10 000 ataków w dwa tygodnie, czyli jak chronić swoją sieć przy użyciu honeypotów

Poniżej przedstawiamy Wam artykuł, z którego dowiecie się czym są honeypoty i jak można je wykorzystać do ochrony sieci i zbierania danych na temat złośliwego oprogramowania i atakujących, którzy czają się na Wasze dane. W treści artykułu znajduje się też opis dwutygodniowego eksperymentu z użyciem honeypotów do ochrony testowej sieci. Zgadnijcie jaki protokół był najczęściej atakowany, co było najpopularniejszym wektorem ataku i ile końcówek botnetu probowało przez ten czas dobrać się do testowej sieci. Artykuł jest z gatunku tych dłuższych, ale mocno polecamy jego uważną lekturę — pomiędzy akapitami linkujemy do ciekawych, darmowych narzędzi, które mogą wspomóc Was w walce z atakującymi.

Ochrona sieci przez Honeypoty

Niezależnie od wielkości firm problem cyberprzestępczości i cyberzagrożeń dotyczy każdego. W identyfikacji obszarów ataków bardzo pomocne są honeypoty, czyli pułapki, których celem jest wykrywanie prób nieautoryzowanego pozyskania danych poprzez udawanie pojedynczej usługi, systemu lub całej sieci lokalnej. W zależności od zastosowania wyróżniamy honeypoty nisko i wysoko interaktywne. Oba rodzaje pułapek mogą funkcjonować w obszarze klienta (Thug, HoneyC) lub serwera (Kippo, Amun, Dionaea) i wykorzystywać wiele adresów IP, w tym nawet monitorować i rejestrować działania atakującego.

Z perspektywy osób zajmujących się bezpieczeństwem, honeypoty są szczególnie użyteczne. Często bywa tak, że atakujący musi najpierw dokonać rozpoznania usługi, która może być uruchomiona na niestandardowych portach, tak więc musi dowiedzieć się o wewnętrznej strukturze sieci i spróbować ją, w jakiś sposób, zaatakować. Niektóre honeypoty, zwłaszcza te wysoko interaktywne, są trudne w konfiguracji i korelacji z systemami SIEM, ale świetnie nadają się jako „wabik”, to znaczy narzędzie do wczesnego ostrzegania przed szkodliwym oprogramowaniem, nowymi exploitami czy lukami w zabezpieczeniach. Stanowią też doskonałą analizę przypadku dla badaczy i administratorów, którzy na „żywym organizmie” mogą poznać taktyki atakującego i najczęściej exploitowane obszary firmowej sieci.

Bardzo dobrym uzupełnieniem wiadomości o honeypotach jest obszerna lekturaprzygotowana przez CERT Polska, która została również opublikowana przez Europejską Agencję ds. Bezpieczeństwa Informacji.

Chociaż opublikowany artykuł ma już prawie sześć lat, to zawarte w nim informacje są nadal aktualne.

Użytkownicy, którzy szukają nowszych i niestandardowych honeypotów, np. dla systemów SCADA lub IoT, mogą zapoznać się z publicznie dostępną listą takich wabików.

Honeypoty przeznaczone są zarówno dla sieci operatorskich, jak również małych i średnich firm. Stanowią solidne uzupełnienie rozwiązań ochronnych, produktów korelujących informacje z punktów końcowych i urządzeń, które zabezpieczają całe środowisko IT na styku z Internetem. Poznanie wektorów ataków to bardzo cenna umiejętność. Dzięki niej zespół IT będzie miał lepszy wgląd w jakość zaimplementowanych zabezpieczeń i to jeszcze przed nieautoryzowanym dokonaniem zmian w systemach produkcyjnych.

