Get best of the week

Unaussprechlich attraktiv: Wie wir einen Haniot geschaffen haben, der nicht entlarvt werden kann

Bild
, - - — , « » . , : , . , , , . , , «Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats». — .

: -


Die Hauptaufgabe bei der Erstellung unserer Superfalle bestand darin, zu verhindern, dass wir von Hackern entlarvt werden, die Interesse daran zeigten. Dazu musste ich viel arbeiten:

  1. Erstellen Sie eine realistische Legende über das Unternehmen, einschließlich Name und Foto der Mitarbeiter, Telefonnummern und E-Mails.
  2. Ein Modell der industriellen Infrastruktur zu erfinden und umzusetzen, das der Legende unseres Unternehmens entspricht.
  3. Entscheiden Sie, welche Netzwerkdienste außerhalb verfügbar sein sollen, aber beteiligen Sie sich nicht am Öffnen anfälliger Ports, damit diese nicht wie eine Falle für Coots aussehen.
  4. Organisieren Sie das Auftreten von Informationslecks über das anfällige System und verbreiten Sie diese Informationen unter potenziellen Angreifern.
  5. Implementieren Sie eine diskrete Überwachung von Hackern in der Trap-Infrastruktur.

Und jetzt das Wichtigste zuerst.

Eine Legende erstellen


Cyberkriminelle sind bereits daran gewöhnt, dass sie auf viele Manipulationen stoßen. Daher führt der am weitesten fortgeschrittene Teil von ihnen eine eingehende Untersuchung jedes anfälligen Systems durch, um sicherzustellen, dass dies keine Falle ist. Aus dem gleichen Grund haben wir uns bemüht, nicht nur den Realismus des Hanipot in Bezug auf Design und technische Aspekte zu erreichen, sondern auch das Erscheinungsbild eines echten Unternehmens zu schaffen.

Wir haben uns an die Stelle eines hypothetischen Kulhakers gesetzt und einen Verifizierungsalgorithmus entwickelt, der ein reales System von einer Falle unterscheidet. Dazu gehörte die Suche nach IP-Adressen von Unternehmen in Reputationssystemen, die umgekehrte Untersuchung der Geschichte von IP-Adressen, die Suche nach Namen und Schlüsselwörtern im Zusammenhang mit dem Unternehmen sowie seinen Gegenparteien und vielen anderen Dingen. Infolgedessen erwies sich die Legende als sehr überzeugend und attraktiv.

Wir haben uns entschlossen, die Fallenfabrik als kleine industrielle Prototyping-Boutique zu positionieren, die für sehr große anonyme Kunden aus dem Militär- und Luftfahrtsegment arbeitet. Dadurch wurden die rechtlichen Schwierigkeiten bei der Verwendung einer bestehenden Marke beseitigt.

Als nächstes mussten wir uns eine Vision, Mission und einen Namen der Organisation einfallen lassen. Wir haben beschlossen, dass unser Unternehmen ein Startup mit einer kleinen Anzahl von Mitarbeitern sein soll, von denen jeder Gründer ist. Dies fügte der Legende der Spezialisierung unseres Geschäfts Glaubwürdigkeit hinzu, die es ihm ermöglicht, mit heiklen Projekten für große und wichtige Kunden zu arbeiten. Wir wollten, dass unser Unternehmen in Bezug auf Cybersicherheit schwach aussieht, aber gleichzeitig war es offensichtlich, dass wir mit wichtigen Ressourcen in Zielsystemen arbeiten.

Bild
Screenshot der MeTech Hanipot-Site. Quelle: Trend Micro.

Wir haben das Wort MeTech als Firmennamen gewählt. Die Seite wurde auf Basis einer kostenlosen Vorlage erstellt. Die Bilder wurden aus Fotobanken aufgenommen, wobei die unbeliebtesten und raffiniertesten verwendet wurden, um sie weniger erkennbar zu machen.

Wir wollten, dass das Unternehmen real aussieht, deshalb mussten wir Mitarbeiter mit professionellen Fähigkeiten hinzufügen, die dem Profil des Unternehmens entsprechen. Wir haben uns Namen und Persönlichkeiten für sie ausgedacht und dann versucht, Bilder aus Fotobanken entsprechend ihrer ethnischen Zugehörigkeit auszuwählen.

