ناقابل بيان طور تي پرڪشش: اسان ڪيئن هڪ هني پوٽ ٺاهيو جنهن کي بي نقاب نٿو ڪري سگهجي

اينٽي وائرس ڪمپنيون، انفارميشن سيڪيورٽي جا ماهر ۽ صرف شوقينن انٽرنيٽ تي هني پوٽ سسٽم کي وائرس جي نئين قسم کي ”پڪڙڻ“ يا هيڪر جي غير معمولي حڪمت عملين کي سڃاڻڻ لاءِ لڳايو. Honeypots ايترو عام آهن ته سائبر ڪرمنلز هڪ قسم جي مدافعتي ترقي ڪئي آهي: اهي جلدي سڃاڻندا آهن ته اهي هڪ جال جي سامهون آهن ۽ صرف ان کي نظر انداز ڪن ٿا. جديد هيڪرز جي حڪمت عملي کي ڳولڻ لاءِ، اسان هڪ حقيقي هيني پوٽ ٺاهيو جيڪو انٽرنيٽ تي ستن مهينن تائين رهي، مختلف حملن کي راغب ڪري. اسان ڳالهايو ته اهو اسان جي مطالعي ۾ ڪيئن ٿيو "ايڪٽ ۾ پڪڙيو ويو: حقيقي خطرن کي پڪڙڻ لاءِ هڪ حقيقي ڪارخانو هني پوٽ هلائڻ" مطالعي مان ڪجهه حقيقتون هن پوسٽ ۾ آهن.

Honeypot ترقي: چيڪ لسٽ

اسان جي سپر ٽريپ ٺاهڻ ۾ بنيادي ڪم اسان کي هيڪرز طرفان بي نقاب ٿيڻ کان روڪڻ هو جن ان ۾ دلچسپي ڏيکاري. اهو تمام گهڻو ڪم ڪرڻ جي ضرورت آهي:

1. ڪمپني بابت هڪ حقيقي ڏند ڪٿا ٺاهيو، جنهن ۾ ملازمن جا مڪمل نالا ۽ فوٽو، فون نمبر ۽ اي ميلون شامل آهن.
2. اسان جي ڪمپني جي سرگرمين بابت ڏند ڪٿا سان ملندڙ صنعتي انفراسٽرڪچر جي ماڊل سان گڏ ۽ لاڳو ڪرڻ لاءِ.
3. فيصلو ڪيو ته ڪهڙيون نيٽ ورڪ خدمتون ٻاهران پهچنديون، پر ڪمزور بندرگاهن کي کولڻ سان پري نه وڃو ته جيئن اهو چوسيندڙن لاءِ ٽريپ وانگر نظر نه اچي.
4. هڪ خطرناڪ سسٽم بابت معلومات جي ليڪ جي نمائش کي منظم ڪريو ۽ هن معلومات کي امڪاني حملي ڪندڙن جي وچ ۾ ورهايو.
5. هني پوٽ انفراسٽرڪچر ۾ هيڪر جي سرگرمين جي محتاط نگراني کي لاڳو ڪريو.

۽ هاڻي پهرين شيون پهرين.

ڏند ڪٿا ٺاهڻ

سائبر ڏوھاري اڳ ۾ ئي استعمال ڪيا ويا آھن گھڻا ھني پاٽ کي منهن ڏيڻ لاءِ، تنھنڪري انھن جو سڀ کان وڌيڪ ترقي يافته حصو ھر ھڪ ڪمزور سسٽم جي عميق تحقيق ڪري ٿو ته پڪ ڪرڻ لاءِ ته اھو ڪو ٽريپ نه آھي. ساڳئي سبب لاء، اسان انهي ڳالهه کي يقيني بڻائڻ جي ڪوشش ڪئي ته هوني پوٽ نه رڳو ڊزائن ۽ ٽيڪنيڪل پهلوئن جي لحاظ کان حقيقي هو، پر هڪ حقيقي ڪمپني جي ظاهري کي پڻ.