Eksperyment z wykorzystaniem honeypotów i WatchGuarda

WatchGuard to producent urządzeń NGFW/UTM, regularnie klasyfikowany jako lider i wizjoner w raportach Gartnera, posiadający już ponad milion wdrożonych rozwiązań w sektorze SMB i Enterprise na całym świecie. To co ciekawe, to wykorzystanie przez niego w swoich rozwiązaniach dwóch typów honeypotów. Jeden z nich jest zlokalizowany na każdej stacji roboczej, zabezpieczonej przed zaszyfrowaniem plików w ramach behawioralnej ochrony hosta przed szkodnikami szyfrującymi (Host Ransomware Prevention). HRP jest wspierany przez moduł APT Blocker, który działa w trybie proxy dla protokołów HTTP i SMTP blokując komunikację stacji roboczej ze szkodliwymi serwerami. Działa to w ten sposób, że lekki sensor dostępny dla systemów Windows tworzy ukryte foldery i pliki, które po usunięciu lub zmodyfikowaniu przez szkodliwe oprogramowanie są przywracane do stanu sprzed infekcji. A więc HRP monitorując szereg charakterystycznych wskaźników określających szkodliwe oprogramowanie typu ransomware, może zatrzymać atak jeszcze przed rozpoczęciem szyfrowania plików.

Drugim rodzajem honeypotów, wykorzystywanym przez firmę WatchGuard, są „tradycyjne” pułapki, które wchodzą w skład zewnętrznej farmy honeypotów. Pułapki te odgrywają bardzo ważną rolę w zbieraniu informacji o zagrożeniach 0-day i blokowaniu komunikacji z serwerami C&C. Oprócz tego, kluczową rolę w ochronie stacji roboczych pełni składnik TDR (Threat Detection and Response) — który analizuje dane przy użyciu autorskiego algorytmu behawioralnego i przypisuje zagrożeniu kompleksową ocenę i rangę (ważność). Ten potężny mechanizm korelacji informacji pomiędzy urządzeniami WatchGuard z serii Firebox a chmurą producenta, pozwala lepiej chronić przedsiębiorstwa przed nieznanym dotąd, szkodliwym oprogramowaniem i złośliwymi hostami IP składającymi się na łańcuch dostawy malware’u.

Na poniższym schemacie przedstawiono symulację serwerów z publicznymi usługami w sieci firmowej za pośrednictwem dwóch ww. honeypotów: Dionaea i Kippo SSH.

Topologia logiczna z honeypotami.

Jednym z wykorzystanych honeypotów dla serwera 193.70.124.129 jest Dionaea. Wabik kładzie duży nacisk na implementację protokołu SMB. Podatność MS17-010 za pomocą exploitów DoublePulsar wykorzystuje się na dużą skalę do rozprzestrzeniania robaków internetowych i szyfrującego szkodliwego oprogramowania: WannaCry, NotPetya, BadRabbit i innych. Dionaea jest dobrym źródłem pozyskiwania do analizy złośliwego oprogramowania: potrafi zapisywać pliki binarne wykorzystane przez atakującego, emulować protokół SMB/445 przy jednoczesnym wsparciu wielu innych usług, np. SIP (VOIP), HTTP, FTP, TFPT, MySQL, a nawet SmartTV, IoT czy konsolę XBOX za pośrednictwem protokołów UPnP i MQTT. Umożliwia przesłanie plików celem analizy do zewnętrznych serwisów, takich jak VirusTotal (wymagany jest prywatny klucz API), a także umożliwia integrację honeypota z dostępną publicznie piaskownicą Cuckoo Sandbox — w formie usługi online lub w postaci wdrożonej piaskownicy w sieci lokalnej.

Konfiguracja jednego z modułów Dionaea’y do integracji z VirusTotal.

Jak wspomniano, Dionaea emuluje m.in. protokół SMBv1 dla Windows z luką MS17-010. Administratorzy i badacze mogą zaobserwować nie tylko zadania zrealizowane przez serwer, ale także proces uruchomienia kodu w systemie operacyjnym — aczkolwiek nie tak szczegółowy, jak podczas manualnej analizy.

Efekt domina ransomware WannaCry. Źródło (https://intel.malwaretech.com/botnet/wcrypt)

Drugim honeypotem dla serwera 193.70.124.129 jest Kippo, który emuluje usługę SSH i przechowuje informacje o atakach słownikowych. Administratorzy dzięki praktycznemu wykorzystaniu Kippo SSH mogą wzmocnić zabezpieczenia systemu. Kippo jest wyposażony w szereg funkcji, m.in.:

  • emuluje uruchomienie i zakończenie sesji SSH,
  • emuluje polecenia wget i curl,
  • przechowuje wszystkie pobrane pliki podczas sesji SSH i uruchomione przez atakującego komendy,
  • tworzy plik binarny przechowujący historię sesji, którą da się odtworzyć w celu późniejszej analizy,
  • pozwala podstawić atakującemu dowolne pliki i katalogi,
  • emuluje plik /etc/passwd.

o graficznej konsolidacji informacji z honeypotów wykorzystano projekt Modern Honeypot Network. MHN Jest całkowicie darmowym oprogramowaniem, posiada podstawowe API i może być zintegrowany z systemami SIEM.

