Get best of the week

魅力无穷:我们如何创造出无法暴露的羽绒服

图片
, - - — , « » . , : , . , , , . , , «Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats». — .

: -


创建我们的超级陷阱的主要任务是防止我们被对此感兴趣的黑客所暴露。为此,我必须做很多工作:

  1. 创建有关公司的逼真的图例,包括员工的姓名和照片,电话号码和电子邮件。
  2. 发明并实施与我们公司传奇相对应的工业基础设施模型。
  3. 确定哪些网络服务将在外部可用,但不参与打开易受攻击的端口,以使其看起来不像是老兄的陷阱。
  4. 组织有关易受攻击的系统的信息泄漏的外观,并在潜在的攻击者之间传播此信息。
  5. 在陷阱基础结构中实施对黑客的谨慎监视。

现在,首先是第一件事。

创建图例


网络犯罪分子已经习惯了他们会遭受很多操纵的事实,因此,他们中最高级的部分会对每个易受攻击的系统进行深入研究,以确保这不是陷阱。出于同样的原因,我们力求不仅在设计和技术方面实现罐头的真实性,而且要创造出一家真正的公司。

将自己置于假设的骗子手中,我们开发了一种验证算法,可以将真实系统与陷阱区分开。它包括在信誉系统中搜索公司IP地址,对IP地址的历史进行反向研究,搜索与公司及其对手方有关的名称和关键字以及许多其他事情。结果,这个传说变得非常具有说服力和吸引力。

我们决定将疏水阀工厂定位为小型工业原型精品店,为来自军事和航空领域的大量匿名客户服务。这消除了使用现有品牌带来的法律困难。

接下来,我们必须提出组织的愿景,使命和名称。我们决定,我们的公司将是一家只有少数员工的创业公司,每个员工都是创始人。这增加了我们业务专业化传奇的可信度,使其可以与大型和重要客户的精致项目一起工作。我们希望我们的公司在网络安全方面看起来很虚弱,但与此同时,很明显,我们正在使用目标系统中的重要资产。

图片
MeTech Hanipot网站的屏幕截图。资料来源:趋势科技,

我们选择MeTech作为公司名称。该网站是基于免费模板制作的。图像是从照片库中获取的,使用了最不受欢迎的图像并经过了精炼,使其难以识别。

我们希望公司看起来真实,因此我们必须添加具有与业务概况相对应的专业技能的员工。我们为他们想出了名字和个性,然后尝试根据他们的种族从照片库中选择图像。

图片
MeTech Hanipot网站的屏幕截图。来源:趋势科技

为了不向我们透露,我们一直在寻找高质量的集体照,以便可以从中选择所需的面孔。但是,后来我们放弃了此选项,因为潜在的黑客可以利用反向图像搜索的优势,发现我们的“雇员”只能住在照片库中。最后,我们利用了使用神经网络创建的不存在的人的照片。

该网站上发布的员工资料包含有关其技术技能的重要信息,但我们避免使用特定教育机构和城市的指示。
为了创建邮箱,我们使用了托管服务提供商的服务器,然后在美国租用了几个电话号码,并将它们组合成带有语音菜单和答录机的虚拟电话交换机。

Hanipot基础设施


为了避免暴露,我们决定结合使用实际的工业设备,物理计算机和安全的虚拟机。展望未来,我们说我们使用Shodan搜索引擎检查了我们的努力结果,他证明了养牛场看起来像一个真正的工业系统。

图片
使用Shodan扫描锅的结果。来源:趋势科技,

我们使用四个PLC作为陷阱的硬件:

  • 西门子S7-1200
  • 两个AllenBradley MicroLogix 1100,
  • 欧姆龙CP1L。

选择这些PLC是因为它们在控制系统的全球市场中很受欢迎。这些控制器中的每一个都使用自己的协议,这使我们能够检查哪些PLC会更频繁地受到攻击,并且从原则上讲它们是否会引起任何人的兴趣。

图片
我们“工厂”陷阱的设备。来源:趋势科技

我们不仅将铁片连接到互联网上。我们对每个控制器进行编程以执行任务,其中包括

  • 混合
  • 燃烧器和传送带控制
  • 使用机械手进行码垛。

为了使生产过程切实可行,我们对逻辑进行了编程,以随机更改反馈参数,模拟发动机的启动和停止,打开和关闭燃烧器。

我们的工厂有三台虚拟计算机和一台物理计算机。虚拟机用于控制工厂,码垛机器人以及PLC软件工程师的自动化工作场所。物理计算机充当文件服务器。

除了监视对PLC的攻击之外,我们还希望监视下载到设备中的程序的状态。为此,我们创建了一个界面,该界面使我们能够快速确定如何更改虚拟执行器和安装的状态。在计划阶段,我们已经发现,与直接对控制器逻辑进行编程相比,使用控制程序来实现它要容易得多。我们通过VNC无需密码即可打开对hanipot设备管理界面的访问。