پنهنجو پاڻ کي هڪ فرضي ٿلهي هيڪر جي بوٽن ۾ وجهي، اسان هڪ تصديق ڪندڙ الگورتھم ٺاهيا آهن جيڪو هڪ حقيقي سسٽم کي ٽريپ کان ڌار ڪندو. ان ۾ شهرت سسٽم ۾ ڪمپني IP پتي جي ڳولا، IP پتي جي تاريخ ۾ ريورس ريسرچ، ڪمپني سان لاڳاپيل نالا ۽ لفظن جي ڳولا، انهي سان گڏ ان جي هم منصب، ۽ ٻيون ڪيتريون ئي شيون شامل آهن. نتيجي طور، ڏند ڪٿا ڪافي قائل ۽ پرڪشش ٿي گذريو آهي.

اسان فوجي ۽ هوائي جهازن جي حصي ۾ تمام وڏي گمنام گراهڪن لاءِ ڪم ڪندڙ ننڍڙي صنعتي پروٽوٽائپنگ بوٽڪ جي طور تي ڊيڪوائي فيڪٽري کي پوزيشن ڏيڻ جو فيصلو ڪيو. اهو اسان کي موجوده برانڊ استعمال ڪرڻ سان لاڳاپيل قانوني پيچيدگين کان آزاد ڪيو.

اڳتي هلي اسان کي تنظيم لاءِ هڪ ويزن، مشن ۽ نالو ڏيڻو هو. اسان فيصلو ڪيو ته اسان جي ڪمپني هڪ ننڍڙي ملازمن سان هڪ شروعاتي هوندي، جن مان هر هڪ باني آهي. هن اسان جي ڪاروبار جي مخصوص نوعيت جي ڪهاڻي ۾ اعتبار جو اضافو ڪيو، جيڪو ان کي اجازت ڏئي ٿو ته هو وڏن ۽ اهم گراهڪن لاءِ حساس منصوبن کي سنڀالي. اسان چاهيون ٿا ته اسان جي ڪمپني سائبر سيڪيورٽي نقطي نظر کان ڪمزور ظاهر ٿئي، پر ساڳئي وقت اهو واضح هو ته اسان ٽارگيٽ سسٽم تي اهم اثاثن سان ڪم ڪري رهيا هئاسين.

MeTech honeypot ويب سائيٽ جو اسڪرين شاٽ. ذريعو: رجحان مائڪرو

اسان لفظ چونڊيو MeTech ڪمپني جو نالو. سائيٽ هڪ مفت ٽيمپليٽ تي ٻڌل هئي. تصويرون فوٽو بينڪن مان ورتيون ويون، سڀ کان وڌيڪ غير مقبول استعمال ڪندي ۽ انهن کي تبديل ڪندي انهن کي گهٽ سڃاڻڻ جي قابل بڻائي.

اسان چاهيون ٿا ته ڪمپني حقيقي نظر اچي، تنهنڪري اسان کي گهربل مهارتن سان ملازم شامل ڪرڻ گهرجن جيڪي سرگرمي جي پروفائل سان ملن. اسان انهن لاءِ نالا ۽ شخصيتون کڻي آياسين ۽ پوءِ ڪوشش ڪئي ته تصويرن جي بئنڪن مان تصويرن کي قوميت مطابق چونڊيو وڃي.

MeTech honeypot ويب سائيٽ جو اسڪرين شاٽ. ذريعو: رجحان مائڪرو

دريافت ٿيڻ کان بچڻ لاء، اسان سٺي معيار جي گروپ فوٽوز جي ڳولا ڪئي جنهن مان اسان کي گهربل منهن چونڊي سگهون ٿا. بهرحال، اسان وري هن اختيار کي ڇڏي ڏنو، ڇو ته هڪ امڪاني هيڪر استعمال ڪري سگهي ٿو ريورس تصويري ڳولا ۽ دريافت ڪيو ته اسان جا "ملازمت" صرف فوٽو بئنڪ ۾ رهن ٿا. آخر ۾، اسان نيورل نيٽ ورڪ استعمال ڪندي غير موجود ماڻهن جون تصويرون استعمال ڪيون.

