W tym artykule nie będziemy pisać o podatnościach systemów środowisk informatycznych i atakach na nie, lecz pokażemy jak w sprytny sposób można zaczaić się na złośliwe oprogramowanie, bądź cyberprzestępcę i skutecznie go zdemaskować.
W jakim świecie żyjemy?
W świecie „korpo” i w wielu firmach istnieje stereotyp, że oprogramowanie antywirusowe, anty-malware lub inteligentny firewall brzegowy załatwi problem wykrywania atakujących/zagrożeń. Nic bardziej mylnego. Pisaliśmy o tym na Kapitanie między innymi tutaj i tutaj.
Oczywiście im dalej w las, tym problemy stają się bardziej poważne i firmy zaczynają wdrażać coraz to nowe i bardziej zaawansowane systemy do ochrony. W konsekwencji okazuje się, że do ochrony systemów produkcyjnych budujemy obok potężną infrastrukturę do monitorowania. Nie sposób przy tym nie wspomnieć o konieczności zatrudnienia dodatkowych ekspertów, ponieważ kto jak nie oni nam to wszystko w firmie obsłużą? Faktem też jest, że takie inwestycje w bezpieczeństwo stanowią bardzo duży koszt dla firm.
Z drugiej strony, jak się okazuje współcześni cyberprzestępcy szukają coraz to nowych metod włamywania się (link). Nie jest już im tak łatwo atakować infrastrukturę jak parę lat wcześniej, ale za to ich ataki/sposoby są już bardziej przemyślane i zaawansowane. Zresztą tak samo jak oprogramowanie do ochrony. Oprogramowanie do bezpieczeństwa, które się nie rozwija jest tak samo bezużyteczne jak malware napisany parę lat temu. Dlatego na bieżąco powinniśmy sprawdzać możliwości oprogramowania dostępnego na rynku oraz nawet je zmieniać, jeśli zajdzie taka potrzeba. Faktem też jest, że nie istnieje oprogramowanie idealne i uniwersalne do wszystkiego. Inną kwestią jest też jego odpowiednie skonfigurowanie.
A propos konfiguracji oprogramowania do bezpieczeństwa – to jest kolejny problem. Dlatego powinniśmy też zwrócić uwagę na to czy firma wdrażająca oprogramowanie rozumie problemy cyberzagrożeń i potrafi je przenieść na oprogramowanie implementując w nim odpowiednie zabezpieczenia. Nie sztuką jest kupić, ważne by dobrze wydać pieniądze i wdrożyć. Hacker może obejść najbardziej zaawansowany system do bezpieczeństwa, jeśli zna jego architekturę i nie jest on odpowiednio zabezpieczony i skonfigurowany.
Jak znaleźć złoty środek na ochronę przed zagrożeniami?
Jest teraz bardzo duży boom na cyberbezpieczeństwo. I nie ma się czemu dziwić, bo żyjemy w czasach, w których Internet możemy znaleźć nawet w termostacie w akwarium, do którego i tak może się ktoś włamać (zobacz jak). Okazuje się, że czasami nie musimy wyszukiwać nowych sposobów na ochronę i inwestować milionów w nowe oprogramowanie. Wystarczy dobry pomysł i odpowiednie zintegrowanie go z naszymi bieżącymi systemami. Gdzie zatem szukać pomysłów?
Sposób na to jest prosty i skuteczny, bo do jego użycia zainspirowało życie, a konkretnie pole bitwy, gdzie skutecznie odstrasza się/zwalcza wroga np. pole minowe. Chodzi mianowicie o budowanie zasadzek, pułapek, min, czy przynęt.Okazuje się, że budowanie pułapek znalazło swoje odzwierciedlenie także w świecie informatycznym. Nawet posiada swój własny termin – zwany Honeypot.
Według Wikipedii termin Honeypot oznacza „pułapkę mająca na celu wykrycie prób nieautoryzowanego użycia systemu czy pozyskania danych. Najczęściej składa się z komputera, danych i wyodrębnionego obszaru sieci lokalnej, które udają prawdziwą sieć, lecz są odizolowane i odpowiednio zabezpieczone. Wszystko to z zewnątrz wygląda jakby zawierało informacje lub zasób, który mógłby być potencjalnym celem cyberprzestępcy. Systemy honeypot działają najczęściej pod kontrolą specjalistycznego oprogramowania. Istnieją zaawansowane wersje honeypotów przeznaczone dla ogromnych sieci będących własnością wielkich ISP, jak również w miarę proste systemy nadające się doskonale do ochrony małej sieci firmowej lub domowej.”
Jak widać na podstawie powyższej definicji honeypoty głównie są używanie w sieciach. Nic dziwnego, bo pierwszego honeypot’a użyto do sieci Wifi (2002 rok). Specjalnie skonstruowane urządzenie miało rozgłaszać fikcyjną sieć wifi, przy pomocy której łapano cyberprzestępców. Implementacje honeypot znajdziemy między innymi we współczesnych systemach IDS/IPS.
Jakie inne honeypoty są rozróżniane w środowisku??
