آئیے آپ کو ایک عمدہ کہانی سناتے ہیں کہ کس طرح "تھرڈ پارٹیز" نے ہمارے کلائنٹس کے کام میں مداخلت کرنے کی کوشش کی، اور یہ مسئلہ کیسے حل ہوا۔
یہ سب کیسے شروع ہوا۔
یہ سب 31 اکتوبر کی صبح، مہینے کے آخری دن شروع ہوا، جب بہت سے لوگوں کو فوری اور اہم مسائل کو حل کرنے کے لیے وقت کی اشد ضرورت ہے۔
شراکت داروں میں سے ایک، جو ہمارے کلاؤڈ میں خدمت کرنے والے کلائنٹس کی کئی ورچوئل مشینیں رکھتا ہے، نے اطلاع دی کہ 9:10 سے 9:20 تک ہماری یوکرائنی سائٹ پر چلنے والے کئی ونڈوز سرورز نے ریموٹ ایکسیس سروس سے کنکشن قبول نہیں کیا، صارفین اس قابل نہیں تھے۔ اپنے ڈیسک ٹاپس میں لاگ ان کرنے کے لیے، لیکن چند منٹوں کے بعد مسئلہ خود ہی حل ہوتا نظر آیا۔
ہم نے مواصلاتی چینلز کے آپریشن کے اعدادوشمار جمع کیے، لیکن ٹریفک میں کوئی اضافہ یا ناکامی نہیں ملی۔ ہم نے کمپیوٹنگ وسائل پر بوجھ کے اعدادوشمار کو دیکھا - کوئی بے ضابطگی نہیں۔ اور وہ کیا تھا؟
اس کے بعد ایک اور پارٹنر، جو ہمارے کلاؤڈ میں تقریباً ایک سو مزید سرورز کی میزبانی کرتا ہے، نے وہی مسائل بتائے جو ان کے کچھ مؤکلوں نے نوٹ کیے، اور یہ پتہ چلا کہ عام طور پر سرورز قابل رسائی تھے (پنگ ٹیسٹ اور دیگر درخواستوں کا مناسب جواب دیتے ہوئے)، لیکن ان سرورز پر سروس ریموٹ رسائی یا تو نئے کنکشنز کو قبول کرتی ہے یا انہیں مسترد کرتی ہے، اور ہم مختلف سائٹس پر سرورز کے بارے میں بات کر رہے تھے، جس پر ٹریفک مختلف ڈیٹا ٹرانسمیشن چینلز سے آتی ہے۔
آئیے اس ٹریفک کو دیکھتے ہیں۔ کنکشن کی درخواست کے ساتھ ایک پیکٹ سرور پر آتا ہے:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
سرور یہ پیکٹ وصول کرتا ہے، لیکن کنکشن کو مسترد کرتا ہے:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
اس کا مطلب یہ ہے کہ مسئلہ بنیادی طور پر بنیادی ڈھانچے کے آپریشن میں کسی بھی پریشانی کی وجہ سے نہیں بلکہ کسی اور چیز کی وجہ سے ہے۔ ہوسکتا ہے کہ تمام صارفین کو ریموٹ ڈیسک ٹاپ لائسنسنگ میں پریشانی ہو؟ ہو سکتا ہے کہ کسی قسم کا میلویئر ان کے سسٹم میں گھسنے میں کامیاب ہو گیا ہو، اور آج اسے چالو کر دیا گیا ہے، جیسا کہ کچھ سال پہلے تھا۔ ایکس ڈیٹا и پیٹیا?
جب ہم اسے ترتیب دے رہے تھے، تو ہمیں کئی اور کلائنٹس اور شراکت داروں کی جانب سے اسی طرح کی درخواستیں موصول ہوئیں۔
اصل میں ان مشینوں پر کیا ہوتا ہے؟
ایونٹ لاگز پاس ورڈ کا اندازہ لگانے کی کوششوں کے بارے میں پیغامات سے بھرے ہوئے ہیں:
عام طور پر، ایسی کوششیں تمام سرورز پر رجسٹرڈ ہوتی ہیں جہاں ریموٹ ایکسیس سروس کے لیے معیاری پورٹ (3389) استعمال کیا جاتا ہے اور ہر جگہ سے رسائی کی اجازت ہوتی ہے۔ انٹرنیٹ بوٹس سے بھرا ہوا ہے جو مسلسل تمام دستیاب کنکشن پوائنٹس کو اسکین کرتے ہیں اور پاس ورڈ کا اندازہ لگانے کی کوشش کرتے ہیں (اسی وجہ سے ہم "123" کے بجائے پیچیدہ پاس ورڈ استعمال کرنے کی سختی سے سفارش کرتے ہیں)۔ تاہم اس دن ان کوششوں کی شدت بہت زیادہ تھی۔
کیا کرنا ہے؟
تجویز کرتے ہیں کہ صارفین کو ایک مختلف بندرگاہ پر سوئچ کرنے کے لیے صارفین کی ایک بڑی تعداد کے لیے ترتیبات کو تبدیل کرنے میں کافی وقت صرف کیا جاتا ہے؟ اچھا خیال نہیں، صارفین خوش نہیں ہوں گے۔ صرف VPN کے ذریعے رسائی کی اجازت دینے کی تجویز کریں؟ جلدی اور گھبراہٹ میں، ان لوگوں کے لیے IPSec کنکشن بڑھانا جن کے پاس نہیں ہے - شاید اس طرح کی خوشی کلائنٹس پر بھی نہیں مسکراتی ہے۔ اگرچہ، میں یہ ضرور کہوں گا، یہ کسی بھی صورت میں ایک خدائی چیز ہے، ہم ہمیشہ سرور کو نجی نیٹ ورک میں چھپانے کی تجویز کرتے ہیں اور ترتیبات میں مدد کے لیے تیار ہیں، اور جو لوگ خود اس کا پتہ لگانا چاہتے ہیں، ہم ہدایات کا اشتراک کرتے ہیں۔ سائٹ ٹو سائٹ یا روڈ موڈ میں ہمارے کلاؤڈ میں IPSec/L2TP سیٹ اپ کرنے کے لیے، اور اگر کوئی اپنے ونڈوز سرور پر VPN سروس سیٹ اپ کرنا چاہتا ہے، تو وہ سیٹ اپ کرنے کے طریقے کے بارے میں تجاویز شیئر کرنے کے لیے ہمیشہ تیار رہتے ہیں۔ معیاری RAS یا OpenVPN۔ لیکن، اس سے کوئی فرق نہیں پڑتا ہے کہ ہم کتنے ہی ٹھنڈے تھے، یہ کلائنٹس کے درمیان تعلیمی کام کرنے کا بہترین وقت نہیں تھا، کیونکہ ہمیں صارفین کے لیے کم سے کم دباؤ کے ساتھ جلد از جلد اس مسئلے کو حل کرنے کی ضرورت تھی۔
ہم نے جو حل نافذ کیا وہ درج ذیل تھا۔ ہم نے گزرنے والے ٹریفک کا تجزیہ اس طرح ترتیب دیا ہے کہ پورٹ 3389 سے TCP کنکشن قائم کرنے کی تمام کوششوں کی نگرانی کی جائے اور اس میں سے پتہ منتخب کیا جائے کہ 150 سیکنڈ کے اندر، ہمارے نیٹ ورک پر 16 سے زیادہ مختلف سرورز کے ساتھ رابطہ قائم کرنے کی کوشش کریں۔ - یہ ہیں حملے کے ذرائع اگر ان 150 سیکنڈ کے لیے ایک کلاس C نیٹ ورک میں، 32 سے زیادہ ایڈریسز کی نشاندہی کی گئی ہے، تو پورے نیٹ ورک کو بلاک کرنا سمجھ میں آتا ہے۔ بلاکنگ 3 دن کے لیے مقرر کی گئی ہے، اور اگر اس دوران کسی مخصوص ذریعہ سے کوئی حملہ نہیں کیا گیا، یہ ذریعہ خود بخود "بلیک لسٹ" سے ہٹا دیا جاتا ہے۔ بلاک شدہ ذرائع کی فہرست ہر 300 سیکنڈ میں اپ ڈیٹ ہوتی ہے۔