MHN wizualizuje m.in. ilość ataków w ciągu ostatnich 24h.

Każdy z sensorów zawiera bardziej szczegółowe informacje o atakach.

MHN pozwala zintegrować ze sobą kilkanaście najpopularniejszych honeypotów, wyświetlić ilość ataków na serwery w ciągu doby, wskazać najczęściej atakowane usługi i porty, zebrać informacje o wykorzystanym przez atakujących szkodliwym oprogramowaniu i wiele więcej. MHN w domyślnej konfiguracji wysyła statystyczne dane do firmy Anomali Inc., która odpowiada za rozwój projektu. Warto o tym pamiętać i w razie potrzeby wyłączyć tę funkcję.

Techniczne obserwacje

Wykorzystanie exploita DoublePulsar i próba zainfekowania systemu:

[21102017 08:29:54] SMB dionaea/smb/smb.py:632-info: Possible DoublePulsar connection attempts..
[21102017 08:29:54] SMB dionaea/smb/smb.py:644-info: DoublePulsar request opcode: c8 command: exec
[21102017 08:29:54] SMB dionaea/smb/smb.py:656-info: DoublePulsar payload receiving..
[21102017 08:29:54] SMB dionaea/smb/smb.py:661-info: DoublePulsar payload - MD5 (before XOR decryption): 9f98c5b292991097cc4216d93be51dce
[21102017 08:29:54] SMB dionaea/smb/smb.py:663-info: DoublePulsar payload - MD5 (after XOR decryption ): 8ed2c518506bfe06593513208cb26a26
[21102017 08:29:54] SMB dionaea/smb/smb.py:672-info: DoublePulsar payload - MZ header found...
[21102017 08:29:54] SMB dionaea/smb/smb.py:676-info: DoublePulsar payload - Save to disk
[21102017 08:29:54] log_sqlite dionaea/logsql.py:799-info: complete for attackid 38
[21102017 08:29:54] connection connection.c:2208-message: connection 0x189e3b0 accept/tcp/established [10.30.1.10:445->139.99.113.97:57653] sta$[21102017 08:29:55] log_sqlite dionaea/logsql.py:765-info: attackid 38 is done

Informacje o atakujących i próby nawiązania połączenia na porcie 80:

[21102017 18:47:13] hpfeeds dionaea/hpfeeds.py:354-info: accepted connection from 139.162.108.53:46634 to 10.30.1.10:80
[21102017 18:47:13] log_sqlite dionaea/logsql.py:697-info: accepted connection from 139.162.108.53:46634 to 10.30.1.10:80 (id=1410)
[21102017 18:47:13] connection connection.c:2208-message: connection 0x19a5400 accept/tcp/established [10.30.1.10:80->139.162.108.53:4663$
[21102017 18:47:13] connection connection.c:2208-message: connection 0x19a5400 accept/tcp/shutdown [10.30.1.10:80->139.162.108.53:46634] $[21102017 18:47:14] log_sqlite dionaea/logsql.py:765-info: attackid 1410 is done

Podsumowanie doświadczenia

Pod koniec października wspólnie z firmą Net Complex przeprowadziliśmy testy, które miały na celu zaobserwowanie ilości ataków na emulowane protokoły, wskazanie wykrytych przez urządzenie WatchGuard podatności i zebranie danych o zablokowanym szkodliwym oprogramowaniu. Testy trwały około 2 tygodnie. Podsumowanie doświadczenia podzielono na wyniki sprzed wdrożenia WatchGuard FireboxV w sieci firmowej oraz na te już po wdrożeniu i skonfigurowaniu UTM-a.

Obserwując incydenty związane z bezpieczeństwem sieci, zanotowano następujące wnioski. Oto najważniejsze z nich:

  • Po pięciu dniach od wdrożenia pułapki Dionaea na sensorze Serwer1 zaobserwowano 10472 ataki wykorzystujące różne podatności na emulowane usługi. W tym samym czasie zarejestrowano 1762 próby logowania na usługę SSH dla sensora Serwer2.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *