Статті

Ханипоты: что это и как поможет защитить производство от кибератак

19 марта, 2020. 09:03 По материалам Elcore Distribution
Инфраструктура крупных компаний и производственные мощности уже давно стали привлекательными целями для киберпреступников. Чтобы защититься от атак, необходимо хорошо знать методы злоумышленников, которые меняются и совершенствуются вместе с инструментами защиты. И одним из способов «заглянуть в голову» хакеров стало применение ханипотов.

Вредоносная программа Stuxnet, предназначенная для атак на системы SCADA (системы диспетчерского управления и сбора данных), Triton/Trisis, способный брать под контроль промышленные системы безопасности, которые должны предотвращать внештатные ситуации на производстве и обеспечивать аварийное отключение систем, атаки на критическую инфраструктуру компаний при помощи вируса-вымогателя WannaCry в 2017 году — появление всех этих угроз дало хакерам возможность брать в заложники и разрушать не только учётные данные пользователей и конфиденциальную информацию, но и физическую инфраструктуру жертв. По оценкам IBM, только за первую половину 2019 года частота подобных атак выросла на 200% по сравнению с показателями 2018 года, причём около 50% пришлось на производственный и образовательный секторы, а также нефтегазовую промышленность. Вместе с количеством атак увеличились и средние убытки, которые могут достигать 239 млн долларов США, то есть в 60 раз больше, чем при утечке пользовательских данных.

Чтобы более эффективно бороться с атаками, нужно, помимо прочего, понимать, как действуют атакующие. Для этого и применяются ханипоты (от англ. honeypot — горшочек с мёдом).

Что такое ханипот?

В самом широком смысле, ханипот — это ресурс (программа или программно-аппаратный комплекс), который привлекает внимание хакеров своей относительной незащищённостью и содержит информацию, интересную злоумышленникам, например, пароли от учётных записей пользователей или способ подключиться к сетевой инфраструктуре компании. Ханипоты относятся к пассивным методам защиты корпоративной инфраструктуры, поскольку они не предотвращают атаки киберпреступников и никак не препятствуют реальному проникновению. Их цель — сбор данных о методах, которые применяют хакеры для атаки, и сигнализация отделам ИБ о том, что определённые направления информационной безопасности необходимо срочно усилить, чтобы избежать уже реальных атак.

Далее мы рассмотрим пример, предложенный специалистами по информационной безопасности из Trend Micro, которые создали ханипот для анализа векторов атак на промышленный объект. В их случае приманкой для хакеров выступила подставная компания, которая производит работы для крупного производственного предприятия, но якобы не способна обеспечить их полноценную защиту.

Это — далеко не первое подобное исследование Trend Micro: компания создавала ханипоты для анализа атак на промышленные объекты в 2013 и в 2015 годах, и с каждым разом стремилась добиться всё большей реалистичности, чтобы злоумышленники (и даже специалисты по ИТ-безопасности и управляющим системам) не смогли отличить их проект от реального. 

Как это работает?

После тщательной разработки концепции специалисты Trend Micro приступили непосредственно к созданию ханипота. Инфраструктура системы отслеживания атак состояла из мини-ПК Raspberry Pi 3, четырёх сетевых USB-адаптеров, четырёх перехватчиков сетевого трафика SharkTap Ethernet и внешнего жёсткого диска большого объёма. Перехватчики были подключены к четырём конкретным участкам сети, отмеченным на рисунке ниже.

tm1

Рис. 1. Полная схема ханипота. Красным отмечены места внедрения перехватчиков сетевого трафика. Источник (здесь и далее): Trend Micro

Перехватчики, подключенные к трём PLC (программируемые промышленные контроллеры, которые симулировали производственную линию) с выходом в интернет, позволили получать данные о внешнем трафике, при этом доступ к четвёртому контроллеру был возможен только из локальной сети «компании», которую реализовала машина VirtualBox. За регулярное (раз в суточный цикл) сохранение данных и их частичный анализ отвечал Raspberry Pi 3, но для более детального анализа они впоследствии направлялись на дополнительный сервер. Подключение к сети интернет осуществлялось при помощи роутера Sierra Wireless AirLink RV50, так как он и предыдущая модель в этой же линейке наиболее часто используются на территории США и их применение не вызвало бы подозрения у хакеров.

