சிங்கப்பூரில் டிஜிட்டல் பெருங்கடல் முனையில் ஹனிபாட்டை நிறுவிய 24 மணிநேரத்திற்கான புள்ளிவிவரங்கள்
பியூ பியூ! தாக்குதல் வரைபடத்துடன் இப்போதே தொடங்குவோம்
எங்கள் சூப்பர் கூல் வரைபடம் 24 மணி நேரத்திற்குள் எங்கள் கவுரி ஹனிபாட்டுடன் இணைக்கப்பட்ட தனித்துவமான ASNகளைக் காட்டுகிறது. மஞ்சள் SSH இணைப்புகளுக்கு ஒத்திருக்கிறது, மற்றும் சிவப்பு டெல்நெட்டிற்கு ஒத்திருக்கிறது. இத்தகைய அனிமேஷன்கள் பெரும்பாலும் நிறுவனத்தின் இயக்குநர்கள் குழுவை ஈர்க்கின்றன, இது பாதுகாப்பு மற்றும் வளங்களுக்கு அதிக நிதியைப் பெற உதவும். எவ்வாறாயினும், வரைபடம் சில மதிப்பைக் கொண்டுள்ளது, வெறும் 24 மணிநேரத்தில் எங்கள் ஹோஸ்ட் மீது தாக்குதல் ஆதாரங்களின் புவியியல் மற்றும் நிறுவன பரவலைத் தெளிவாகக் காட்டுகிறது. ஒவ்வொரு மூலத்திலிருந்தும் போக்குவரத்தின் அளவை அனிமேஷன் பிரதிபலிக்காது.
பியூ பியூ வரைபடம் என்றால் என்ன?
பியூ பியூ வரைபடம் - அது , பொதுவாக அனிமேஷன் மற்றும் மிகவும் அழகாக. Norse Corp இழிவாகப் பயன்படுத்தப்படும் உங்கள் தயாரிப்பை விற்க இது ஒரு ஆடம்பரமான வழியாகும். நிறுவனம் மோசமாக முடிந்தது: அழகான அனிமேஷன்கள் அவற்றின் ஒரே நன்மை என்று மாறியது, மேலும் அவை பகுப்பாய்வுக்காக துண்டு துண்டான தரவைப் பயன்படுத்தின.
Leafletjs மூலம் உருவாக்கப்பட்டது
செயல்பாட்டு மையத்தில் பெரிய திரையில் தாக்குதல் வரைபடத்தை வடிவமைக்க விரும்புவோருக்கு (உங்கள் முதலாளி அதை விரும்புவார்), ஒரு நூலகம் உள்ளது. . நாங்கள் அதை சொருகி மூலம் இணைக்கிறோம் , Maxmind GeoIP சேவை - .
WTF: இது என்ன கவுரி ஹனிபாட்?
ஹனிபாட் என்பது நெட்வொர்க்கில் குறிப்பாக தாக்குபவர்களை கவரும் வகையில் வைக்கப்படும் ஒரு அமைப்பாகும். கணினிக்கான இணைப்புகள் பொதுவாக சட்டவிரோதமானது மற்றும் விரிவான பதிவுகளைப் பயன்படுத்தி தாக்குபவர்களைக் கண்டறிய உங்களை அனுமதிக்கிறது. பதிவுகள் வழக்கமான இணைப்புத் தகவலை மட்டுமல்லாமல், வெளிப்படுத்தும் அமர்வுத் தகவலையும் சேமிக்கின்றன நுட்பங்கள், தந்திரங்கள் மற்றும் நடைமுறைகள் (TTP) ஊடுருவி.
உருவாக்கப்பட்டது SSH மற்றும் டெல்நெட் இணைப்பு பதிவுகள். கருவிகள், ஸ்கிரிப்டுகள் மற்றும் தாக்குபவர்களின் ஹோஸ்ட்களைக் கண்காணிக்க இதுபோன்ற ஹனிபாட்கள் பெரும்பாலும் இணையத்தில் வைக்கப்படுகின்றன.
தாங்கள் தாக்கப்பட மாட்டோம் என்று நினைக்கும் நிறுவனங்களுக்கு எனது செய்தி: "நீங்கள் கடினமாக இருக்கிறீர்கள்."
- ஜேம்ஸ் ஸ்னூக்
பதிவுகளில் என்ன இருக்கிறது?