سائيٽ تي شايع ٿيل ملازمن جي پروفائيل ۾ انهن جي ٽيڪنيڪل صلاحيتن بابت اهم معلومات موجود هئي، پر اسان مخصوص اسڪولن يا شهرن جي نشاندهي ڪرڻ کان پاسو ڪيو.
ميل باڪس ٺاهڻ لاءِ، اسان هڪ هوسٽنگ فراهم ڪندڙ جو سرور استعمال ڪيو، ۽ پوءِ آمريڪا ۾ ڪيترائي ٽيليفون نمبر ڪرائي تي ڏنا ۽ انهن کي هڪ وائيس مينيو ۽ جوابي مشين سان گڏ هڪ ورچوئل PBX ۾ شامل ڪيو.

هني پوٽ انفراسٽرڪچر

نمائش کان بچڻ لاء، اسان حقيقي صنعتي هارڊويئر، جسماني ڪمپيوٽرن ۽ محفوظ مجازي مشينن جي ميلاپ کي استعمال ڪرڻ جو فيصلو ڪيو. اڳتي ڏسندي، اسان چونداسين ته اسان شوڊان سرچ انجڻ کي استعمال ڪندي اسان جي ڪوششن جو نتيجو چيڪ ڪيو، ۽ اهو ظاهر ڪيو ته هني پوٽ هڪ حقيقي صنعتي نظام وانگر نظر اچي ٿو.

Shodan استعمال ڪندي هڪ honeypot اسڪين ڪرڻ جو نتيجو. ذريعو: رجحان مائڪرو

اسان چار PLCs کي هارڊويئر طور استعمال ڪيو اسان جي ٽريپ لاءِ:

• Siemens S7-1200,
• ٻه آلن برادلي MicroLogix 1100،
• اومرون CP1L.

اهي پي ايل سي چونڊيا ويا انهن جي مقبوليت لاءِ عالمي ڪنٽرول سسٽم مارڪيٽ ۾. ۽ انهن مان هر هڪ ڪنٽرولر پنهنجو پنهنجو پروٽوڪول استعمال ڪري ٿو، جنهن اسان کي اها جانچ ڪرڻ جي اجازت ڏني ته ڪهڙي PLC تي گهڻو حملو ڪيو ويندو ۽ ڇا اهي اصولن ۾ ڪنهن کي به دلچسپي وٺندا.

اسان جي "فیکٹري" جو سامان - ٽرپ. ذريعو: رجحان مائڪرو

اسان صرف هارڊويئر انسٽال نه ڪيو ۽ ان کي انٽرنيٽ سان ڳنڍيو. اسان هر ڪنٽرولر کي ڪم ڪرڻ لاء پروگرام ڪيو، بشمول

• ملائڻ،
• برنر ۽ ڪنويئر بيلٽ ڪنٽرول،
• هڪ روبوٽ manipulator استعمال ڪندي palletizing.

۽ پيداوار جي عمل کي حقيقي بڻائڻ لاءِ، اسان منطق کي پروگرام ڪيو بي ترتيب انداز ۾ موٽ جي پيٽرولن کي تبديل ڪرڻ، موٽرز کي شروع ڪرڻ ۽ بند ڪرڻ، ۽ برنر کي آن ۽ آف ڪرڻ لاءِ.

اسان جي ڪارخاني ۾ ٽي ورچوئل ڪمپيوٽر هئا ۽ هڪ جسماني. ورچوئل ڪمپيوٽرن کي ڪنٽرول ڪرڻ لاءِ استعمال ڪيو ويو هڪ پلانٽ، هڪ پيليٽيزر روبوٽ، ۽ هڪ PLC سافٽ ويئر انجنيئر لاءِ ڪم اسٽيشن جي طور تي. جسماني ڪمپيوٽر هڪ فائيل سرور طور ڪم ڪيو.

PLCs تي حملن جي نگراني ڪرڻ کان علاوه، اسان چاهيون ٿا ته اسان جي ڊوائيسز تي لوڊ ٿيل پروگرامن جي صورتحال جي نگراني ڪن. هن کي ڪرڻ لاء، اسان هڪ انٽرفيس ٺاهيو جنهن کي اسان کي جلدي اهو طئي ڪرڻ جي اجازت ڏني وئي ته ڪيئن اسان جي مجازي ڪارڪردگي ۽ تنصيب جون حالتون تبديل ڪيون ويون آهن. اڳ ۾ ئي منصوبابندي واري مرحلي ۾، اسان دريافت ڪيو آهي ته ڪنٽرولر منطق جي سڌي پروگرامنگ جي ڀيٽ ۾ ڪنٽرول پروگرام استعمال ڪندي هن کي لاڳو ڪرڻ تمام آسان آهي. اسان بغير پاسورڊ جي VNC ذريعي اسان جي honeypot جي ڊوائيس مينيجمينٽ انٽرفيس تائين رسائي کوليو.

صنعتي روبوٽس جديد سمارٽ پيداوار جو هڪ اهم حصو آهن. ان سلسلي ۾، اسان هڪ روبوٽ ۽ هڪ خودڪار ڪم جي جڳهه کي شامل ڪرڻ جو فيصلو ڪيو ته ان کي اسان جي ٽرپ فيڪٽري جي سامان تي ڪنٽرول ڪرڻ لاء. ”فيڪٽري“ کي وڌيڪ حقيقي بڻائڻ لاءِ، اسان ڪنٽرول ورڪ اسٽيشن تي حقيقي سافٽ ويئر نصب ڪيو، جنهن کي انجنيئر روبوٽ جي منطق کي گرافي طور پروگرام ڪرڻ لاءِ استعمال ڪندا آهن. خير، جيئن ته صنعتي روبوٽ عام طور تي هڪ الڳ اندروني نيٽ ورڪ ۾ واقع آهن، اسان فيصلو ڪيو ته غير محفوظ رسائي صرف VNC ذريعي ڪنٽرول ورڪ اسٽيشن تائين.

اسان جي روبوٽ جي 3D ماڊل سان RobotStudio ماحول. ذريعو: رجحان مائڪرو

اسان ABB Robotics کان RobotStudio پروگرامنگ ماحول نصب ڪيو هڪ ورچوئل مشين تي هڪ روبوٽ ڪنٽرول ورڪ اسٽيشن سان. روبوٽ اسٽوڊيو کي ترتيب ڏيڻ کان پوءِ، اسان پنهنجي روبوٽ سان هڪ سميوليشن فائل کولي ان ۾ ته جيئن ان جي 3D تصوير اسڪرين تي نظر اچي. نتيجي طور، Shodan ۽ ٻيون سرچ انجڻ، هڪ غير محفوظ VNC سرور کي ڳولڻ تي، هن اسڪرين تصوير کي پڪڙيندا ۽ انهن کي ڏيکاريندا جيڪي صنعتي روبوٽس کي ڳولي رهيا آهن ڪنٽرول تائين کليل رسائي سان.

تفصيل ڏانهن ڌيان ڏيڻ جو مقصد اهو هو ته حملي آورن لاءِ هڪ اهڙو پرڪشش ۽ حقيقي نشانو ٺاهيو وڃي، جيڪو هڪ دفعو انهن کي مليو، ته وري ان ڏانهن موٽي وڃن.

انجنيئر جي ڪم اسٽيشن

PLC منطق کي پروگرام ڪرڻ لاءِ، اسان انفراسٽرڪچر ۾ هڪ انجنيئرنگ ڪمپيوٽر شامل ڪيو. PLC پروگرامنگ لاءِ صنعتي سافٽ ويئر ان تي نصب ڪيو ويو:

• سيمينس لاءِ TIA پورٽل،
• ايلن-برادلي ڪنٽرولر لاءِ مائڪرو لاگڪس،
• CX-Omron لاءِ.

اسان فيصلو ڪيو ته انجنيئرنگ ورڪ اسپيس نيٽ ورڪ کان ٻاهر رسائي لائق نه هوندي. ان جي بدران، اسان ايڊمنسٽريٽر اڪائونٽ لاءِ ساڳيو پاسورڊ سيٽ ڪيو جيئن روبوٽ ڪنٽرول ورڪ اسٽيشن ۽ فيڪٽري ڪنٽرول ورڪ اسٽيشن تي انٽرنيٽ تان رسائي لائق. هي تشڪيل ڪيترن ئي ڪمپنين ۾ ڪافي عام آهي.
بدقسمتي سان، اسان جي سڀني ڪوششن جي باوجود، هڪ به حملو ڪندڙ انجنيئر جي ورڪ اسٽيشن تائين نه پهتو.

فائل سرور

اسان کي ان جي ضرورت هئي حملي آورن لاءِ بِت جي طور تي ۽ ڊيڪوائي ڪارخاني ۾ اسان جي پنهنجي ”ڪم“ جي پٺڀرائي لاءِ. هي اسان کي اجازت ڏني ته اسان جي هني پوٽ سان فائلون شيئر ڪريون USB ڊوائيسز استعمال ڪندي هني پوٽ نيٽ ورڪ تي ڪو نشان ڇڏڻ کان سواءِ. اسان انسٽال ڪيو Windows 7 Pro کي OS جي طور تي فائل سرور لاءِ، جنهن ۾ اسان هڪ گڏيل فولڊر ٺاهيو جيڪو هرڪو پڙهي ۽ لکي سگهي ٿو.

پهرين تي اسان فائل سرور تي فولڊر ۽ دستاويزن جي ڪا به ترتيب نه ٺاهي هئي. بهرحال، اسان بعد ۾ دريافت ڪيو ته حملي ڪندڙ هن فولڊر کي فعال طور تي پڙهندا هئا، تنهنڪري اسان ان کي مختلف فائلن سان ڀرڻ جو فيصلو ڪيو. ائين ڪرڻ لاءِ، اسان هڪ python اسڪرپٽ لکيو جنهن ۾ ڏنل ايڪسٽينشنن مان هڪ سان گڏ بي ترتيب سائيز جي فائل ٺاهي، ڊڪشنري جي بنياد تي نالو ٺاهي.

پرڪشش فائل جا نالا ٺاهڻ لاءِ اسڪرپٽ. ذريعو: رجحان مائڪرو

اسڪرپٽ کي هلائڻ کان پوء، اسان مطلوب نتيجو حاصل ڪيو فولڊر جي شڪل ۾ تمام دلچسپ نالن سان فائلن سان ڀريل.

لکت جو نتيجو. ذريعو: رجحان مائڪرو

نگراني ماحول

هڪ حقيقي ڪمپني ٺاهڻ ۾ تمام گهڻي ڪوشش خرچ ڪرڻ، اسان صرف اسان جي "ملاحظه" جي نگراني لاء ماحول تي ناڪام ٿيڻ جي متحمل نه ٿي سگهي. اسان کي حقيقي وقت ۾ سڀ ڊيٽا حاصل ڪرڻ جي ضرورت آهي بغير حملي ڪندڙن کي اهو احساس آهي ته اهي ڏسي رهيا هئا.

اسان ان تي عمل ڪيو چار USB کان Ethernet اڊاپٽر، چار SharkTap Ethernet نل، هڪ Raspberry Pi 3، ۽ هڪ وڏي خارجي ڊرائيو. اسان جو نيٽ ورڪ ڊاگرام هن طرح نظر آيو:

Honeypot نيٽ ورڪ ڊراگرام مانيٽرنگ سامان سان. ذريعو: رجحان مائڪرو

اسان ٽن SharkTap ٽيپس کي پوزيشن ڏني آهي ته جيئن PLC ڏانهن تمام خارجي ٽرئفڪ جي نگراني ڪري سگهجي، صرف اندروني نيٽ ورڪ کان رسائي لائق. چوٿين SharkTap هڪ ڪمزور ورچوئل مشين جي مهمانن جي ٽرئفڪ جي نگراني ڪئي.

SharkTap Ethernet ٽيپ ۽ سيرا وائرليس AirLink RV50 روٽر. ذريعو: رجحان مائڪرو

Raspberry Pi روزاني ٽرئفڪ جي گرفتاري ڪئي. اسان سيرا وائرليس AirLink RV50 سيلولر روٽر استعمال ڪندي انٽرنيٽ سان ڳنڍيو، اڪثر ڪري صنعتي ادارن ۾ استعمال ٿيندو آهي.

بدقسمتي سان، هن روٽر اسان کي چونڊيل حملن کي بلاڪ ڪرڻ جي اجازت نه ڏني جيڪا اسان جي منصوبن سان نه ملندي هئي، تنهنڪري اسان نيٽ ورڪ تي گهٽ ۾ گهٽ اثر سان بلاڪ ڪرڻ کي انجام ڏيڻ لاء شفاف موڊ ۾ هڪ Cisco ASA 5505 فائر وال شامل ڪيو.

