم.

صورة
لقطة شاشة لموقع MeTech Hanipot. المصدر: Trend Micro

لكي لا تكشف لنا ، كنا نبحث عن صور جماعية جيدة الجودة يمكننا من خلالها اختيار الوجوه التي نحتاجها. ومع ذلك ، فقد تخلينا عن هذا الخيار ، حيث يمكن أن يستغل التكسير المحتمل البحث العكسي للصور ويجد أن "موظفينا" يعيشون في بنوك الصور فقط. في النهاية ، استفدنا من صور الأشخاص غير الموجودين الذين تم إنشاؤها باستخدام الشبكات العصبية.

تضمنت ملفات تعريف الموظفين المنشورة على الموقع معلومات مهمة حول مهاراتهم الفنية ، لكننا تجنبنا تعليمات مؤسسات تعليمية ومدن محددة.
لإنشاء صناديق بريد ، استخدمنا خادم موفر الاستضافة ، ثم استأجرنا عدة أرقام هواتف في الولايات المتحدة الأمريكية ودمجناها في تبادل هاتف افتراضي بقائمة صوتية وآلة رد.

البنية التحتية Hanipot


لتجنب التعرض ، قررنا استخدام مجموعة من المعدات الصناعية الحقيقية وأجهزة الكمبيوتر المادية والأجهزة الافتراضية الآمنة. بالنظر إلى المستقبل ، نقول إننا فحصنا نتيجة جهودنا باستخدام محرك بحث Shodan ، وأظهر أن الهاني بوت يشبه نظامًا صناعيًا حقيقيًا.

صورة
نتيجة مسح الهاني بوت باستخدام شودان. المصدر: Trend Micro ،

لقد استخدمنا أربعة أجهزة تحكم منطقية قابلة للبرمجة (PLCs) كجهاز لفخنا:

  • سيمنز S7-1200 ،
  • اثنان AllenBradley MicroLogix 1100 ،
  • اومرون CP1L.

تم اختيار هذه PLCs لشعبيتها في السوق العالمية لأنظمة التحكم. وتستخدم كل من وحدات التحكم هذه بروتوكولها الخاص بها ، والذي يسمح لنا بالتحقق من أي من PLCs ستهاجم في كثير من الأحيان وما إذا كانت ستهتم بأحد من حيث المبدأ.

صورة
معدات لدينا مصنع "مصيدة". المصدر: Trend Micro

لم نضع قطع من الحديد فقط وربطناها بالإنترنت. قمنا ببرمجة كل وحدة تحكم لأداء المهام ، من بينها

  • خلط
  • الموقد والتحكم في حزام النقل ،
  • البليت باستخدام ذراع آلي.

ولجعل عملية الإنتاج واقعية ، قمنا ببرمجة المنطق لتغيير معلمات التغذية المرتدة بشكل عشوائي ، ومحاكاة بدء المحركات وإيقافها ، وتشغيل الموقد وإيقاف تشغيله.

كان مصنعنا يحتوي على ثلاثة أجهزة كمبيوتر افتراضية وجهاز واحد. تم استخدام الآلات الافتراضية للتحكم في المصنع ، والروبوت المنصة ، وكأماكن عمل آلية لمهندس برمجيات PLC. عمل الكمبيوتر الفعلي كخادم ملفات.

بالإضافة إلى مراقبة الهجمات على PLC ، أردنا مراقبة حالة البرامج التي تم تنزيلها على أجهزتنا. للقيام بذلك ، أنشأنا واجهة تسمح لنا بتحديد كيفية تعديل حالات مشغلاتنا الافتراضية وتركيباتنا بسرعة. لقد وجدنا بالفعل في مرحلة التخطيط أن تنفيذ ذلك بمساعدة برنامج التحكم أسهل بكثير من خلال البرمجة المباشرة لمنطق التحكم. لقد فتحنا الوصول إلى واجهة إدارة الجهاز الخاصة بـ Hanipot عبر VNC بدون كلمة مرور.

الروبوتات الصناعية هي عنصر رئيسي في التصنيع الذكي الحديث. في هذا الصدد ، قررنا إضافة روبوت و AWP للسيطرة عليه في معدات المصنع. لجعل "المصنع" أكثر واقعية ، قمنا بتثبيت برنامج حقيقي على عنصر تحكم AWP ، والذي يستخدمه المهندسون لبرمجة منطق الروبوت. حسنًا ، نظرًا لأن الروبوتات الصناعية عادةً ما تكون موجودة في شبكة داخلية معزولة ، قررنا ترك الوصول غير المحمي VNC فقط إلى إدارة محطة العمل.