இணைப்புகளின் மொத்த எண்ணிக்கை
பல ஹோஸ்ட்களிடமிருந்து மீண்டும் மீண்டும் இணைப்பு முயற்சிகள் நடந்தன. தாக்குதல் ஸ்கிரிப்ட்கள் நற்சான்றிதழ்களின் முழு பட்டியலைக் கொண்டிருப்பதால், பல சேர்க்கைகளை முயற்சிப்பதால் இது இயல்பானது. சில பயனர்பெயர் மற்றும் கடவுச்சொல் சேர்க்கைகளை ஏற்கும் வகையில் Cowrie Honeypot கட்டமைக்கப்பட்டுள்ளது. இது கட்டமைக்கப்பட்டுள்ளது user.db கோப்பு.
தாக்குதல்களின் புவியியல்
Maxmind புவிஇருப்பிடத் தரவைப் பயன்படுத்தி, ஒவ்வொரு நாட்டிலிருந்தும் இணைப்புகளின் எண்ணிக்கையைக் கணக்கிட்டேன். பிரேசில் மற்றும் சீனா ஒரு பரந்த வித்தியாசத்தில் முன்னணியில் உள்ளன, மேலும் இந்த நாடுகளில் இருந்து வரும் ஸ்கேனர்களில் இருந்து சத்தம் அதிகமாக உள்ளது.
நெட்வொர்க் தொகுதி உரிமையாளர்
நெட்வொர்க் பிளாக்குகளின் (ASN) உரிமையாளர்களை ஆராய்வதன் மூலம், அதிக எண்ணிக்கையிலான தாக்குதல் ஹோஸ்ட்களைக் கொண்ட நிறுவனங்களை அடையாளம் காண முடியும். நிச்சயமாக, இதுபோன்ற சந்தர்ப்பங்களில், பல தாக்குதல்கள் பாதிக்கப்பட்ட புரவலர்களிடமிருந்து வருகின்றன என்பதை நீங்கள் எப்போதும் நினைவில் கொள்ள வேண்டும். பெரும்பாலான தாக்குபவர்கள் வீட்டுக் கணினியிலிருந்து நெட்வொர்க்கை ஸ்கேன் செய்யும் அளவுக்கு முட்டாள்கள் இல்லை என்று கருதுவது நியாயமானது.
தாக்குதல் அமைப்புகளில் துறைமுகங்களைத் திறக்கவும் (Shodan.io இலிருந்து தரவு)
ஐபி பட்டியலை சிறப்பாக இயக்குகிறது விரைவாக அடையாளம் காட்டுகிறது திறந்த துறைமுகங்கள் கொண்ட அமைப்புகள் இந்த துறைமுகங்கள் என்ன? கீழே உள்ள படம் நாடு மற்றும் அமைப்பு வாரியாக திறந்த துறைமுகங்களின் செறிவைக் காட்டுகிறது. சமரசம் செய்யப்பட்ட அமைப்புகளின் தொகுதிகளை அடையாளம் காண முடியும், ஆனால் உள்ளே சிறிய மாதிரி ஒரு பெரிய எண்ணிக்கையைத் தவிர வேறு எதுவும் தெரியவில்லை சீனாவில் 500 திறந்த துறைமுகங்கள்.
ஒரு சுவாரஸ்யமான கண்டுபிடிப்பு பிரேசிலில் அதிக எண்ணிக்கையிலான அமைப்புகள் உள்ளன 22, 23 திறக்கவில்லை அல்லது மற்ற துறைமுகங்கள், சென்சிஸ் மற்றும் ஷோடன் படி. வெளிப்படையாக இவை இறுதிப் பயனர் கணினிகளிலிருந்து இணைப்புகள்.
போட்களா? அவசியமில்லை
தரவு துறைமுகங்கள் 22 மற்றும் 23 அன்று அவர்கள் விசித்திரமான ஒன்றைக் காட்டினர். பெரும்பாலான ஸ்கேன்கள் மற்றும் கடவுச்சொல் தாக்குதல்கள் போட்களில் இருந்து வருகின்றன என்று நான் கருதினேன். ஸ்கிரிப்ட் திறந்த துறைமுகங்களில் பரவுகிறது, கடவுச்சொற்களை யூகிக்கிறது, மேலும் புதிய அமைப்பிலிருந்து தன்னை நகலெடுத்து அதே முறையைப் பயன்படுத்தி தொடர்ந்து பரவுகிறது.
ஆனால் டெல்நெட்டை ஸ்கேன் செய்யும் ஹோஸ்ட்களில் ஒரு சிறிய எண்ணிக்கையில் மட்டுமே போர்ட் 23 வெளியில் திறந்திருப்பதை இங்கே காணலாம். இதன் பொருள் சிஸ்டம்கள் வேறு வழியில் சமரசம் செய்யப்படுகின்றன அல்லது தாக்குபவர்கள் கைமுறையாக ஸ்கிரிப்ட்களை இயக்குகிறார்கள்.
வீட்டு இணைப்புகள்
மற்றொரு சுவாரஸ்யமான கண்டுபிடிப்பு, மாதிரியில் அதிக எண்ணிக்கையிலான வீட்டு பயனர்கள். பயன்படுத்தி தலைகீழ் தேடல் குறிப்பிட்ட வீட்டு கணினிகளில் இருந்து 105 இணைப்புகளை அடையாளம் கண்டேன். பல வீட்டு இணைப்புகளுக்கு, ரிவர்ஸ் டிஎன்எஸ் லுக்அப் ஹோஸ்ட்பெயரை டிஎஸ்எல், ஹோம், கேபிள், ஃபைபர் மற்றும் பலவற்றுடன் காண்பிக்கும்.
கற்றுக்கொள்ளுங்கள் மற்றும் ஆராயுங்கள்: உங்கள் சொந்த தேன் பானையை உயர்த்துங்கள்
எப்படி செய்வது என்று சமீபத்தில் ஒரு சிறு பயிற்சியை எழுதினேன் . ஏற்கனவே குறிப்பிட்டுள்ளபடி, எங்கள் விஷயத்தில் நாங்கள் சிங்கப்பூரில் டிஜிட்டல் ஓஷன் VPS ஐப் பயன்படுத்தினோம். 24 மணிநேர பகுப்பாய்விற்கு, செலவு உண்மையில் ஒரு சில சென்ட்கள், மற்றும் கணினியை இணைக்க நேரம் 30 நிமிடங்கள் ஆகும்.
இணையத்தில் Cowrie ஐ இயக்கி, எல்லா சத்தத்தையும் பிடிப்பதற்குப் பதிலாக, உங்கள் உள்ளூர் நெட்வொர்க்கில் ஹனிபாட் மூலம் பயனடையலாம். கோரிக்கைகள் குறிப்பிட்ட துறைமுகங்களுக்கு அனுப்பப்பட்டால், தொடர்ந்து அறிவிப்பை அமைக்கவும். இது நெட்வொர்க்கிற்குள் தாக்குதல் நடத்துபவர், அல்லது ஆர்வமுள்ள பணியாளர் அல்லது பாதிப்பு ஸ்கேன்.
கண்டுபிடிப்புகள்
XNUMX மணி நேர காலப்பகுதியில் தாக்குபவர்களின் செயல்களைப் பார்த்த பிறகு, எந்தவொரு அமைப்பு, நாடு அல்லது இயக்க முறைமையிலும் தாக்குதல்களின் தெளிவான ஆதாரத்தை அடையாளம் காண முடியாது என்பது தெளிவாகிறது.
ஆதாரங்களின் பரவலான விநியோகம், ஸ்கேன் சத்தம் நிலையானது மற்றும் ஒரு குறிப்பிட்ட மூலத்துடன் தொடர்புடையது அல்ல என்பதைக் காட்டுகிறது. இணையத்தில் பணிபுரியும் எவரும் தங்கள் கணினியை உறுதி செய்ய வேண்டும் பல பாதுகாப்பு நிலைகள். ஒரு பொதுவான மற்றும் பயனுள்ள தீர்வு எஸ்எஸ்ஹெச்சில் சேவை சீரற்ற உயர் துறைமுகத்திற்கு நகரும். இது கடுமையான கடவுச்சொல் பாதுகாப்பு மற்றும் கண்காணிப்பின் தேவையை அகற்றாது, ஆனால் குறைந்தபட்சம் நிலையான ஸ்கேனிங் மூலம் பதிவுகள் அடைக்கப்படாமல் இருப்பதை உறுதி செய்கிறது. உயர் துறைமுக இணைப்புகள் இலக்கு தாக்குதல்களாக இருக்கலாம், இது உங்களுக்கு ஆர்வமாக இருக்கலாம்.
பெரும்பாலும் திறந்த டெல்நெட் போர்ட்கள் ரவுட்டர்கள் அல்லது பிற சாதனங்களில் இருக்கும், எனவே அவற்றை எளிதாக உயர் துறைமுகத்திற்கு நகர்த்த முடியாது. и இந்த சேவைகள் ஃபயர்வால் அல்லது முடக்கப்பட்டுள்ளதா என்பதை உறுதி செய்வதற்கான ஒரே வழி. முடிந்தால், நீங்கள் டெல்நெட்டைப் பயன்படுத்தவே கூடாது; இந்த நெறிமுறை குறியாக்கம் செய்யப்படவில்லை. உங்களுக்கு இது தேவைப்பட்டால் மற்றும் அது இல்லாமல் செய்ய முடியாது என்றால், அதை கவனமாக கண்காணித்து வலுவான கடவுச்சொற்களைப் பயன்படுத்தவும்.
ஆதாரம்: www.habr.com