הסטארטאפ הישראלי Cymmetria שחרר מלכודת דבש לתוקפי DDoS שתקפו באוקטובר 2016
מאת: מערכת Telecom News, 15.11.16, 22:19
 
המלכודת ( (honeypotלקוד הזדוני ל-IoT, שאחראי למתקפת ה-DDoS הגדולה באוקטובר, פותחה ע"י יחידת המחקר של סימטריה, סטארטאפ שהוקם ע"י יוצאי 8200.
 
במהלך חודש אוקטובר 2016 התרחשו התקפות DDoS, התקפות מניעת שירות, מהחמורות שנרשמו אי פעם. בין המתקפות הייתה מתקפת הבוטנטים נגועי ה-,Mirai שבוצעה על Dyn, ספק אחסון רשומות ה- DNS, שגרמה לחוסר זמינות של חלק מהאתרים הגדולים בעולם, בהם Twitter ו-github. מתקפה זו הפכה את ה-DDoS לאחת מהדאגות הגדולות של עולם האבטחה ושל העולם העסקי. בהמשך להתקפה המדוברת, יצרה  Cymmetria Research, יחידת המחקר של סימטריה, מלכודת דבש, שנועדה לזהות וללכוד מתקפות Mirai.
 
הסטארטאפ סימטריה (Cymmetria), חלוץ בתחום ה-Cyber Deception, הוקם ב-2014 ע"י גדי עברון (CEO), דין זיסמן (CTO), אמרי גולדברג (VP Development) ואיירין אבזגאוז (VP Product), יוצאי 8200. הוא גייס י כ-10 מיליון דולרים משורת משקיעים, ביניהם קבוצת Y Combinator וקרן Sherpa.
 
סימטריה מתמחה בפיתוח פתרונות להגנה מהתקפות סייבר באמצעות Cyber Deception. באמצעות פתרון זה, התוקפים יגשו אל סביבות, שיועדו לכך במקום למשאבים אמיתיים בארגון.
 
עברון: "אחד החברים שלנו רצה מלכודת דבש פשוטה, באמצעותה יוכל לאסוף IoC מאומתים של Mirai, ובעיקר כתובות IP המנסות לסכן מערכות IoT, ואת דוגמיות הקוד הזדוני בהן הן מדביקות".
 
בטרם הופעלה מתקפת ה-DDoS, שגרמה להפלת Dyn, Mirai בנתה תשתית פעולה באמצעות חדירה למאות אלפי מכשירי IoT, כולל מצלמות רשת ומכשירים ביתיים שונים המחוברים לרשת. בשלב פעולה זה Mirai החדירה לאותם מכשירים קוד זדוני, שהמתין לפקודת הפעלה של תקיפת ה-DDoS. כאשר הפקודה הגיעה, מאות אלפי מכשירים שידרו במקביל פקודות לרשת הקורבן, במקרה זה Dyn, ולמעשה חנקו את משאבי המחשוב ורוחב הפס. בסימטריה רצו להתחקות אחרי אותו ניסיון הדבקה ראשוני של מכשירי IoT.
 
מלכודת הדבש ל- Mirai היא תוכנה אותה ניתן להפעיל ברשת, ומדמה מכשירIoT . כאשר התוקפים מזהים את התוכנה כמכשיר, הם מנסים להחדיר אליה את הקוד הזדוני, והדברים נרשמים בתוכנה. באמצעות המידע שנאסף, החוקרים יכולים לקבל פרטים חשובים על דרך הפעולה של Mirai ולמנוע התקפות נוספות.
 
יכולות מלכודת הדבש של Mirai:

1) מלכודת הדבש יכולה לזהות קישורים נכנסים מכל פורט המשתמש ב- telnetהיא יכולה לזהות במדויק את גרסת ה- Mirai, בהתבסס על הפקודות שהתבקשו מהשירות.
 
2) כל הפרמטרים שנעשה בהם שימוש לזיהוי Mirai (פורטים ופקודות) ניתנים להגדרה ולשינוי כדי לחפש גרסאות אחרות.
 
3) דיווח לשרת .syslog
 
4) איסוף דוגמיות קוד זדוני, ש- Mirai ניסה להדביק באמצעותם.
 
השימוש בכלי הוא קל, שכן זהו סקריפט פייתון פשוט. עם זאת, יש לו מספר מגבלות טכניות: בדומה לכל מלכודת דבש עם אינטראקציה נמוכה, גם לזו יש מגבלות הנובעות מהייעוד שלה לבצע אמולציה של שירות, ובמקרה זה הבקשה, ש-Mirai שולח דרך קישור ה- telnet שלו, בהתבסס על קוד המקור הזמין ב-GitHub. לכן, ניתן להשיג טביעת אצבע שלה, אם מישהו משקיע בכך את המאמץ המתאים.
 
ניתן להוריד את מלכודת הדבש ל- Mirai מה- git של סימטריה – כאן.

בנוסף, מומלץ לשקול להוריד את MazeRunner Community edition, גרסה חינמית של פלטפורמת ה-cyber deception של סימטריה, או להיכנס לאתר הסטארטאפ למידע נוסף.