Bild
Screenshot der MeTech Hanipot-Site. Quelle: Trend Micro

Um uns nicht preiszugeben, suchten wir nach qualitativ hochwertigen Gruppenfotos, aus denen wir die Gesichter auswählen konnten, die wir brauchten. Dann haben wir diese Option jedoch aufgegeben, da ein potenzieller Cracker die umgekehrte Bildsuche nutzen und feststellen könnte, dass unsere „Mitarbeiter“ nur in Fotobanken leben. Am Ende nutzten wir Fotos von nicht existierenden Personen, die mit neuronalen Netzen erstellt wurden.

Die auf der Website veröffentlichten Mitarbeiterprofile enthielten wichtige Informationen zu ihren technischen Fähigkeiten. Wir haben jedoch die Anweisungen bestimmter Bildungseinrichtungen und Städte vermieden.
Zum Erstellen von Postfächern haben wir den Server des Hosting-Anbieters verwendet, dann mehrere Telefonnummern in den USA gemietet und diese zu einer virtuellen Telefonzentrale mit einem Sprachmenü und einem Anrufbeantworter kombiniert.

Hanipot-Infrastruktur


Um nicht ausgesetzt zu werden, haben wir uns für eine Kombination aus realen Industrieanlagen, physischen Computern und sicheren virtuellen Maschinen entschieden. Mit Blick auf die Zukunft sagen wir, dass wir das Ergebnis unserer Bemühungen mit der Shodan-Suchmaschine überprüft haben, und er hat gezeigt, dass der Hanipot wie ein echtes Industriesystem aussieht.

Bild
Das Ergebnis des Scannens eines Hanipots mit Shodan. Quelle: Trend Micro.

Wir haben vier SPS als Hardware für unsere Falle verwendet:

  • Siemens S7-1200,
  • zwei AllenBradley MicroLogix 1100,
  • Omron CP1L.

Diese SPS wurden aufgrund ihrer Beliebtheit auf dem Weltmarkt für Steuerungssysteme ausgewählt. Und jeder dieser Controller verwendet sein eigenes Protokoll, mit dem wir überprüfen können, welche der SPSen häufiger angreifen und ob sie grundsätzlich jemanden interessieren.

Bild
Die Ausrüstung unserer "Fabrik" -Falle. Quelle: Trend Micro

Wir haben nicht nur Eisenstücke eingelegt und mit dem Internet verbunden. Wir haben jeden Controller so programmiert, dass er Aufgaben ausführt, darunter:

  • Mischen
  • Brenner- und Förderbandsteuerung,
  • Palettieren mit einem Roboterarm.

Um den Produktionsprozess realistisch zu gestalten, haben wir die Logik so programmiert, dass die Rückkopplungsparameter zufällig geändert, das Starten und Stoppen von Motoren sowie das Ein- und Ausschalten des Brenners simuliert werden.

Unsere Fabrik hatte drei virtuelle Computer und einen physischen. Die virtuellen Maschinen wurden zur Steuerung der Anlage, des Palettierroboters und als automatisierter Arbeitsplatz des SPS-Softwareentwicklers verwendet. Der physische Computer arbeitete als Dateiserver.

Neben der Überwachung von Angriffen auf die SPS wollten wir den Status von Programmen überwachen, die auf unsere Geräte heruntergeladen wurden. Zu diesem Zweck haben wir eine Schnittstelle erstellt, mit der wir schnell feststellen können, wie die Zustände unserer virtuellen Aktuatoren und Installationen geändert wurden. Bereits in der Planungsphase haben wir festgestellt, dass es viel einfacher ist, dies mit Hilfe eines Steuerprogramms umzusetzen als durch direkte Programmierung der Steuerlogik. Wir haben den Zugriff auf die Geräteverwaltungsoberfläche unseres Hanipots über VNC ohne Passwort geöffnet.

Industrieroboter sind eine Schlüsselkomponente der modernen intelligenten Fertigung. In diesem Zusammenhang haben wir beschlossen, einen Roboter und AWP hinzuzufügen, um ihn in der Ausrüstung unserer Fabrikfalle zu steuern. Um die "Fabrik" realistischer zu gestalten, haben wir echte Software auf der AWP-Steuerung installiert, mit der Ingenieure die Roboterlogik grafisch programmieren. Da sich Industrieroboter normalerweise in einem isolierten internen Netzwerk befinden, haben wir beschlossen, den ungeschützten VNC-Zugriff nur der Workstation-Verwaltung zu überlassen.

