انگ اکر 24 ڪلاڪن کان پوءِ هني پوٽ کي انسٽال ڪرڻ کان پوءِ سنگاپور ۾ ڊجيٽل سامونڊي نوڊ تي

پيئو پيئو! اچو ته فوري طور تي حملي جي نقشي سان شروع ڪريون

اسان جو سپر ڪول نقشو ڏيکاري ٿو منفرد ASNs جيڪي 24 ڪلاڪن اندر اسان جي Cowrie honeypot سان ڳنڍيل آهن. پيلو SSH ڪنيڪشن سان ملندو آهي، ۽ ڳاڙهي سان ملندو آهي Telnet. اهڙيون متحرڪون اڪثر ڪري ڪمپني جي ڊائريڪٽرن جي بورڊ کي متاثر ڪن ٿيون، جيڪي سيڪيورٽي ۽ وسيلن لاء وڌيڪ فنڊ حاصل ڪرڻ ۾ مدد ڪري سگهن ٿيون. بهرحال، نقشي ۾ ڪجهه قدر آهي، واضح طور تي صرف 24 ڪلاڪن ۾ اسان جي ميزبان تي حملي جي ذريعن جي جاگرافيائي ۽ تنظيمي پکيڙ ڏيکاريندي. انيميشن هر ذريعن کان ٽرئفڪ جي مقدار کي ظاهر نٿو ڪري.

Pew Pew نقشو ڇا آهي؟

Pew Pew نقشو - هي آهي سائبر حملن جو تصور، عام طور تي متحرڪ ۽ تمام خوبصورت. اهو توهان جي پراڊڪٽ کي وڪڻڻ جو هڪ فينسي طريقو آهي، بدنام طور تي Norse Corp. ڪمپني خراب طور تي ختم ٿي وئي: اهو ظاهر ٿيو ته خوبصورت متحرڪ انهن جو واحد فائدو هو، ۽ انهن تجزيي لاء ٽڪرا ڊيٽا استعمال ڪيو.

Leafletjs سان ٺهيل

انهن لاءِ جيڪي آپريشن سينٽر ۾ وڏي اسڪرين لاءِ حملي جو نقشو ڊزائين ڪرڻ چاهيندا آهن (توهان جو باس ان کي پسند ڪندو)، اتي هڪ لائبريري آهي ليفليٽ. اسان ان کي پلگ ان سان گڏ ڪيو ليفليٽ لڏپلاڻ پرت, Maxmind GeoIP سروس - ۽ ڪيو.

WTF: هي Cowrie honeypot ڇا آهي؟

Honeypot هڪ سسٽم آهي جيڪو نيٽ ورڪ تي خاص طور تي حملو ڪندڙن کي لالچ ڏيڻ لاء رکيل آهي. سسٽم سان ڪنيڪشن عام طور تي غير قانوني آهن ۽ توهان کي تفصيلي لاگ استعمال ڪندي حملي آور کي ڳولڻ جي اجازت ڏين ٿا. لاگ اسٽور نه رڳو باقاعده ڪنيڪشن جي معلومات، پر پڻ سيشن جي معلومات جيڪا ظاهر ڪري ٿي ٽيڪنالاجي، حڪمت عملي ۽ طريقا (TTP) مداخلت ڪندڙ

هني پوٽ ڪوري لاءِ ٺاهيل SSH ۽ Telnet ڪنيڪشن رڪارڊ. اهڙيون هيني پوٽس اڪثر ڪري انٽرنيٽ تي رکيا ويندا آهن ته جيئن ٽولن، اسڪرپٽس ۽ حملي آورن جي ميزبانن کي ٽريڪ ڪيو وڃي.

منهنجو پيغام انهن ڪمپنين لاءِ جيڪي سمجهن ٿا ته انهن تي حملو نه ڪيو ويندو: "توهان سخت ڳولي رهيا آهيو."
- جيمس سنوڪ

لاگن ۾ ڇا آهي؟

ڪنيڪشن جو ڪل تعداد

ڪيترن ئي ميزبانن کان بار بار ڪنيڪشن جون ڪوششون ڪيون ويون. اهو عام آهي، ڇاڪاڻ ته حملي جي اسڪرپٽس وٽ سندن جي مڪمل فهرست آهي ۽ ڪوشش ڪريو ڪيترن ئي مجموعن کي. Cowrie Honeypot ترتيب ڏنل آھي ڪن مخصوص يوزرنيم ۽ پاسورڊ جي مجموعن کي قبول ڪرڻ لاءِ. هن ۾ ترتيب ڏنل آهي user.db فائل.

حملن جي جاگرافي

Maxmind جغرافيائي ڊيٽا استعمال ڪندي، مون هر ملڪ مان ڪنيڪشن جو تعداد شمار ڪيو. برازيل ۽ چين وڏين مارجن جي اڳواڻي ۾ آهن، ۽ انهن ملڪن مان ايندڙ اسڪينر کان گهڻو شور آهي.

نيٽ ورڪ بلاڪ مالڪ

نيٽ ورڪ بلاڪ (ASN) جي مالڪن جي تحقيق ڪندي تنظيمن کي سڃاڻي سگھن ٿا جن سان وڏي تعداد ۾ حملو ڪندڙ ميزبان آهن. يقينن، اهڙين حالتن ۾ توهان کي هميشه ياد رکڻ گهرجي ته ڪيترائي حملا متاثر ٿيل لشڪر کان ايندا آهن. اهو فرض ڪرڻ مناسب آهي ته گھڻا حملو ڪندڙ ڪافي بيوقوف نه آهن نيٽ ورڪ کي گهر جي ڪمپيوٽر مان اسڪين ڪرڻ لاءِ.

حملي واري نظام تي بندرگاهن کي کوليو (ڊيٽا Shodan.io کان)

بهترين ذريعي IP لسٽ کي هلائڻ Shodan API جلدي سڃاڻي ٿو کليل بندرگاهن سان سسٽم ۽ اهي بندرگاهن ڇا آهن؟ هيٺ ڏنل انگ اکر ڏيکاري ٿو کليل بندرگاهن جي ڪنسنٽريشن ملڪ ۽ تنظيم طرفان. سمجھوتي نظام جي بلاڪ کي سڃاڻڻ ممڪن ٿيندو، پر اندر ننڍو نمونو وڏي تعداد کان سواءِ ٻيو ڪجھ به نظر نٿو اچي چين ۾ 500 کليل بندرگاهن.

هڪ دلچسپ ڳولها آهي برازيل ۾ سسٽم جو وڏو تعداد جيڪو آهي نه کليل 22، 23 يا ٻين بندرگاهن، Censys ۽ Shodan جي مطابق. ظاهري طور تي اهي ڪنيڪشن آهن آخري صارف ڪمپيوٽرن کان.

بوٽس؟ ضروري ناهي

انگن اکرن سينسس بندرگاهن 22 ۽ 23 لاءِ انهن ڏينهن ڪجهه عجيب ڏيکاريو. مون سمجهيو ته اڪثر اسڪين ۽ پاسورڊ حملا بوٽن مان ايندا آهن. اسڪرپٽ کليل بندرگاهن تي پکڙيل آهي، پاسورڊ جو اندازو لڳائي ٿو، ۽ پاڻ کي نئين سسٽم مان نقل ڪري ٿو ۽ ساڳئي طريقي سان پکڙيل آهي.

پر هتي توهان ڏسي سگهو ٿا ته ٽيل نيٽ اسڪيننگ ڪندڙ ميزبانن جي صرف هڪ ننڍڙي تعداد وٽ پورٽ 23 ٻاهران کليل هوندو آهي، ان جو مطلب اهو آهي ته سسٽم يا ته ڪنهن ٻئي طريقي سان سمجهوتو ڪيو ويو آهي، يا حملي ڪندڙ اسڪرپٽ کي دستي طور تي هلائي رهيا آهن.

