සිංගප්පූරුවේ ඩිජිටල් සාගර නෝඩයක පැණි බඳුනක් ස්ථාපනය කිරීමෙන් පසු පැය 24 සඳහා සංඛ්‍යාලේඛන

පිව් පිව්! ප්‍රහාරක සිතියම සමඟ අපි වහාම ආරම්භ කරමු

අපගේ සුපිරි සිසිල් සිතියම පැය 24ක් ඇතුළත අපගේ Cowrie honeypot වෙත සම්බන්ධ වූ අද්විතීය ASN පෙන්වයි. කහ SSH සම්බන්ධතා වලට අනුරූප වන අතර රතු Telnet වලට අනුරූප වේ. එවැනි සජීවිකරණ බොහෝ විට සමාගමේ අධ්‍යක්ෂ මණ්ඩලයේ සිත් ඇදගන්නා අතර, ආරක්ෂාව සහ සම්පත් සඳහා වැඩි අරමුදල් සුරක්ෂිත කිරීමට උපකාරී වේ. කෙසේ වෙතත්, සිතියමට යම් වටිනාකමක් ඇත, පැය 24ක් තුළ අපගේ සත්කාරක සමාගමට ප්‍රහාරක මූලාශ්‍රවල භූගෝලීය සහ සංවිධානාත්මක ව්‍යාප්තිය පැහැදිලිව පෙන්වයි. සජීවිකරණය එක් එක් මූලාශ්‍රයෙන් ලැබෙන ගමනාගමන ප්‍රමාණය පිළිබිඹු නොකරයි.

Pew Pew සිතියමක් යනු කුමක්ද?

Pew Pew සිතියම - මෙය සයිබර් ප්‍රහාරවල දෘශ්‍යකරණය, සාමාන්යයෙන් සජීවිකරණ සහ ඉතා ලස්සනයි. එය නොර්ස් කෝපරේෂන් විසින් කුප්‍රකට ලෙස භාවිතා කරන ඔබේ භාණ්ඩය විකිණීමට ඇති විචිත්‍රවත් ක්‍රමයකි. සමාගම නරක ලෙස අවසන් විය: අලංකාර සජීවිකරණ ඔවුන්ගේ එකම වාසිය බව පෙනී ගිය අතර ඔවුන් විශ්ලේෂණය සඳහා ඛණ්ඩන දත්ත භාවිතා කළහ.

Leafletjs වලින් සාදා ඇත

මෙහෙයුම් මධ්‍යස්ථානයේ විශාල තිරය සඳහා ප්‍රහාරක සිතියමක් සැලසුම් කිරීමට අවශ්‍ය අය සඳහා (ඔබේ ප්‍රධානියා එයට කැමති වනු ඇත), පුස්තකාලයක් ඇත. පත්‍රිකා. අපි එය ප්ලගිනය සමඟ ඒකාබද්ධ කරමු පත්රිකා සංක්රමණය ස්ථරය, Maxmind GeoIP සේවාව - හා කළා.

WTF: මොකක්ද මේ Cowrie honeypot?

Honeypot යනු ප්‍රහාරකයන් ආකර්ෂණය කර ගැනීම සඳහා විශේෂයෙන් ජාලය මත තබා ඇති පද්ධතියකි. පද්ධතියට සම්බන්ධතා සාමාන්යයෙන් නීති විරෝධී වන අතර සවිස්තරාත්මක ලඝු-සටහන් භාවිතයෙන් ප්රහාරකයා හඳුනා ගැනීමට ඔබට ඉඩ සලසයි. ලඝු-සටහන් නිතිපතා සම්බන්ධතා තොරතුරු පමණක් නොව, හෙළි කරන සැසි තොරතුරු ද ගබඩා කරයි ශිල්පීය ක්රම, උපක්රම සහ ක්රියා පටිපාටි (TTP) අනවසරයෙන් ඇතුල් වන්නා.

Honeypot Cowrie සඳහා නිර්මාණය කරන ලදි SSH සහ Telnet සම්බන්ධතා වාර්තා. ප්‍රහාරකයන්ගේ මෙවලම්, ස්ක්‍රිප්ට් සහ ධාරක ලුහුබැඳීම සඳහා එවැනි හනිපොට් බොහෝ විට අන්තර්ජාලයට දමනු ලැබේ.

ප්‍රහාරයට ලක් නොවනු ඇතැයි සිතන සමාගම් වෙත මගේ පණිවිඩය: "ඔබ වෙහෙස මහන්සි වී බලනවා."
- ජේම්ස් ස්නූක්

ලඝු-සටහන් වල ඇත්තේ කුමක්ද?