Bild
RobotStudio-Umgebung mit einem 3D-Modell unseres Roboters. Quelle: Trend Micro

Auf einer virtuellen Maschine mit einer Robotersteuerungs-Workstation haben wir die RobotStudio-Programmierumgebung von ABB Robotics installiert. Nachdem wir RobotStudio eingerichtet hatten, öffneten wir mit unserem Roboter eine Simulationsdatei, sodass das 3D-Bild auf dem Bildschirm sichtbar war. Infolgedessen erhalten Shodan und andere Suchmaschinen, die einen ungeschützten VNC-Server entdeckt haben, dieses Bild vom Bildschirm und zeigen es denjenigen, die nach Industrierobotern mit offenem Zugang zur Steuerung suchen.

Die Bedeutung dieser Liebe zum Detail bestand darin, ein attraktives und realistisches Ziel für Angreifer zu schaffen, die, nachdem sie es entdeckt hatten, immer wieder darauf zurückkommen würden.

AWP Ingenieur


Um die SPS-Logik zu programmieren, haben wir der Infrastruktur einen technischen Computer hinzugefügt. Darauf wurde eine industrielle Software für die SPS-Programmierung installiert:

  • TIA Portal für Siemens,
  • MicroLogix für Allen-Bradley-Controller,
  • CX-One für Omron.

Wir haben entschieden, dass die Engineering-Workstation außerhalb des Netzwerks nicht zugänglich ist. Stattdessen legen wir für das Administratorkonto das gleiche Kennwort fest wie auf den Arbeitsstationen der Robotersteuerung und den Arbeitsstationen der Fabrik, auf die über das Internet zugegriffen werden kann. Diese Konfiguration ist in vielen Unternehmen weit verbreitet.
Leider hat trotz aller Bemühungen kein einziger Angreifer die AWP des Ingenieurs erreicht.

Dateiserver


Wir brauchten es als Lockvogel für Eindringlinge und als Mittel, um unsere eigene „Arbeit“ in einer Fallenfabrik zu sichern. Dies ermöglichte es uns, Dateien mit unserem Haniot über USB-Geräte zu teilen, ohne Spuren in der Netzwerkfalle zu hinterlassen. Als Betriebssystem für den Dateiserver haben wir Windows 7 Pro installiert, in dem wir einen freigegebenen Ordner zum Lesen und Schreiben für jedermann zugänglich gemacht haben.

Zunächst haben wir keine Hierarchie von Ordnern und Dokumenten auf dem Dateiserver erstellt. Dann stellte sich jedoch heraus, dass die Angreifer diesen Ordner aktiv studierten, und wir beschlossen, ihn mit verschiedenen Dateien zu füllen. Zu diesem Zweck haben wir ein Python-Skript geschrieben, das eine Datei mit zufälliger Größe mit einer der angegebenen Erweiterungen erstellt und einen Namen basierend auf dem Wörterbuch gebildet hat.

Bild
Ein Skript zum Generieren attraktiver Dateinamen. Quelle: Trend Micro

Nach dem Ausführen des Skripts haben wir das gewünschte Ergebnis in Form eines Ordners erhalten, der mit Dateien mit sehr interessanten Namen gefüllt ist.

Bild
Das Ergebnis des Skripts. Quelle: Trend Micro

Überwachungsumgebung


Nachdem wir uns so viel Mühe gegeben hatten, ein realistisches Unternehmen zu schaffen, konnten wir es uns einfach nicht leisten, uns in die Umgebung zu injizieren, um unsere „Besucher“ zu überwachen. Wir mussten alle Daten in Echtzeit abrufen, damit die Angreifer nicht bemerkten, dass sie beobachtet wurden.

Wir haben dies mit vier USB-Ethernet-Adaptern, vier SharkTap-Ethernet-Kopplern, Raspberry Pi 3 und einem großen externen Laufwerk implementiert. Das Schema unseres Netzwerks sah folgendermaßen aus:

Bild
Schema eines Hanipot-Netzwerks mit Überwachungsgeräten. Quelle: Trend Micro

Wir haben drei SharkTap-Taps eingerichtet, um den gesamten externen Datenverkehr zu SPS zu überwachen, auf die nur über das interne Netzwerk zugegriffen werden kann. Der vierte SharkTap verfolgte den Datenverkehr der Gäste der anfälligen virtuellen Maschine.

Bild
SharkTap Ethernet-Koppler und Sierra Wireless AirLink RV50 Router. Quelle: Trend Micro

Raspberry Pi führte eine tägliche Erfassung des Datenverkehrs durch. Wir haben eine Internetverbindung mit dem Mobilfunkrouter Sierra Wireless AirLink RV50 hergestellt, der häufig in Industrieunternehmen verwendet wird.

Leider erlaubte dieser Router kein selektives Blockieren von Angriffen, die nicht unseren Plänen entsprachen. Daher haben wir dem Netzwerk die Cisco ASA 5505-Firewall in einem transparenten Modus hinzugefügt, um das Blockieren mit minimalen Auswirkungen auf das Netzwerk durchzuführen.

Verkehrsanalyse


Tshark und tcpdump eignen sich zur schnellen Lösung aktueller Probleme, aber in unserem Fall reichten ihre Fähigkeiten nicht aus, da wir viel Gigabyte Verkehr hatten, der von mehreren Personen analysiert wurde. Wir haben den von AOL entwickelten Open-Source-Analysator Moloch verwendet. In Bezug auf die Funktionalität ist es mit Wireshark vergleichbar, bietet jedoch mehr Funktionen für die Zusammenarbeit, Beschreibung und Kennzeichnung von Paketen, den Export und andere Aufgaben.

Da wir die gesammelten Daten auf den Hanipot-Computern nicht verarbeiten wollten, wurden PCAP-Dumps jeden Tag in das AWS-Repository exportiert, von wo wir sie bereits mit Moloch auf den Computer importiert haben.

Bildschirmaufnahme


Um die Aktionen von Crackern in unserem Hanipot zu dokumentieren, haben wir ein Skript geschrieben, das in einem bestimmten Intervall Screenshots der virtuellen Maschine erstellt und im Vergleich zum vorherigen Screenshot festgestellt hat, ob dort etwas passiert oder nicht. Wenn Aktivität erkannt wurde, enthielt das Skript eine Bildschirmaufzeichnung. Dieser Ansatz hat sich als der effektivste erwiesen. Wir haben auch versucht, den VNC-Verkehr vom PCAP-Dump zu analysieren, um zu verstehen, welche Änderungen im System aufgetreten sind. Am Ende erwies sich die von uns implementierte Bildschirmaufzeichnung jedoch als einfacher und visueller.

Überwachen von VNC-Sitzungen


Dafür haben wir Chaosreader und VNCLogger verwendet. Beide Dienstprogramme extrahieren Tastenanschläge aus dem PCAP-Speicherauszug, aber VNCLogger behandelt Tasten wie Rücktaste, Eingabetaste und Strg korrekter.

VNCLogger hat zwei Nachteile. Erstens: Es kann nur Schlüssel extrahieren, indem der Datenverkehr auf der Schnittstelle „abgehört“ wird. Daher mussten wir mit tcpreplay eine VNC-Sitzung dafür simulieren. Der zweite Nachteil von VNCLogger ist bei Chaosreader gleich: Beide zeigen den Inhalt der Zwischenablage nicht an. Dazu musste ich Wireshark verwenden.

Hacker anlocken


Wir haben einen Hanipot erstellt, der angegriffen werden soll. Um dies zu erreichen, haben wir ein Informationsleck inszeniert, das die Aufmerksamkeit potenzieller Cracker auf sich ziehen soll. Die folgenden Ports wurden auf dem Hanipot geöffnet:

Bild

Der RDP-Port musste kurz nach Arbeitsbeginn geschlossen werden, da aufgrund des enormen Scanverkehrs in unserem Netzwerk Leistungsprobleme auftraten.
VNC-Terminals arbeiteten zuerst im "Nur-Ansicht" -Modus ohne Passwort, und dann haben wir sie "fälschlicherweise" in den Vollzugriffsmodus geschaltet.

Um die Angreifer anzulocken, haben wir zwei Posts mit durchgesickerten Informationen über das verfügbare Industriesystem auf PasteBin veröffentlicht.

Bild
Einer der Beiträge auf PasteBin, um Angriffe anzuziehen. Quelle: Trend Micro

Anschläge


Der Hanipot lebte ungefähr sieben Monate online. Der erste Angriff erfolgte einen Monat nach der Veröffentlichung des Hanipot online.

Scanner

Es gab viel Verkehr von Scannern bekannter Unternehmen - IP-IP, Rapid, Shadow Server, Shodan, ZoomEye und andere. Es gab so viele von ihnen, dass wir ihre IP-Adressen von der Analyse ausschließen mussten: 610 von 9452 oder 6,45% aller eindeutigen IP-Adressen gehörten völlig legitimen Scannern.

