Aan kuu sheegno sheeko qabow oo ku saabsan sida "dhinac saddexaad" ay isku dayeen inay farageliyaan shaqada macaamiisheena, iyo sida dhibaatadan loo xaliyay.
Siday ku bilaabmeen
Waxa ay dhamaan bilaabmeen subaxii 31-ka October oo ah maalinta ugu danbeysa ee bisha, markaasi oo dad badan ay aad ugu baahnaayeen in ay helaan waqti ay ku xaliyaan arimaha degdega ah ee muhiimka ah.
Mid ka mid ah wada-hawlgalayaasha, kuwaas oo dhawraya mashiinnada farsamada ee macaamiisha uu u adeego daruurteena, ayaa sheegay in laga bilaabo 9:10 ilaa 9:20 dhowr server oo Windows ah oo ku shaqeeya goobta Yukreeniyaanka ma aqbalin isku xirka adeegga fogaanta , isticmaalayaashu way awoodi waayeen. si ay u galaan miisaska gacanta, laakiin dhowr daqiiqo ka dib dhibaatadu waxay u muuqatay inay is xalliso.
Waxaan kor u qaadnay tirakoobka shaqada kanaalada isgaarsiineed, laakiin ma aan helin wax gaadiid ah oo kor u kacay ama fashilmeen. Waxaan eegnay tirakoobka culeyska ku saabsan kheyraadka xisaabinta - ma jiraan wax cillado ah. Oo maxay ahayd taasi?
Dabadeed lammaane kale, oo martigeliyay ilaa boqol server oo kale oo daruurteena ah, ayaa ka warbixiyay dhibaatooyin la mid ah in qaar ka mid ah macaamiishooda ay sheegeen, waxaana soo baxday in guud ahaan server-yada la heli karo (si sax ah uga jawaabaya tijaabada ping iyo codsiyada kale), laakiin Adeegga fogaanta ee server-yadani ama waxay aqbalaan xiriiryo cusub ama way diidaan, waxaana ka hadlaynay server-yada goobo kala duwan, taraafikada kuwaas oo ka yimaada kanaalada kala duwan ee xogta.
Aan eegno gaadiidkan. Baakad leh codsi xidhiidh ayaa imanaya serverka:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Adeeguhu wuxuu helayaa xidhmadan, laakiin wuu diiday xidhiidhka:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Tani waxay ka dhigan tahay in dhibaatadu aysan si cad u keenin wax dhibaato ah oo ku saabsan hawlgalka kaabayaasha, laakiin wax kale. Waxaa laga yaabaa in dhammaan isticmaalayaasha ay dhibaato kala kulmaan shatiga miiska fog? Waxaa laga yaabaa in nooc ka mid ah malware-ku ay u suurtagashay in ay galaan nidaamyadooda, maantana waa la hawlgeliyay, sidii ay ahayd dhowr sano ka hor. XData и Petya?
Intii aanu xalinaynay, waxa aanu helnay codsiyo isku mid ah oo ka yimi dhawr macmiil oo kale iyo la-hawlgalayaasheeda.
Maxaa ka dhacaya mashiinadan?
Diiwaanka dhacdada waxaa ka buuxa farriimo ku saabsan isku dayga lagu qiyaaso erayga sirta ah:
Caadi ahaan, isku dayga noocan oo kale ah ayaa ka diiwaan gashan dhammaan server-yada halkaas oo dekedda caadiga ah (3389) loo isticmaalo adeegga fogaanta iyo gelitaanka laga oggol yahay meel kasta. Internetka waxaa ka buuxa bots kuwaas oo si joogto ah u baadhaya dhammaan dhibcaha isku xirka ee jira iskuna day inaad qiyaasto erayga sirta ah (taasi waa sababta aan si adag ugu talineyno isticmaalka furaha sirta ah ee adag halkii "123"). Si kastaba ha ahaatee, xoojinta isku daygaas maalintaas aad ayuu u sarreeyay.
Maxaan sameeyaa?
Ku talinaynaa in macaamiishu ay waqti badan ku bixiyaan beddelka goobaha loogu talagalay tiro badan oo isticmaalayaasha dhamaadka ah si ay ugu beddelaan deked kale? Maaha fikrad fiican, macaamiishu ma faraxsanaan doonaan. Ma ku talinaysaa in loo oggolaado gelitaanka VPN kaliya? Si degdeg ah oo argagax leh, kor u qaadista xidhiidhada IPSec ee kuwa aan haysan iyaga ayaa kor u qaaday - laga yaabee in farxadda noocaas ahi aanay sidoo kale dhoola cadeyn macaamiisha. In kasta oo, waa inaan dhahaa, tani waa wax cibaado leh xaalad kasta, waxaan had iyo jeer kugula talineynaa inaad ku qariso serverka shabakad gaar ah waxayna diyaar u yihiin inay ka caawiyaan goobaha, iyo kuwa jecel inay iskood u gartaan, waxaan wadaagnaa tilmaamaha u dejinta IPSec/L2TP ee daruurteena goobta-goob ama hab-waddo-dagaalyahan, iyo haddii qof uu rabo inuu ku sameeyo adeeg VPN server-kooda Windows, had iyo jeer waxay diyaar u yihiin inay wadaagaan talooyin ku saabsan sida loo sameeyo caadiga ah RAS ama OpenVPN. Laakiin, si kasta oo aan u qabownay, tani ma ahayn markii ugu fiicnayd ee lagu qaban lahaa shaqada waxbarashada macaamiisha dhexdooda, maadaama aan u baahanahay inaan sida ugu dhaqsaha badan u xallino dhibaatada iyadoo ay ugu yar tahay isticmaaleyaasha.