Okazuje się, że terminologia honeypotów znalazła swoje zastosowanie w szerszych obszarach IT. I tak pojawiły się następujące honeypoty:
- Honeynets – fikcyjne wydzielone sieci mające na celu zwabienie cyberprzestępców
- Honey pots – fikcyjnie wydzielony komputer, accesspoint, router, itp.
- Honey shares – fikcyjny udział na sieci zawierający w środku dane, którymi mogą zainteresować się cyberprzestępcy
- Honey files – plik(i) umieszczone na zasobach w sieci z interesującymi danymi (fikcyjnymi)
- Honey Accounts – fikcyjne konta w systemie. Specjalną i ciekawą odmianą honey accounts jest honeyhash, o którym pisaliśmy na Kapitanie Hacku (tutaj). Jest to nowość w dziedzinie wykrywania podejrzanych ruchów malware na końcówkach pozwalająca wykrywać malware jakie pojawiły się na przestrzeni ostatniego roku.
Pewnie pomysłów na budowanie zastosowań honeypotów znalazłoby się jeszcze więcej. Istotną rzeczą jest rola jaką mają pełnić i cel, któremu mają służyć. Jeśli system bezpieczeństwa w firmie potrafi monitorować, lub co lepsze zakładać tego typu pułapki, jesteśmy o krok od bezpiecznego środowiska.
Dlaczego warto uzbroić „nasz teren”, aby stał się polem minowym dla cyberprzestępców?
Odpowiedzią na to pytanie będzie na pewno dobra znajomość technik budowania malware i zasad jego działania na komputerach. O tym piszemy na kapitanie Hacku.
Każdy atak w środowisku rozpoczyna się od rekonesansu. Im jest on bardziej skuteczny i obszerniejszy, tym więcej informacji zostanie pozyskane do analizy. Możemy liczyć, że w takiej sytuacji zostanie przeskanowany zasób, który jest naszym honeypotem. Jeśli tutaj nasz honeypot się nie sprawdzi, bo np. malware został aktywowany lokalnie na komputerze poprzez odpalenia makra ze skryptem w dokumencie MS Office lub rozpakowania załącznika, i nie doszło jeszcze do skanowania infrastruktury, możemy liczyć, że malware będzie starał się użyć przeskanowanych z pamięci kont i ich hashy w celu rozprzestrzeniania się pomiędzy komputerami na innych kontach niż zalogowany na komputerze użytkownik. Pomocny będzie tutaj honeyhash (link tutaj).
Według badań poświadczenia/uprawnienia użytkowników oraz dane to najczęstsze 2 rzeczy, które interesują cyberprzestępców. Dlaczego? Bo prawie każde zagrożenie rozpoczyna się od cyberprzestępcy, który kompromituje poświadczenia w celu uzyskania dostępu do danych. Jego celem jest zarabianie, wykorzystywanie ich lub niszczenie.
Najczęściej atakujący wybiera w środowisku maszynę, która jest jak najmniej zabezpieczoną (np. z systemem operacyjnym o niższej wersji lub tam gdzie jest więcej podatności lub nieaktualne patch’e). Lecz prędzej, czy później będzie się z niej starał uzyskać dostęp do innych komputerów. Wtedy monitorowanie ruchu sieciowego i ustawianie pułapek będzie jest najbardziej wskazane.
O przydatności użycia honeypotów możemy także przeczytać w raporcie ISACA.
Czy możemy wykryć lub ominąć honeypot-a?
Tak jak w normalnym świecie saperzy wykrywają miny za pomocą specjalnych urządzeń, tak cyberprzestępcy mogą uzbroić się w narzędzia pomocne w zdiagnozowaniu wiarygodności fikcyjnego zasobu w sieci. Jest to na ten czas trudne do wykonania, ale przy zastosowaniu sztucznej inteligencji całkiem możliwe. O sztucznej inteligencji pisaliśmy tutaj. Pamiętajmy też, że zastawiając pułapki w środowisku mamy większą skuteczność w detekcji. Niektóre honeypoty takie jak honeyhash mogą dać nam 100% skuteczność w wykryciu malware. Alternatywną opcją jest uzbrojenie się w system oparty o naukę maszynową – sztuczną inteligencje. Jeśli tradycyjne systemy, których mechanizmy detekcji oparte są o wzorce/sygnatury zawiodą, system z zaimplementowany prawdziwym machine learning, będzie w stanie pokazać czy po sieci nie dzieją się podejrzane aktywności.
Podsumowanie
Honeypot’y to na pewno coś co powinniśmy implementować w firmach. Wdrożenie ich nie jest aż tak bardzo kosztowne jak systemów bezpieczeństwa do detekcji, natomiast skuteczność wykrywania cyberprzestępczości może być całkiem spora. Jeśli firma jest w posiadaniu systemu do bezpieczeństwa np. SIEM, warto jest zintegrować ze sobą i dostosować oba rozwiązania w celu jak najlepszego odstraszania bądź wykrywania potencjalnych przestępców lub nawet ciekawskich pracowników.
Więcej o atakach oraz sposobach cyberprzestępców na łamanie systemów czy sposobach wykrywania ataków będziemy pisać w kolejnych artykułach i kampaniach na Kapitanie Hacku.