В качестве файрвола выступил Cisco ASA 5505 с поддержкой прозрачного режима, что позволило блокировать и предотвращать атаки, не интересные исследователям Trend Micro.  

tm2

Рис. 2. Таблицы доступа, которые использовались для настроек сети ханипота

В числе инструментов для анализа и перехвата трафика использовались специальные скрипты, которые позволили получать ежедневные отчёты и статистику о действиях злоумышленников. Всего применялось три скрипта: один для сбора данных (включая IP и DNS-адреса) о подключениях к контроллерам и системе VirtualBox, второй для сбора аналогичных данных в случае взаимодействия с внешними ресурсами и третий — для оценки частоты подключения повторяющихся IP-адресов к инфраструктуре ханипота.

tm3

Рис. 3 Пример работы скрипта, получающего данные об IP-адресах

Последующий более подробный анализ сетевого трафика проводился при помощи ПО с открытым исходным кодом Moloch, созданного AOL, которое было выбрано специалистами Trend Micro из-за большого набора функций и инструментов, полезных при совместной работе над проектом. Данные для этого процесса выгружались на сервер AWS на ежедневной основе.

tm4

Рис. 4. Пример интерфейса ПО Moloch (взят с сайта проекта, чтобы избежать раскрытия данных о проекте)

Также в ходе исследования специальный скрипт делал скриншоты экрана VirtualBox, чтобы определить, вносились ли «гостями» системы какие-либо изменения, и записать их действия для последующей оценки, а система VNC (Virtual Network Computing, приложение для удалённого доступа к рабочему столу) и логи от роутера, файрвола и других устройств помогли получить информацию о сессиях удалённого доступа к ханипоту.

tm5

Рис. 5. Примеры сообщений, полученных при помощи роутера и файрвола

Итоги исследования

В ходе исследования специалисты Trend Micro несколько раз меняли стратегию поведения ханипота, открывая различные порты, «случайно» допуская ошибки при настройке систем удалённого доступа к рабочему столу и даже изображая жертву успешной атаки при помощи вредоносного ПО, чтобы выгрузить интересную хакерам информацию об инфраструктуре «компании» в Сеть. В результате первая атака на ханипот произошла всего через месяц после начала его функционирования. Это показывает, насколько быстро киберпреступники могут получить информацию о новой незащищённой жертве, и подтверждает их повышенный интерес к объектам промышленной инфраструктуры. В результате эксперимента Trend Micro были получены ценные данные о векторах атак на подобные предприятия, среди которых была попытка заражения ПО для майнинга криптовалюты, две атаки вирусов-вымогателей и одна попытка создания видимости поведения программы-вымогателя, а также множество случаев сканирования инфраструктуры.

Как отмечается в исследовании, многих атак удалось бы избежать, если бы инфраструктура компании была защищена на достаточном уровне. Учитывая, что для своего эксперимента Trend Micro выбрала наиболее типичные и распространённые в этой сфере уязвимости, чтобы не вызвать подозрения у хакеров, реальная ситуация требует крайне серьёзного и комплексного подхода.

Хакеры постоянно совершенствуют свои методы атак, и ханипоты — это только метод пассивной обороны и сбора данных, хотя недооценивать их важность для понимания инструментария киберпреступника тоже не стоит.

Более подробная информация об эксперименте доступна в полном тексте исследования.

Компания Elcore Distribution, официальный дистрибьютор Trend Micro на территории Украины, открыта к сотрудничеству и готова  к совместной работе по внедрению продуктов Trend Micro!

https://elcore.ua/vendors/

elcore_set_02_01_01
Комментарии: