انگ اکر 24 ڪلاڪن کان پوءِ هني پوٽ کي انسٽال ڪرڻ کان پوءِ سنگاپور ۾ ڊجيٽل سامونڊي نوڊ تي
پيئو پيئو! اچو ته فوري طور تي حملي جي نقشي سان شروع ڪريون
اسان جو سپر ڪول نقشو ڏيکاري ٿو منفرد ASNs جيڪي 24 ڪلاڪن اندر اسان جي Cowrie honeypot سان ڳنڍيل آهن. پيلو SSH ڪنيڪشن سان ملندو آهي، ۽ ڳاڙهي سان ملندو آهي Telnet. اهڙيون متحرڪون اڪثر ڪري ڪمپني جي ڊائريڪٽرن جي بورڊ کي متاثر ڪن ٿيون، جيڪي سيڪيورٽي ۽ وسيلن لاء وڌيڪ فنڊ حاصل ڪرڻ ۾ مدد ڪري سگهن ٿيون. بهرحال، نقشي ۾ ڪجهه قدر آهي، واضح طور تي صرف 24 ڪلاڪن ۾ اسان جي ميزبان تي حملي جي ذريعن جي جاگرافيائي ۽ تنظيمي پکيڙ ڏيکاريندي. انيميشن هر ذريعن کان ٽرئفڪ جي مقدار کي ظاهر نٿو ڪري.
Pew Pew نقشو ڇا آهي؟
Pew Pew نقشو - هي آهي
Leafletjs سان ٺهيل
انهن لاءِ جيڪي آپريشن سينٽر ۾ وڏي اسڪرين لاءِ حملي جو نقشو ڊزائين ڪرڻ چاهيندا آهن (توهان جو باس ان کي پسند ڪندو)، اتي هڪ لائبريري آهي
WTF: هي Cowrie honeypot ڇا آهي؟
Honeypot هڪ سسٽم آهي جيڪو نيٽ ورڪ تي خاص طور تي حملو ڪندڙن کي لالچ ڏيڻ لاء رکيل آهي. سسٽم سان ڪنيڪشن عام طور تي غير قانوني آهن ۽ توهان کي تفصيلي لاگ استعمال ڪندي حملي آور کي ڳولڻ جي اجازت ڏين ٿا. لاگ اسٽور نه رڳو باقاعده ڪنيڪشن جي معلومات، پر پڻ سيشن جي معلومات جيڪا ظاهر ڪري ٿي ٽيڪنالاجي، حڪمت عملي ۽ طريقا (TTP) مداخلت ڪندڙ
منهنجو پيغام انهن ڪمپنين لاءِ جيڪي سمجهن ٿا ته انهن تي حملو نه ڪيو ويندو: "توهان سخت ڳولي رهيا آهيو."
- جيمس سنوڪ
لاگن ۾ ڇا آهي؟
ڪنيڪشن جو ڪل تعداد
ڪيترن ئي ميزبانن کان بار بار ڪنيڪشن جون ڪوششون ڪيون ويون. اهو عام آهي، ڇاڪاڻ ته حملي جي اسڪرپٽس وٽ سندن جي مڪمل فهرست آهي ۽ ڪوشش ڪريو ڪيترن ئي مجموعن کي. Cowrie Honeypot ترتيب ڏنل آھي ڪن مخصوص يوزرنيم ۽ پاسورڊ جي مجموعن کي قبول ڪرڻ لاءِ. هن ۾ ترتيب ڏنل آهي user.db فائل.
حملن جي جاگرافي
Maxmind جغرافيائي ڊيٽا استعمال ڪندي، مون هر ملڪ مان ڪنيڪشن جو تعداد شمار ڪيو. برازيل ۽ چين وڏين مارجن جي اڳواڻي ۾ آهن، ۽ انهن ملڪن مان ايندڙ اسڪينر کان گهڻو شور آهي.
نيٽ ورڪ بلاڪ مالڪ
نيٽ ورڪ بلاڪ (ASN) جي مالڪن جي تحقيق ڪندي تنظيمن کي سڃاڻي سگھن ٿا جن سان وڏي تعداد ۾ حملو ڪندڙ ميزبان آهن. يقينن، اهڙين حالتن ۾ توهان کي هميشه ياد رکڻ گهرجي ته ڪيترائي حملا متاثر ٿيل لشڪر کان ايندا آهن. اهو فرض ڪرڻ مناسب آهي ته گھڻا حملو ڪندڙ ڪافي بيوقوف نه آهن نيٽ ورڪ کي گهر جي ڪمپيوٽر مان اسڪين ڪرڻ لاءِ.
حملي واري نظام تي بندرگاهن کي کوليو (ڊيٽا Shodan.io کان)
بهترين ذريعي IP لسٽ کي هلائڻ
هڪ دلچسپ ڳولها آهي برازيل ۾ سسٽم جو وڏو تعداد جيڪو آهي نه کليل 22، 23 يا ٻين بندرگاهن، Censys ۽ Shodan جي مطابق. ظاهري طور تي اهي ڪنيڪشن آهن آخري صارف ڪمپيوٽرن کان.
بوٽس؟ ضروري ناهي
انگن اکرن
پر هتي توهان ڏسي سگهو ٿا ته ٽيل نيٽ اسڪيننگ ڪندڙ ميزبانن جي صرف هڪ ننڍڙي تعداد وٽ پورٽ 23 ٻاهران کليل هوندو آهي، ان جو مطلب اهو آهي ته سسٽم يا ته ڪنهن ٻئي طريقي سان سمجهوتو ڪيو ويو آهي، يا حملي ڪندڙ اسڪرپٽ کي دستي طور تي هلائي رهيا آهن.
گھر جي رابطا
هڪ ٻي دلچسپ ڳولها نموني ۾ گهر استعمال ڪندڙن جو وڏو تعداد هو. استعمال ڪندي پوئتي موٽڻ مون مخصوص گھر جي ڪمپيوٽرن مان 105 ڪنيڪشن جي سڃاڻپ ڪئي. گھڻن گھر جي ڪنيڪشن لاءِ، ھڪ ريورس DNS ڏسندڙ ھوسٽ جو نالو ڏيکاري ٿو لفظن سان dsl، گھر، ڪيبل، فائبر، وغيره.
سکو ۽ ڳولھيو: پنھنجو پنھنجو ھوني پوٽ وڌايو
مون تازو هڪ مختصر سبق لکيو ته ڪيئن ڪجي
انٽرنيٽ تي Cowrie کي هلائڻ ۽ تمام شور کي پڪڙڻ جي بدران، توهان پنهنجي مقامي نيٽ ورڪ تي honeypot مان فائدو حاصل ڪري سگهو ٿا. مسلسل هڪ نوٽيفڪيشن مقرر ڪريو جيڪڏهن درخواستون ڪجهه بندرگاهن ڏانهن موڪليا وڃن. اهو يا ته نيٽورڪ جي اندر هڪ حملو ڪندڙ، يا هڪ تجسس وارو ملازم، يا هڪ خطرناڪ اسڪين آهي.
پهچڻ
XNUMX ڪلاڪن دوران حملي آورن جي ڪاررواين کي ڏسڻ کان پوءِ، اهو واضح ٿئي ٿو ته ڪنهن به تنظيم، ملڪ، يا آپريٽنگ سسٽم ۾ حملن جي واضح ذريعن جي نشاندهي ڪرڻ ناممڪن آهي.
ذريعن جي وسيع تقسيم ڏيکاري ٿي ته اسڪين شور مسلسل آهي ۽ ڪنهن خاص ذريعن سان لاڳاپيل ناهي. ڪو به ماڻهو جيڪو انٽرنيٽ تي ڪم ڪري ٿو ان کي يقيني بڻائڻ گهرجي ته انهن جو سسٽم ڪيترائي سيڪيورٽي سطحون. لاء هڪ عام ۽ موثر حل ايس خدمت بي ترتيب تيز بندرگاهه ڏانهن منتقل ٿيندي. اهو سخت پاسورڊ جي حفاظت ۽ نگراني جي ضرورت کي ختم نٿو ڪري، پر گهٽ ۾ گهٽ يقيني بڻائي ٿو ته لاگز مسلسل اسڪيننگ جي ذريعي بند ٿيل نه آهن. ھاء پورٽ ڪنيڪشن ھدف ٿيل حملن جا وڌيڪ امڪان آھن، جيڪي توھان جي فائدي ۾ ٿي سگھن ٿا.
گهڻو ڪري کليل ٽيل نيٽ بندرگاهن روٽرز يا ٻين ڊوائيسن تي هوندا آهن، تنهنڪري انهن کي آسانيءَ سان اعليٰ بندرگاهه ڏانهن منتقل نه ٿو ڪري سگهجي.
جو ذريعو: www.habr.com