මුළු සම්බන්ධතා ගණන

බොහෝ සත්කාරකයන්ගෙන් නැවත නැවතත් සම්බන්ධතා උත්සාහයන් සිදු විය. ප්‍රහාරක ස්ක්‍රිප්ට් වල සම්පූර්ණ අක්තපත්‍ර ලැයිස්තුවක් ඇති අතර සංයෝජන කිහිපයක් උත්සාහ කරන බැවින් මෙය සාමාන්‍ය දෙයකි. Cowrie Honeypot ඇතැම් පරිශීලක නාම සහ මුරපද සංයෝජන පිළිගැනීමට වින්‍යාස කර ඇත. මෙය වින්‍යාස කර ඇත user.db ගොනුව.

ප්රහාරයේ භූගෝල විද්යාව

Maxmind භූ ස්ථාන දත්ත භාවිතා කරමින්, මම එක් එක් රටවලින් සම්බන්ධතා ගණන ගණන් කළෙමි. බ්‍රසීලය සහ චීනය පුළුල් ආන්තිකයකින් ඉදිරියෙන් සිටින අතර, මෙම රටවලින් පැමිණෙන ස්කෑනර් යන්ත්‍රවලින් බොහෝ විට විශාල ශබ්දයක් ඇත.

ජාල අවහිර හිමිකරු

ජාල බ්ලොක් වල (ASN) හිමිකරුවන් ගැන පර්යේෂණ කිරීමෙන් ප්‍රහාරක ධාරක විශාල සංඛ්‍යාවක් ඇති සංවිධාන හඳුනා ගත හැකිය. ඇත්ත වශයෙන්ම, එවැනි අවස්ථාවන්හිදී බොහෝ ප්රහාර පැමිණෙන්නේ ආසාදිත සත්කාරකයන්ගෙන් බව ඔබ සැමවිටම මතක තබා ගත යුතුය. බොහෝ ප්‍රහාරකයින් නිවසේ පරිගණකයකින් ජාලය පරිලෝකනය කිරීමට තරම් මෝඩ නොවන බව උපකල්පනය කිරීම සාධාරණ ය.

ප්‍රහාරක පද්ධතිවල වරායන් විවෘත කරන්න (Shodan.io වෙතින් දත්ත)

විශිෂ්ට හරහා IP ලැයිස්තුව ධාවනය කිරීම ෂෝඩන් ඒපීඅයි ඉක්මනින් හඳුනා ගනී විවෘත වරායන් සහිත පද්ධති සහ මෙම වරායන් මොනවාද? පහත රූපයේ දැක්වෙන්නේ රට සහ සංවිධානය අනුව විවෘත වරායන්හි සාන්ද්‍රණයයි. සම්මුතිගත පද්ධතිවල කොටස් හඳුනා ගැනීමට හැකි වනු ඇත, නමුත් ඇතුළත කුඩා නියැදිය විශාල සංඛ්‍යාවක් හැර කැපී පෙනෙන කිසිවක් නොපෙනේ චීනයේ විවෘත වරායන් 500ක්.

සිත්ගන්නා කරුණක් වන්නේ බ්‍රසීලයේ ඇති පද්ධති විශාල සංඛ්‍යාවකි 22, 23 විවෘත නොවේ හෝ වෙනත් වරායන්, Censys සහ Shodan අනුව. පෙනෙන විදිහට මේවා අවසාන පරිශීලක පරිගණක වලින් සම්බන්ධතා වේ.

බොට්ස්? අවශ්ය නැහැ

දත්ත සංගණනය වරාය 22 සහ 23 සඳහා ඔවුන් එදා අමුතු දෙයක් පෙන්වූහ. මම උපකල්පනය කළේ බොහෝ ස්කෑන් සහ මුරපද ප්‍රහාර බොට් වලින් එන බවයි. ස්ක්‍රිප්ට් විවෘත වරායන් පුරා පැතිරී, මුරපද අනුමාන කරමින්, නව පද්ධතියෙන් පිටපත් කර එම ක්‍රමයම භාවිතා කරමින් දිගටම ව්‍යාප්ත වේ.

නමුත් මෙහිදී ඔබට පෙනෙන්නේ ටෙල්නෙට් ස්කෑන් කරන ධාරක කුඩා සංඛ්‍යාවක් පමණක් port 23 පිටත විවෘතව ඇති බවයි.මෙයින් අදහස් වන්නේ පද්ධති වෙනත් ආකාරයකින් සම්මුතියකට ලක්ව ඇති බවයි, නැතහොත් ප්‍රහාරකයන් අතින් ස්ක්‍රිප්ට් ධාවනය වන බවයි.