یہ فہرست اس پتے پر دستیاب ہے: ، آپ اس کی بنیاد پر اپنے ACLs بنا سکتے ہیں۔
ہم اس طرح کے نظام کے سورس کوڈ کو شیئر کرنے کے لیے تیار ہیں؛ اس میں کچھ بھی زیادہ پیچیدہ نہیں ہے (یہ کئی سادہ اسکرپٹ ہیں جو لفظی طور پر گھٹنے پر چند گھنٹوں میں مرتب کیے گئے ہیں)، اور ساتھ ہی اسے ڈھال لیا جا سکتا ہے اور استعمال نہیں کیا جا سکتا۔ صرف اس طرح کے حملے سے بچانے کے لیے، بلکہ نیٹ ورک کو اسکین کرنے کی کسی بھی کوشش کا پتہ لگانے اور روکنے کے لیے:
اس کے علاوہ، ہم نے مانیٹرنگ سسٹم کی سیٹنگز میں کچھ تبدیلیاں کی ہیں، جو اب ہمارے کلاؤڈ میں موجود ورچوئل سرورز کے کنٹرول گروپ کے RDP کنکشن قائم کرنے کی کوشش کے ردِ عمل کو زیادہ قریب سے مانیٹر کرتا ہے: اگر رد عمل ایک کے اندر اندر نہیں ہوتا ہے۔ دوسرا، یہ توجہ دینے کی ایک وجہ ہے.
حل کافی مؤثر ثابت ہوا: کلائنٹس اور شراکت داروں، اور نگرانی کے نظام سے اب کوئی شکایت نہیں ہے۔ نئے پتے اور پورے نیٹ ورکس کو باقاعدگی سے بلیک لسٹ میں شامل کیا جاتا ہے، جو اس بات کی نشاندہی کرتا ہے کہ حملہ جاری ہے، لیکن اب ہمارے کلائنٹس کے کام پر کوئی اثر نہیں پڑے گا۔
میدان میں تنہا ہی کوئی جنگجو نہیں ہے۔
آج ہم نے سیکھا کہ دوسرے آپریٹرز کو بھی اسی طرح کی پریشانی کا سامنا کرنا پڑا ہے۔ کسی کو اب بھی یقین ہے کہ مائیکروسافٹ نے ریموٹ ایکسیس سروس کے کوڈ میں کچھ تبدیلیاں کی ہیں (اگر آپ کو یاد ہے تو ہمیں پہلے دن اسی چیز کا شبہ تھا، لیکن ہم نے اس ورژن کو بہت جلد مسترد کر دیا) اور اس کا حل جلد تلاش کرنے کے لیے ہر ممکن کوشش کرنے کا وعدہ کیا۔ . کچھ لوگ صرف اس مسئلے کو نظر انداز کرتے ہیں اور کلائنٹس کو مشورہ دیتے ہیں کہ وہ خود اپنی حفاظت کریں (کنکشن پورٹ تبدیل کریں، سرور کو نجی نیٹ ورک میں چھپائیں، وغیرہ)۔ اور پہلے ہی دن، ہم نے نہ صرف اس مسئلے کو حل کیا، بلکہ مزید عالمی خطرے کا پتہ لگانے کے نظام کے لیے کچھ بنیادیں بھی تیار کیں، جسے ہم تیار کرنے کا ارادہ رکھتے ہیں۔
ان گاہکوں اور شراکت داروں کا خصوصی شکریہ جنہوں نے خاموشی اختیار نہیں کی اور دریا کے کنارے اس انتظار میں نہیں بیٹھے کہ ایک دن دشمن کی لاش تیرے گی، بلکہ فوری طور پر ہماری توجہ اس مسئلے کی طرف مبذول کرائی، جس کی وجہ سے ہمیں اسے ختم کرنے کا موقع ملا۔ اسی دن.
ماخذ: www.habr.com