گھر جي رابطا

هڪ ٻي دلچسپ ڳولها نموني ۾ گهر استعمال ڪندڙن جو وڏو تعداد هو. استعمال ڪندي پوئتي موٽڻ مون مخصوص گھر جي ڪمپيوٽرن مان 105 ڪنيڪشن جي سڃاڻپ ڪئي. گھڻن گھر جي ڪنيڪشن لاءِ، ھڪ ريورس DNS ڏسندڙ ھوسٽ جو نالو ڏيکاري ٿو لفظن سان dsl، گھر، ڪيبل، فائبر، وغيره.

سکو ۽ ڳولھيو: پنھنجو پنھنجو ھوني پوٽ وڌايو

مون تازو هڪ مختصر سبق لکيو ته ڪيئن ڪجي توهان جي سسٽم تي Cowrie honeypot انسٽال ڪريو. جيئن اڳ ۾ ئي ذڪر ڪيو ويو آهي، اسان جي صورت ۾ اسان استعمال ڪيو ڊجيٽل سمنڊ VPS سنگاپور ۾. 24 ڪلاڪن جي تجزيو لاء، قيمت لفظي طور تي چند سينٽ هئي، ۽ سسٽم کي گڏ ڪرڻ جو وقت 30 منٽ هو.

انٽرنيٽ تي Cowrie کي هلائڻ ۽ تمام شور کي پڪڙڻ جي بدران، توهان پنهنجي مقامي نيٽ ورڪ تي honeypot مان فائدو حاصل ڪري سگهو ٿا. مسلسل هڪ نوٽيفڪيشن مقرر ڪريو جيڪڏهن درخواستون ڪجهه بندرگاهن ڏانهن موڪليا وڃن. اهو يا ته نيٽورڪ جي اندر هڪ حملو ڪندڙ، يا هڪ تجسس وارو ملازم، يا هڪ خطرناڪ اسڪين آهي.

پهچڻ

XNUMX ڪلاڪن دوران حملي آورن جي ڪاررواين کي ڏسڻ کان پوءِ، اهو واضح ٿئي ٿو ته ڪنهن به تنظيم، ملڪ، يا آپريٽنگ سسٽم ۾ حملن جي واضح ذريعن جي نشاندهي ڪرڻ ناممڪن آهي.

ذريعن جي وسيع تقسيم ڏيکاري ٿي ته اسڪين شور مسلسل آهي ۽ ڪنهن خاص ذريعن سان لاڳاپيل ناهي. ڪو به ماڻهو جيڪو انٽرنيٽ تي ڪم ڪري ٿو ان کي يقيني بڻائڻ گهرجي ته انهن جو سسٽم ڪيترائي سيڪيورٽي سطحون. لاء هڪ عام ۽ موثر حل ايس خدمت بي ترتيب تيز بندرگاهه ڏانهن منتقل ٿيندي. اهو سخت پاسورڊ جي حفاظت ۽ نگراني جي ضرورت کي ختم نٿو ڪري، پر گهٽ ۾ گهٽ يقيني بڻائي ٿو ته لاگز مسلسل اسڪيننگ جي ذريعي بند ٿيل نه آهن. ھاء پورٽ ڪنيڪشن ھدف ٿيل حملن جا وڌيڪ امڪان آھن، جيڪي توھان جي فائدي ۾ ٿي سگھن ٿا.

گهڻو ڪري کليل ٽيل نيٽ بندرگاهن روٽرز يا ٻين ڊوائيسن تي هوندا آهن، تنهنڪري انهن کي آسانيءَ سان اعليٰ بندرگاهه ڏانهن منتقل نه ٿو ڪري سگهجي. سڀني کليل بندرگاهن بابت ڄاڻ и حملي جي سطح اهو يقيني بڻائڻ جو واحد طريقو آهي ته اهي خدمتون فائر وال يا معذور آهن. جيڪڏهن ممڪن هجي ته، توهان کي هرگز استعمال نه ڪرڻ گهرجي Telnet؛ هي پروٽوڪول انڪوڊ ٿيل نه آهي. جيڪڏھن توھان کي ضرورت آھي ۽ ان کان سواءِ نٿا ڪري سگھو، پوءِ احتياط سان ان جي نگراني ڪريو ۽ مضبوط پاسورڊ استعمال ڪريو.

جو ذريعو: www.habr.com