工业机器人是现代智能制造的关键组成部分。在这方面,我们决定在工厂捕集阱的设备中添加一个机器人和AWP对其进行控制。为了使“工厂”更切合实际,我们在AWP控件上安装了真实的软件,工程师可以使用该软件对机器人逻辑进行图形化编程。好吧,由于工业机器人通常位于隔离的内部网络中,因此我们决定将不受保护的VNC访问仅留给工作站管理。

图片
具有我们机器人3D模型的RobotStudio环境。来源:趋势科技

在具有机器人控制工作站的虚拟机上,我们安装了ABB Robotics的RobotStudio编程环境。设置了RobotStudio之后,我们使用机器人在其中打开了一个仿真文件,以便在屏幕上可以看到其3D图像。结果,Shodan和其他搜索引擎发现了未受保护的VNC服务器,将从屏幕上接收此图像,并将其显示给正在寻找具有开放控制权的工业机器人的人。

对细节的这种关注的目的是为攻击者创建一个有吸引力且最现实的目标,他们一旦发现它,便会一次又一次地回到它的身上。

AWP工程师


为了对PLC逻辑进行编程,我们在基础架构中添加了工程计算机。已安装用于PLC编程的工业软件:

  • TIA西门子门户,
  • 适用于Allen-Bradley控制器的MicroLogix,
  • 欧姆龙CX-One。

我们决定无法通过网络访问工程工作站。取而代之的是,我们为其设置的管理员帐户密码与机器人控件的工作站和可从Internet访问的工厂工作站上的密码相同。这种配置在许多公司中非常普遍。
不幸的是,尽管我们竭尽全力,但没有一个攻击者达到了工程师的AWP。

文件服务器


我们需要它作为入侵者的诱饵,并作为在陷阱工厂中备份自己的“工作”的一种手段。这使我们可以使用USB设备与我们的Haniot共享文件,而不会在网络陷阱中留下任何痕迹。作为文件服务器的操作系统,我们安装了Windows 7 Pro,在其中我们使共享文件夹可访问,以便对任何人进行读写。

首先,我们没有在文件服务器上建立任何层次的文件夹和文档。但是,事实证明,攻击者正在积极研究此文件夹,因此我们决定用各种文件填充该文件夹。为此,我们编写了一个python脚本,该脚本创建了具有指定扩展名之一的随机大小的文件,并根据字典形成了一个名称。

图片
用于生成有吸引力的文件名的脚本。来源:趋势科技

运行脚本后,我们以文件夹的形式获得了期望的结果,该文件夹中填充了具有非常有趣名称的文件。

图片
脚本的结果。来源:趋势科技

监控环境


在创建一家现实的公司上花费了大量的精力之后,我们根本无力将自己注入到环境中来监视我们的“访客”。我们必须实时获取所有数据,以使攻击者不会注意到正在监视他们。

我们使用四个USB以太网适配器,四个SharkTap以太网耦合器,Raspberry Pi 3和一个大型外部驱动器来实现此目的。我们的网络方案如下所示:

图片
具有监控设备的hanipot网络方案。来源:趋势科技

我们安排了三个SharkTap分路器,以监视仅可从内部网络访问的所有外部PLC流量。第四个SharkTap跟踪了易受攻击的虚拟机的来宾流量。

图片
SharkTap以太网耦合器和Sierra无线AirLink RV50路由器。来源:趋势科技

Raspberry Pi每天捕获流量。我们使用工业企业中经常使用的Sierra Wireless AirLink RV50蜂窝路由器建立了Internet连接。

不幸的是,该路由器不允许选择性阻止不符合我们计划的攻击,因此我们以透明模式向网络添加了Cisco ASA 5505防火墙,以在对网络影响最小的情况下进行阻止。

流量分析


Tshark和tcpdump适用于快速解决当前问题,但是在我们的情况下,它们的功能还不够,因为我们有大量的千兆字节的流量,并由几个人进行了分析。我们使用了AOL开发的开源分析器Moloch。在功能方面,它可以与Wireshark相提并论,但是它具有用于协作,包的说明和标记,导出和其他任务的更多功能。

由于我们不想在hanipot计算机上处​​理收集到的数据,因此每天都将PCAP转储导出到AWS存储库中,而我们已经从那里将这些数据导入了Moloch。

屏幕录像


为了记录饼干在哈尼波特中的行为,我们编写了一个脚本,该脚本以给定的时间间隔拍摄了虚拟机的屏幕截图,并与之前的屏幕截图进行比较,确定那里是否发生了某些事情。当检测到活动时,脚本包括一个屏幕录像。事实证明,这种方法是最有效的。我们还尝试分析来自PCAP转储的VNC流量,以了解系统中发生了什么变化,但是最后,我们实现的屏幕记录变得更加简单和直观。