Xalka aanu fulinay waxa uu ahaa sidan. Waxaan dejinay falanqaynta gudbinta taraafikada si aan ula soconno dhammaan isku dayada lagu dhisayo xidhiidhka TCP ee dekedda 3389 oo aan ka dooranno cinwaannada, 150 ilbiriqsi gudahood, isku day in la sameeyo xiriirro leh in ka badan 16 server oo kala duwan oo shabakaddayada ah. - kuwani waa ilaha weerarka (Dabcan, haddii mid ka mid ah macaamiisha ama la-hawlgalayaasha uu leeyahay baahi dhab ah si loo dhiso xiriiro badan oo server ah oo isku mid ah, waxaad had iyo jeer ku dari kartaa ilahaas "liiska cad." Intaa waxaa dheer, Haddii hal shabakad oo fasalka C ah muddo 150 ilbiriqsi ah, in ka badan 32 ciwaan ayaa la aqoonsaday, waxaa macno leh in la xannibo shabakadda oo dhan, xannibaadda waxaa loo dejiyay 3 maalmood, haddii muddadaas aan la qaadin weerarro laga soo xigtay ilo. ishan si toos ah ayaa looga saarayaa "liiska madow." Liiska ilaha la xidhay waa la cusboonaysiiyaa 300 ilbiriqsi kasta.
Liiskaan waxaa laga heli karaa cinwaankan: , waxaad ku dhisi kartaa ACL-gaaga iyada oo ku saleysan.
Waxaan diyaar u nahay inaan wadaagno koodhka isha ee nidaamkan oo kale; ma jiraan wax aad u adag oo ku jira (kuwaani waa dhowr qoraal oo fudud oo lagu soo ururiyay macno ahaan dhowr saacadood oo jilibka ah), isla markaana waa la waafajin karaa oo aan la isticmaalin. kaliya in laga ilaaliyo weerarkan oo kale, laakiin sidoo kale in la ogaado lagana hortago isku day kasta oo lagu sawirayo shabakada:
Intaa waxaa dheer, waxaan ku sameynay isbeddelo qaar ka mid ah goobaha nidaamka kormeerka, taas oo hadda si dhow ula socota falcelinta koox xakameyn ah oo ka mid ah server-yada casriga ah ee daruurteena si ay isugu dayaan in la dhiso xiriir RDP ah: haddii falcelintu aysan raacin gudaha a labaad, tani waa sabab loo fiirsado.
Xalku wuxuu noqday mid wax ku ool ah: ma jiraan cabashooyin kale oo ka imanaya macaamiisha iyo la-hawlgalayaasha, iyo nidaamka la socodka. Cinwaanada cusub iyo shabakadaha oo dhan ayaa si joogto ah loogu daraa liiska madow, taas oo muujinaysa in weerarku sii socdo, laakiin hadda ma saameynayo shaqada macaamiisheena.
Waxaa jira badbaado xagga tirada
Maanta waxaan ogaanay in hawlwadeenada kale ay la kulmeen dhibaato taas la mid ah. Qof ayaa weli aaminsan in Microsoft ay isbeddel ku samaysay koodhka adeegga fogaanta (haddii aad xasuusato, waxaan ka shakinay wax la mid ah maalintii ugu horreysay, laakiin si deg deg ah ayaanu u diidnay noocaan) waxayna ballanqaaday inay samaynayso wax kasta oo suurtagal ah si xal degdeg ah loo helo. . Dadka qaarkiis ayaa si fudud iska indhatira dhibaatada waxayna kula taliyaan macaamiisha inay is-difaacaan (beddelaan dekedda isku xirka, ku qariyaan serverka shabakad gaar ah, iyo wixii la mid ah). Maalintii ugu horreysayna, ma aannu xallin dhibaatadan oo keliya, laakiin waxaan sidoo kale abuurnay qaar ka mid ah aasaaska nidaamka ogaanshaha khatarta caalamiga ah ee aan qorsheynayno inaan horumarinno.
Waxaan mahad gaar ah u jeedinayaa macmiisha iyo la-hawlgalayaashi oo aan ka aamusin oo aan fadhiisan jiinka webiga oo sugaya maydka cadawga oo maalin maalmaha ka mid ah ku dul sabeynaya, balse isla markiiba na soo jiitay dhibaatada, taasoo fursad noo siisay inaan meesha ka saarno. isla maalintaas.
Source: www.habr.com