ٽرئفڪ جو تجزيو

Tshark ۽ tcpdump موجوده مسئلن کي جلدي حل ڪرڻ لاءِ موزون آهن، پر اسان جي صورت ۾ انهن جون صلاحيتون ڪافي نه هيون، ڇو ته اسان وٽ ڪيترائي گيگا بائيٽ ٽرئفڪ هئي، جن جو تجزيو ڪيترن ئي ماڻهن ڪيو هو. اسان AOL پاران تيار ڪيل اوپن سورس مولچ تجزيي استعمال ڪيو. اهو ڪارڪردگي ۾ وائر شارڪ جي مقابلي ۾ آهي، پر تعاون، وضاحت ۽ ٽيگنگ پيڪيجز، برآمد ۽ ٻين ڪمن لاء وڌيڪ صلاحيتون آهن.

جيئن ته اسان هني پوٽ ڪمپيوٽرن تي گڏ ڪيل ڊيٽا کي پروسيس ڪرڻ نٿا چاهيون، PCAP ڊمپ هر روز AWS اسٽوريج ڏانهن برآمد ڪيا ويا، جتان اسان اڳ ۾ ئي انهن کي Moloch مشين تي درآمد ڪيو.

اسڪرين ريڪارڊنگ

اسان جي هني پوٽ ۾ هيڪرز جي ڪارناما کي دستاويز ڪرڻ لاءِ، اسان هڪ اسڪرپٽ لکيو جنهن هڪ وقفي تي ورچوئل مشين جا اسڪرين شاٽ ورتا ۽ ان جو اڳئين اسڪرين شاٽ سان مقابلو ڪندي اهو طئي ڪيو ته اتي ڪجهه ٿي رهيو آهي يا نه. جڏهن سرگرمي معلوم ڪئي وئي، اسڪرپٽ ۾ اسڪرين رڪارڊنگ شامل آهي. اهو طريقو سڀ کان وڌيڪ اثرائتو ثابت ٿيو. اسان هڪ PCAP ڊمپ مان VNC ٽريفڪ جو تجزيو ڪرڻ جي پڻ ڪوشش ڪئي ته سمجھڻ لاءِ ته سسٽم ۾ ڪهڙيون تبديليون آيون آهن، پر آخر ۾ جيڪا اسڪرين رڪارڊنگ اسان لاڳو ڪئي، سا سادو ۽ وڌيڪ بصري ٿي.

VNC سيشن جي نگراني

ان لاءِ اسان استعمال ڪيو Chaosreader ۽ VNCLogger. ٻئي يوٽيلٽيز پي سي اي پي ڊمپ مان ڪي اسٽروڪ ڪڍندا آهن، پر VNCLogger ڪيز کي سنڀاليندو آهي جهڙوڪ Backspace، Enter، Ctrl وڌيڪ صحيح.

VNCLogger جا ٻه نقصان آهن. پهريون: اهو صرف انٽرفيس تي ٽريفڪ کي ”ٻڌڻ“ ذريعي ڪنجيون ڪڍي سگهي ٿو، تنهنڪري اسان کي tcpreplay استعمال ڪندي ان لاءِ هڪ VNC سيشن ٺاهڻو هو. VNCLogger جو ٻيو نقصان Chaosreader سان عام آهي: اهي ٻئي ڪلپ بورڊ جي مواد کي نه ڏيکاريندا آهن. هن کي ڪرڻ لاء مون کي استعمال ڪرڻو پيو Wireshark.

اسان هيڪرز کي لالچ ڏيون ٿا

اسان حملا ٿيڻ لاءِ هني پاٽ ٺاهيو. هن کي حاصل ڪرڻ لاء، اسان امڪاني حملي ڪندڙن جي ڌيان کي راغب ڪرڻ لاء هڪ معلومات ليڪ ڪيو. هني پوٽ تي هيٺيان بندرگاهن کوليا ويا:

اسان جي لائيو وڃڻ کان پوءِ ئي RDP بندرگاهه کي بند ڪرڻو پيو ڇاڪاڻ ته اسان جي نيٽ ورڪ تي اسڪيننگ ٽرئفڪ جي وڏي مقدار ڪارڪردگي جي مسئلن جو سبب بڻجي رهي هئي.
VNC ٽرمينلز پهريون ڀيرو صرف ڏسڻ واري موڊ ۾ بغير پاسورڊ جي ڪم ڪيو، ۽ پوء اسان "غلطي سان" انهن کي مڪمل رسائي موڊ ۾ تبديل ڪيو.