صورة
بيئة RobotStudio مع نموذج ثلاثي الأبعاد للروبوت الخاص بنا. المصدر: Trend Micro

على جهاز افتراضي مزود بمحطة عمل للتحكم في الروبوت ، قمنا بتثبيت بيئة برمجة RobotStudio من ABB Robotics. بعد إعداد RobotStudio ، فتحنا فيه ملف محاكاة مع الروبوت الخاص بنا بحيث تكون صورته ثلاثية الأبعاد مرئية على الشاشة. ونتيجة لذلك ، ستحصل شودان ومحركات البحث الأخرى ، بعد اكتشاف خادم VNC غير المحمي ، على هذه الصورة من الشاشة وعرضها على أولئك الذين يبحثون عن روبوتات صناعية ذات وصول مفتوح للتحكم.

كان معنى هذا الاهتمام بالتفاصيل هو إنشاء هدف جذاب وأكثر واقعية للمهاجمين الذين ، بعد اكتشافهم ، سيعودون إليه مرارًا وتكرارًا.

مهندس AWP


لبرمجة منطق PLC ، أضفنا كمبيوتر هندسي إلى البنية التحتية. تم تثبيت برنامج صناعي لبرمجة PLC عليه:

  • بوابة TIA لشركة سيمنز ،
  • MicroLogix للتحكم ألن برادلي ،
  • CX-One لأومرون.

قررنا أن محطة العمل الهندسية لن تكون متاحة خارج الشبكة. بدلاً من ذلك ، قمنا بتعيين نفس كلمة المرور لحساب المسؤول عليه كما هو الحال في محطات عمل التحكم الآلي ومحطات عمل المصنع التي يمكن الوصول إليها من الإنترنت. هذا التكوين شائع جدًا في العديد من الشركات.
للأسف ، على الرغم من كل جهودنا ، لم يصل مهاجم واحد إلى AWP للمهندس.

خادم الملفات


كنا نحتاجه كخدعة للمتسللين وكوسيلة لدعم "عملنا" في مصنع الفخاخ. سمح لنا هذا بمشاركة الملفات مع هانيوت باستخدام أجهزة USB ، دون ترك أي أثر في فخ الشبكة. بصفتنا نظام التشغيل لخادم الملفات ، قمنا بتثبيت Windows 7 Pro ، حيث جعلنا مجلدًا مشتركًا يمكن الوصول إليه للقراءة والكتابة لأي شخص.

في البداية ، لم نقم بعمل أي تسلسل هرمي للمجلدات والمستندات على خادم الملفات. ومع ذلك ، اتضح بعد ذلك أن المهاجمين كانوا يدرسون بنشاط هذا المجلد ، لذلك قررنا ملؤه بملفات مختلفة. للقيام بذلك ، كتبنا نصًا ثعبانيًا أنشأ ملفًا بحجم عشوائي مع أحد الامتدادات المحددة ، لتشكيل اسم بناءً على القاموس.

صورة
برنامج نصي لإنشاء أسماء ملف جذابة. المصدر: Trend Micro

بعد تشغيل البرنامج النصي ، حصلنا على النتيجة المرجوة في شكل مجلد مليء بالملفات ذات الأسماء المثيرة للاهتمام.

صورة
نتيجة البرنامج النصي. المصدر: Trend Micro

بيئة المراقبة


بعد أن بذلنا الكثير من الجهد في إنشاء شركة واقعية ، لم نتمكن ببساطة من دفع أنفسنا إلى البيئة لمراقبة "زوارنا". كان علينا الحصول على جميع البيانات في الوقت الحقيقي حتى لا يلاحظ المهاجمون أنهم قيد المراقبة.

قمنا بتنفيذ ذلك باستخدام أربعة محولات USB-Ethernet وأربعة SharkTap Ethernet-couplers و Raspberry Pi 3 ومحرك خارجي كبير. يبدو مخطط شبكتنا كما يلي:

صورة
مخطط شبكة هانيبوت مع معدات المراقبة. المصدر: Trend Micro

لقد قمنا بترتيب ثلاث نقرات SharkTap لمراقبة كل حركة المرور الخارجية إلى PLCs التي يمكن الوصول إليها فقط من الشبكة الداخلية. وتتبّع SharkTap الرابع حركة مرور ضيوف الجهاز الافتراضي الضعيفة.

صورة
مقرنة SharkTap Ethernet وجهاز التوجيه اللاسلكي AirLink RV50 من Sierra. المصدر: قامت Trend Micro

Raspberry Pi بالتقاط يومي لحركة المرور. أنشأنا اتصالاً بالإنترنت باستخدام جهاز التوجيه الخلوي Sierra Wireless AirLink RV50 ، والذي يُستخدم غالبًا في المؤسسات الصناعية.

لسوء الحظ ، لم يسمح جهاز التوجيه هذا بالحظر الانتقائي للهجمات التي لا تلبي خططنا ، لذلك أضفنا جدار الحماية Cisco ASA 5505 إلى الشبكة في وضع شفاف لإجراء حظر بأقل تأثير على الشبكة.

تحليل حركة المرور


Tshark و tcpdump مناسبان لحل المشكلات الحالية بسرعة ، ولكن في حالتنا لم تكن قدراتهما كافية ، حيث كان لدينا الكثير من الجيجابايت من حركة المرور ، والتي تم تحليلها من قبل العديد من الأشخاص. استخدمنا محلل المصادر المفتوحة مولوخ الذي طورته AOL. من حيث الوظائف ، فهي قابلة للمقارنة مع Wireshark ، ولكن لديها المزيد من الميزات للتعاون ووصف ووضع العلامات على الحزم والتصدير وغيرها من المهام.

نظرًا لأننا لم نرغب في معالجة البيانات التي تم جمعها على أجهزة كمبيوتر hanipot ، فقد تم تصدير مكبات PCAP إلى AWS كل يوم ، حيث استوردناها بالفعل إلى الجهاز باستخدام Moloch.

تسجيل الشاشة


لتوثيق إجراءات البسكويت في هانيبوت ، كتبنا نصًا برمجيًا أخذ لقطات شاشة للجهاز الظاهري في فترة زمنية معينة ، ومقارنتًا بلقطة الشاشة السابقة ، حددنا ما إذا كان هناك شيء ما يحدث أم لا. عندما تم الكشف عن النشاط ، تضمن البرنامج النصي تسجيل شاشة. وقد أثبت هذا النهج أنه الأكثر فعالية. لقد حاولنا أيضًا تحليل حركة مرور VNC من ملف تفريغ PCAP لفهم التغييرات التي حدثت في النظام ، ولكن في النهاية ، تبين أن تسجيل الشاشة الذي قمنا بتطبيقه أصبح أبسط وأكثر مرئية.

مراقبة جلسات VNC


لهذا ، استخدمنا Chaosreader و VNCLogger. تستخرج كلتا الأداتين ضغطات المفاتيح من تفريغ PCAP ، لكن VNCLogger يعالج مفاتيح مثل Backspace و Enter و Ctrl بشكل صحيح.

لدى VNCLogger عيبان. أولاً: يمكنه فقط استخراج المفاتيح عن طريق "الاستماع" لحركة المرور على الواجهة ، لذلك كان علينا محاكاة جلسة VNC لذلك باستخدام tcpreplay. العيب الثاني لـ VNCLogger شائع مع Chaosreader: كلاهما لا يعرضان محتويات الحافظة. للقيام بذلك ، كان علي استخدام Wireshark.

إغراء المتسللين


أنشأنا هانيبوت لنهاجم. لتحقيق ذلك ، قمنا بتسريب معلومات مصممة لجذب انتباه المفرقعات المحتملة. تم فتح المنافذ التالية على hanipot:

صورة

كان لا بد من إغلاق منفذ RDP بعد وقت قصير من بدء العمل ، نظرًا لوجود عدد كبير من عمليات مسح حركة المرور في شبكتنا ، كانت هناك مشاكل في الأداء.
عملت محطات VNC أولاً في وضع "العرض فقط" بدون كلمة مرور ، ثم قمنا "عن طريق الخطأ" بتبديلها إلى وضع الوصول الكامل.

لجذب المهاجمين ، نشرنا منشورتين بمعلومات مسربة عن النظام الصناعي المتاح على PasteBin.

صورة
إحدى المشاركات المنشورة على PasteBin لجذب الهجمات. المصدر: Trend Micro

الهجمات


عاش Hanipot على الإنترنت لمدة سبعة أشهر. وقع الهجوم الأول بعد شهر من إطلاق سراح Hanipot على الإنترنت.

الماسحات الضوئية

كان هناك الكثير من حركة المرور من الماسحات الضوئية من شركات معروفة - ip-ip و Rapid و Shadow Server و Shodan و ZoomEye وغيرها. كان هناك الكثير منهم لدرجة أنه كان علينا استبعاد عناوين IP الخاصة بهم من التحليل: 610 من أصل 9452 أو 6.45٪ من جميع عناوين IP الفريدة تنتمي إلى الماسحات الضوئية الشرعية تمامًا.