නිවාස සම්බන්ධතා

තවත් සිත්ගන්නා කරුණක් වූයේ සාම්පලයේ විශාල නිවාස භාවිතා කරන්නන් සංඛ්‍යාවක් සිටීමයි. භාවිතා කිරීම මගින් ආපසු බැලීම මම විශේෂිත ගෘහස්ථ පරිගණක වලින් සම්බන්ධතා 105 ක් හඳුනා ගත්තා. බොහෝ ගෘහ සම්බන්ධතා සඳහා, ප්‍රතිලෝම DNS සෙවීමක් මඟින් ධාරක නාමය dsl, home, cable, fiber යනාදී වචන සමඟ පෙන්වයි.

ඉගෙන ගන්න සහ ගවේෂණය කරන්න: ඔබේම හනිපොට් ඔසවන්න

මම මෑතකදී ලිව්වේ කෙසේද යන්න පිළිබඳ කෙටි නිබන්ධනයක් ඔබේ පද්ධතියේ Cowrie honeypot ස්ථාපනය කරන්න. දැනටමත් සඳහන් කර ඇති පරිදි, අපගේ නඩුවේදී අපි සිංගප්පූරුවේ ඩිජිටල් සාගර VPS භාවිතා කළෙමු. පැය 24 ක විශ්ලේෂණය සඳහා, පිරිවැය වචනාර්ථයෙන් ශත කිහිපයක් වූ අතර, පද්ධතිය එකලස් කිරීමේ කාලය විනාඩි 30 කි.

අන්තර්ජාලයේ Cowrie ධාවනය කර සියලු ඝෝෂාව අල්ලා ගන්නවා වෙනුවට, ඔබට ඔබේ දේශීය ජාලයේ honeypot වෙතින් ප්‍රයෝජන ගත හැකිය. ඇතැම් වරායන් වෙත ඉල්ලීම් යවන්නේ නම් නිරන්තරයෙන් දැනුම්දීමක් සකසන්න. මෙය ජාලය තුළ සිටින ප්‍රහාරකයෙකු හෝ කුතුහලය දනවන සේවකයෙකු හෝ අවදානම් ස්කෑන් කිරීමකි.

සොයා ගැනීම්

පැය XNUMXක කාලය තුළ ප්‍රහාරකයින්ගේ ක්‍රියා බැලීමෙන් පසු, ඕනෑම සංවිධානයක, රටක හෝ මෙහෙයුම් පද්ධතියක පවා ප්‍රහාරවල පැහැදිලි මූලාශ්‍රයක් හඳුනාගත නොහැකි බව පැහැදිලි වේ.

මූලාශ්‍රවල පුළුල් ව්‍යාප්තිය පෙන්නුම් කරන්නේ ස්කෑන් ශබ්දය නියත වන අතර නිශ්චිත මූලාශ්‍රයක් සමඟ සම්බන්ධ නොවන බවයි. අන්තර්ජාලයේ වැඩ කරන ඕනෑම අයෙකු ඔවුන්ගේ පද්ධතිය සහතික කළ යුතුය ආරක්ෂක මට්ටම් කිහිපයක්. සඳහා පොදු සහ ඵලදායී විසඳුමක් එස්එස්එච් සේවාව අහඹු ඉහළ වරායකට ගමන් කරනු ඇත. මෙය දැඩි මුරපද ආරක්‍ෂාව සහ අධීක්‍ෂණය කිරීමේ අවශ්‍යතාවය ඉවත් නොකරයි, නමුත් අවම වශයෙන් නිරන්තර ස්කෑන් කිරීම මගින් ලඝු-සටහන් අවහිර නොවන බව සහතික කරයි. ඉහළ වරාය සම්බන්ධතා ඉලක්කගත ප්‍රහාර වීමට වැඩි ඉඩක් ඇත, එය ඔබට උනන්දු විය හැකිය.

බොහෝ විට විවෘත ටෙල්නෙට් වරායන් රවුටරවල හෝ වෙනත් උපාංගවල ඇති බැවින් ඒවා පහසුවෙන් ඉහළ වරායකට ගෙන යා නොහැක. සියලුම විවෘත වරායන් පිළිබඳ තොරතුරු и ප්රහාරක මතුපිට මෙම සේවාවන් ෆයර්වෝල් හෝ අක්‍රීය කර ඇති බව සහතික කිරීමට ඇති එකම ක්‍රමය වේ. හැකි නම්, ඔබ කිසිසේත්ම Telnet භාවිතා නොකළ යුතුය; මෙම ප්‍රොටෝකෝලය සංකේතනය කර නොමැත. ඔබට එය අවශ්‍ය නම් සහ එය නොමැතිව කළ නොහැකි නම්, එය හොඳින් නිරීක්ෂණය කර ශක්තිමත් මුරපද භාවිතා කරන්න.

මූලාශ්රය: www.habr.com