监控VNC会话


为此,我们使用了Chaosreader和VNCLogger。这两个实用程序都从PCAP转储中提取击键,但是VNCLogger更正确地处理了Backspace,Enter和Ctrl等键。

VNCLogger有两个缺点。首先:它只能通过“侦听”接口上的流量来提取密钥,因此我们不得不使用tcpreplay模拟它的VNC会话。VNCLogger的第二个缺点在Chaosreader中很常见:它们都不显示剪贴板的内容。为此,我不得不使用Wireshark。

诱骗黑客


我们创建了一个要攻击的锅。为了实现这一目标,我们进行了一次信息泄漏,旨在引起潜在黑客的注意。在hanipot上打开了以下端口:

图片

RDP端口必须在工作开始后不久关闭,因为由于我们网络中的大量扫描流量,因此存在性能问题。
VNC终端首先在没有密码的“仅查看”模式下工作,然后我们“错误地”将它们切换为完全访问模式。

为了吸引攻击者,我们在PasteBin上发布了两个帖子,其中包含有关可用工业系统的泄漏信息。

图片
张贴在PasteBin上的帖子之一是吸引攻击。来源:趋势科技

进攻


Hanipot在网上生活了大约七个月。第一次攻击发生在Hanipot在线发布一个月后。

扫描

仪来自ip-ip,Rapid,Shadow Server,Shodan,ZoomEye等知名公司的扫描仪流量很大。它们太多了,我们不得不从分析中排除它们的IP地址:在9452个中,有610个或6.45%的唯一IP地址属于完全合法的扫描程序。

诈骗者

我们不得不面对的最大风险之一是为犯罪目的使用我们的系统:买通过用户的帐户智能手机,套现航空里程与礼品卡和其他类型的欺诈

矿工

我们系统的首批访客之一是一名矿工。他向其中上传了Monero采矿软件。由于生产力低下,他将无法在我们的特定系统上赚很多钱。但是,如果我们结合数十个甚至数百个这样的系统的努力,结果可能会很好。

勒索者

在hanipot运行期间,我们两次遇到了真正的勒索软件病毒。第一种情况是《孤岛危机》。它的操作员通过VNC登录到系统,但随后安装了TeamViewer并已对其执行了进一步的操作。在等待勒索软件消息要求BTC赎金10,000美元之后,我们与犯罪分子通信,要求他们为我们解密其中一个文件。他们满足了要求,并再次要求赎金。我们设法讨价还价了6000美元,之后,我们简单地将系统重新加载到虚拟机上,因为我们获得了所有必要的信息。

第二种勒索软件是Phobos。安装了一个小时的黑客浏览了hanipot的文件系统并扫描了网络,然后仍然安装了勒索软件。
第三次勒索软件攻击原来是假的。一个未知的“黑客”将haha.bat文件下载到我们的系统中,之后我们观察了一段时间,他一直在努力使它工作。一种尝试是将haha.bat重命名为haha.rnsmwr。

图片
“黑客”会增加蝙蝠文件的危害性,将其扩展名更改为.rnsmwr。来源:趋势科技

当批处理文件最终开始运行时,黑客对其进行了编辑,将赎金从200美元提高到750美元。之后,他“加密”了所有文件,在桌面上留下了勒索软件消息,然后消失了,更改了我们的VNC上的密码。

几天后,黑客返回并提醒自己,他启动了一个批处理文件,该文件打开了许多带有色情网站的窗口。显然,他以这种方式试图引起人们对他需求的关注。

摘要


在研究期间,事实证明,有关漏洞的信息一经发布,汉尼拔锅就引起了人们的注意,并且活动日趋增多。为了使陷阱引起注意,我们不得不承认我们的虚构公司存在许多安全漏洞。不幸的是,这种情况在许多没有专职IT和信息安全人员的真实公司中绝非罕见。

在一般情况下,组织应该使用最小特权原则,而我们已经采取了完全相反的方式来吸引入侵者。而且,我们观察攻击的时间越长,与标准渗透测试方法相比,它们变得越复杂。

最重要的是:如果在建立网络时采取了适当的安全措施,所有这些攻击都将失败。组织必须确保不能像我们在陷阱中明确指出的那样,从Internet访问其设备和工业基础设施组件。

尽管尽管在所有计算机上都使用相同的本地管理员密码,但我们并未在工程师的工作站上记录一次攻击,但我们应避免这种做法,以最大程度地降低入侵者的可能性。确实,安全性差是攻击网络犯罪分子长期以来关注的工业系统的又一诱因。

More articles:


All Articles