Betrügern

Eines der größten Risiken , die wir zu Gesicht hatten , war die Verwendung unseres Systems für kriminelle Zwecke: Smartphones durch ein Teilnehmerkonto, Bargeld aus Airline - Meilen mit Geschenkkarten und andere Arten von Betrug kaufen

Miners

Einer der ersten Besucher unseres Systems war ein Bergmann. Er hat die Monero-Mining-Software hochgeladen. Aufgrund der geringen Produktivität hätte er mit unserem spezifischen System nicht viel verdienen können. Wenn wir jedoch die Anstrengungen mehrerer zehn oder sogar Hunderte solcher Systeme kombinieren, könnte dies recht gut ausfallen.

Erpresser

Während des Betriebs des Hanipot sind wir zweimal auf echte Ransomware-Viren gestoßen. Im ersten Fall war es Crysis. Die Bediener haben sich über VNC am System angemeldet, dann jedoch TeamViewer installiert und bereits weitere Aktionen damit ausgeführt. Nachdem wir auf eine Ransomware-Nachricht gewartet hatten, in der ein Lösegeld von 10.000 US-Dollar für BTC verlangt wurde, nahmen wir Kontakt mit den Kriminellen auf und baten sie, eine der Dateien für uns zu entschlüsseln. Sie erfüllten die Bitte und wiederholten die Lösegeldforderung. Wir haben es geschafft, bis zu 6.000 Dollar zu verhandeln. Danach haben wir das System einfach auf eine virtuelle Maschine neu geladen, weil wir alle notwendigen Informationen erhalten haben.

Die zweite Ransomware war Phobos. Der Hacker, der es eine Stunde lang installiert hat, hat das Dateisystem des Hanipot durchsucht, das Netzwerk gescannt und dann die Ransomware installiert.
Der dritte Ransomware-Angriff erwies sich als Fälschung. Ein unbekannter "Hacker" hat die Datei haha.bat auf unser System heruntergeladen. Danach haben wir einige Zeit beobachtet, wie er versucht hat, sie zum Laufen zu bringen. Ein Versuch war, haha.bat in haha.rnsmwr umzubenennen.

Bild
"Hacker" erhöht die Schädlichkeit der Bat-Datei und ändert ihre Erweiterung in .rnsmwr. Quelle: Trend Micro

Als die Batch-Datei endlich ausgeführt wurde, wurde sie vom Hacker bearbeitet und das Lösegeld von 200 USD auf 750 USD erhöht. Danach „verschlüsselte“ er alle Dateien, hinterließ eine Ransomware-Nachricht auf dem Desktop und verschwand, wobei er die Passwörter auf unserem VNC änderte.

Nach ein paar Tagen kehrte der Hacker zurück und um sich daran zu erinnern, startete er eine Batch-Datei, die viele Fenster mit einer Pornoseite öffnete. Anscheinend versuchte er auf diese Weise, auf seine Forderung aufmerksam zu machen.

Zusammenfassung


Während der Studie stellte sich heraus, dass der Hanipot die Aufmerksamkeit auf sich zog und die Aktivität von Tag zu Tag zunahm, sobald Informationen über die Sicherheitsanfälligkeit veröffentlicht wurden. Damit die Falle Aufmerksamkeit erregt, mussten wir viele Sicherheitsverletzungen unserer fiktiven Firma eingestehen. Leider ist diese Situation bei vielen echten Unternehmen, die kein Vollzeitpersonal für IT und Informationssicherheit haben, alles andere als selten.

Im Allgemeinen sollten Organisationen das Prinzip der geringsten Privilegien anwenden, während wir genau das Gegenteil implementiert haben, um Eindringlinge anzuziehen. Und je länger wir die Angriffe beobachteten, desto ausgefeilter wurden sie im Vergleich zu Standard-Penetrationstestmethoden.

Und vor allem: Alle diese Angriffe würden fehlschlagen, wenn beim Einrichten des Netzwerks angemessene Sicherheitsmaßnahmen getroffen würden. Unternehmen müssen sicherstellen, dass ihre Geräte und Komponenten der industriellen Infrastruktur nicht über das Internet zugänglich sind, wie wir es speziell in unserer Falle getan haben.

Obwohl wir keinen einzigen Angriff auf die Workstation des Ingenieurs aufgezeichnet haben, obwohl auf allen Computern dasselbe lokale Administratorkennwort verwendet wurde, sollten wir diese Vorgehensweise vermeiden, um die Möglichkeit von Eindringlingen zu minimieren. In der Tat dient schlechte Sicherheit als zusätzliche Aufforderung, industrielle Systeme anzugreifen, die für Cyberkriminelle seit langem von Interesse sind.

More articles:


All Articles