المحتالون كان

أحد أكبر المخاطر التي كان علينا مواجهتها هو استخدام نظامنا لأغراض إجرامية: شراء الهواتف الذكية من خلال حساب المشترك ، وصرف أميال طيران مع بطاقات الهدايا وأنواع أخرى من عمال المناجم الاحتياليين



تبين أن أحد الزائرين الأوائل لنظامنا هو عامل منجم. قام بتحميل برنامج التعدين Monero إليها. لم يكن ليتمكن من كسب الكثير على نظامنا المحدد بسبب انخفاض الإنتاجية. ومع ذلك ، إذا دمجنا جهود عدة عشرات أو حتى مئات من هذه الأنظمة ، فقد تتحول بشكل جيد.

المبتزون

أثناء تشغيل hanipot ، واجهنا مرتين فيروسات برامج الفدية الحقيقية. في الحالة الأولى ، كان Crysis. قام مشغلوها بتسجيل الدخول إلى النظام من خلال VNC ، لكنهم قاموا بعد ذلك بتثبيت برنامج TeamViewer وقاموا بالفعل بإجراء المزيد من الإجراءات معه. بعد انتظار رسالة فدية تطالب بفدية بقيمة 10،000 دولار في BTC ، دخلنا في مراسلات مع المجرمين ، مطالبينهم بفك تشفير أحد الملفات بالنسبة لنا. لقد استوفوا الطلب وكرروا طلب الفدية. تمكنا من المساومة حتى 6 آلاف دولار ، وبعد ذلك قمنا ببساطة بإعادة تحميل النظام على جهاز افتراضي ، لأننا حصلنا على جميع المعلومات اللازمة.

كان برنامج الفدية الثاني فوبوس. قام القراصنة الذين قاموا بتثبيتها لمدة ساعة بالبحث في نظام الملفات في hanipot وفحصوا الشبكة ، ثم استمروا في تثبيت برنامج الفدية.
اتضح أن هجوم الفدية الثالث مزيف. قام "هاكر" غير معروف بتنزيل ملف haha.bat على نظامنا ، وبعد ذلك شاهدنا لبعض الوقت كيف كان يحاول أن ينجح. محاولة واحدة لإعادة تسمية haha.bat إلى haha.rnsmwr.

صورة
يزيد "Hacker" من ضرر ملف الخفافيش ، ويغير امتداده إلى .rnsmwr. المصدر: Trend Micro

عندما بدأ تشغيل الملف الدفعي أخيرًا ، قام الهاكر بتحريره ، وزاد الفدية من 200 دولار إلى 750 دولارًا. بعد ذلك ، "قام بتشفير" جميع الملفات ، وترك رسالة الفدية على سطح المكتب واختفى ، وتغيير كلمات المرور على VNC.

بعد يومين ، عاد المخترق لتذكير نفسه ، أطلق ملف دفعي ، فتح العديد من النوافذ بموقع إباحي. على ما يبدو ، بهذه الطريقة حاول لفت الانتباه إلى طلبه.

ملخص


خلال الدراسة ، اتضح أنه بمجرد نشر المعلومات حول الثغرة الأمنية ، جذبت الزهرة الانتباه ، ونما النشاط يومًا بعد يوم. لكي يجذب الفخ الانتباه ، كان علينا أن نعترف بالعديد من الانتهاكات الأمنية لشركتنا الخيالية. لسوء الحظ ، لا يعد هذا الموقف نادرًا بين العديد من الشركات الحقيقية التي ليس لديها موظفون في مجال تكنولوجيا المعلومات وأمن المعلومات بدوام كامل.

في الحالة العامة ، يجب على المنظمات استخدام مبدأ الأقل امتيازًا ، بينما قمنا بتنفيذ العكس تمامًا لجذب المتسللين. وكلما شاهدنا الهجمات لفترة أطول ، أصبحت أكثر تعقيدًا مقارنة بطرق اختبار الاختراق القياسية.

والأهم من ذلك: ستفشل كل هذه الهجمات إذا تم تنفيذ إجراءات أمنية مناسبة عند إنشاء الشبكة. يجب على المؤسسات التأكد من أن معداتها ومكونات البنية التحتية الصناعية الخاصة بها لا يمكن الوصول إليها من الإنترنت ، كما فعلنا على وجه التحديد في فخنا.

على الرغم من أننا لم نسجل هجومًا واحدًا على محطة عمل المهندس ، على الرغم من استخدام نفس كلمة مرور المسؤول المحلي على جميع أجهزة الكمبيوتر ، يجب أن نتجنب هذه الممارسة لتقليل احتمالية المتسللين. والواقع أن ضعف الأمن بمثابة دعوة إضافية لمهاجمة الأنظمة الصناعية التي طالما كانت ذات أهمية لمجرمي الإنترنت.

More articles:


All Articles