حملو ڪندڙن کي راغب ڪرڻ لاءِ، اسان پوسٽ بِن تي موجود صنعتي نظام بابت ليڪ ٿيل معلومات سان ٻه پوسٽون پوسٽ ڪيون.

حملن کي راغب ڪرڻ لاء PasteBin تي پوسٽ ڪيل پوسٽن مان هڪ. ذريعو: رجحان مائڪرو

حملا

هني پوٽ اٽڪل ست مهينا آن لائن رهندو هو. پهريون حملو هني پاٽ آن لائن ٿيڻ کان هڪ مهيني بعد ٿيو.

اسڪينر

مشهور ڪمپنين جي اسڪينرز کان تمام گهڻو ٽرئفڪ هئي - ip-ip، Rapid، شيڊو سرور، Shodan، ZoomEye ۽ ٻيا. انهن مان تمام گهڻا هئا جن کي اسان کي انهن جي IP پتي کي تجزيو مان خارج ڪرڻو پيو: 610 مان 9452 يا 6,45٪ سڀني منفرد IP پتي جو تعلق مڪمل طور تي جائز اسڪينرز سان آهي.

اسڪيمرز

سڀ کان وڏو خطرو جيڪو اسان کي منهن ڏيڻو پيو آهي اهو آهي اسان جي سسٽم جو ڏوهن جي مقصدن لاءِ استعمال: سبسڪرائبر جي اڪائونٽ ذريعي اسمارٽ فونز خريد ڪرڻ، گفٽ ڪارڊ استعمال ڪندي ايئر لائن ميلن کي ڪيش آئوٽ ڪرڻ ۽ ٻين قسمن جي فراڊ.

معدنيات

اسان جي سسٽم جي پهرين گهمڻ وارن مان هڪ کان کني نڪتو. هن ڊائون لوڊ ڪيو Monero مائننگ سافٽ ويئر ان تي. هو اسان جي خاص سسٽم تي گهٽ پيداوار جي ڪري گهڻو پئسا ڪمائڻ جي قابل نه هوندا. بهرحال، جيڪڏهن اسان ڪيترن ئي درجن جي ڪوششن کي گڏ ڪريون يا ان کان به سوين اهڙين سسٽمن کي، اهو تمام سٺو ٿي سگهي ٿو.

رينسم ويئر

honeypot جي ڪم دوران، اسان ٻه ڀيرا حقيقي ransomware وائرس سان منهن ڪيو. پهرين صورت ۾ اهو Crysis هو. ان جا آپريٽرز VNC ذريعي سسٽم ۾ لاگ ان ٿيا، پر پوءِ انسٽال ڪيو TeamViewer ۽ ان کي استعمال ڪيو وڌيڪ ڪارناما انجام ڏيڻ لاءِ. BTC ۾ 10 ڊالر جي تاوان جو مطالبو ڪندي ڀڃڻ واري پيغام جو انتظار ڪرڻ کان پوء، اسان مجرمين سان خط و ڪتابت ۾ داخل ڪيو، انهن کان پڇيو ته اسان جي لاء فائلن مان هڪ کي ڊڪرائي. انهن درخواست جي تعميل ڪئي ۽ تاوان جو مطالبو بار بار ڪيو. اسان 6 هزار ڊالرن تائين ڳالهين کي منظم ڪيو، جنهن کان پوء اسان صرف سسٽم کي هڪ ورچوئل مشين تي ٻيهر اپلوڊ ڪيو، ڇاڪاڻ ته اسان سڀني ضروري معلومات حاصل ڪئي.

ٻيو ransomware فوبوس نڪتو. هيڪر جنهن ان کي انسٽال ڪيو هڪ ڪلاڪ هني پوٽ فائل سسٽم کي براؤز ڪرڻ ۽ نيٽ ورڪ کي اسڪين ڪرڻ ۾ گذاريو، ۽ پوءِ آخرڪار ransomware انسٽال ڪيو.
ٽيون ransomware حملو جعلي نڪتو. هڪ نامعلوم ”هيڪر“ اسان جي سسٽم تي haha.bat فائل ڊائون لوڊ ڪيو، جنهن کان پوءِ اسان ڪجهه دير لاءِ ڏٺو جيئن هن ان کي ڪم ڪرڻ جي ڪوشش ڪئي. هڪ ڪوشش هئي haha.bat جو نالو تبديل ڪري haha.rnsmwr.

”هيڪر“ بيٽ فائل جي نقصان کي وڌائي ٿو ان جي ايڪسٽينشن کي .rnsmwr ۾ تبديل ڪندي. ذريعو: رجحان مائڪرو

جڏهن بيچ فائل آخرڪار هلڻ شروع ڪيو، "هيڪر" ان کي ايڊٽ ڪيو، $ 200 کان $ 750 تائين تاوان وڌائي. ان کان پوء، هن سڀني فائلن کي "انڪرپٽ" ڪيو، ڊيسڪ ٽاپ تي هڪ ڀڃڻ وارو پيغام ڇڏيو ۽ غائب ٿي ويو، اسان جي VNC تي پاسورڊ تبديل ڪندي.

ڪجهه ڏينهن کان پوء، هيڪر واپس آيو ۽، پاڻ کي ياد ڏيارڻ لاء، هڪ بيچ فائل شروع ڪيو جنهن ڪيترن ئي ونڊوز کي هڪ فحش سائيٽ سان کوليو. ظاهر آهي، هن طريقي سان هن پنهنجي مطالبي ڏانهن ڌيان ڏيڻ جي ڪوشش ڪئي.

نتيجو

مطالعي دوران، اهو ظاهر ٿيو ته جيئن ئي نقصان جي باري ۾ معلومات شايع ڪئي وئي، هني پوٽ ڌيان ڇڪايو، سرگرميون ڏينهون ڏينهن وڌندڙ. ڌيان حاصل ڪرڻ لاءِ ٽريپ لاءِ، اسان جي فرضي ڪمپني کي ڪيترن ئي حفاظتي ڀڃڪڙين جو شڪار ٿيڻو پيو. بدقسمتي سان، اها صورتحال ڪيترين ئي حقيقي ڪمپنين جي وچ ۾ غير معمولي کان پري آهي جن وٽ مڪمل وقت جي آئي ٽي ۽ معلوماتي سيڪيورٽي ملازم نه آهن.

عام طور تي، تنظيمن کي گهٽ ۾ گهٽ استحقاق جو اصول استعمال ڪرڻ گهرجي، جڏهن ته اسان حملي ڪندڙن کي راغب ڪرڻ لاء ان جي بلڪل سامهون لاڳو ڪيو. ۽ جيترو وقت اسان حملن کي ڏٺو، اوترو وڌيڪ نفيس ٿي ويا اهي معياري دخول جي جاچ جي طريقن جي مقابلي ۾.

۽ سڀ کان وڌيڪ اهم، اهي سڀئي حملا ناڪام ٿين ها جيڪڏهن نيٽ ورڪ قائم ڪرڻ وقت مناسب حفاظتي قدمن تي عمل ڪيو وڃي ها. تنظيمن کي يقيني بڻائڻ گهرجي ته انهن جا سامان ۽ صنعتي بنيادي ڍانچي جا حصا انٽرنيٽ تان پهچ نه آهن، جيئن اسان خاص طور تي اسان جي پيچري ۾ ڪيو.

جيتوڻيڪ اسان هڪ انجنيئر جي ورڪ اسٽيشن تي هڪ به حملو رڪارڊ نه ڪيو آهي، سڀني ڪمپيوٽرن تي ساڳيو مقامي منتظم پاسورڊ استعمال ڪرڻ جي باوجود، مداخلت جي امڪان کي گهٽائڻ لاءِ هن مشق کان پاسو ڪيو وڃي. سڀ کان پوء، ڪمزور سيڪيورٽي صنعتي سسٽم تي حملو ڪرڻ لاء هڪ اضافي دعوت جي طور تي ڪم ڪري ٿو، جيڪي ڊگهي عرصي کان سائبر ڏوهن جي دلچسپي رکن ٿا.

جو ذريعو: www.habr.com