اینٹی وائرس کمپنیاں، انفارمیشن سیکیورٹی کے ماہرین، اور صرف پرجوش افراد انٹرنیٹ پر ہنی پاٹ سسٹم کو بے نقاب کرتے ہیں تاکہ وائرس کی تازہ قسم کی "لائیو بیت پکڑیں" یا ہیکر کے غیر معمولی حربوں کو ظاہر کریں۔ ہنی پاٹس اس قدر عام ہیں کہ سائبر کرائمینلز نے ایک قسم کی قوت مدافعت پیدا کر لی ہے: وہ جلدی سے پہچان لیتے ہیں کہ ان کے سامنے کوئی جال ہے اور اسے محض نظر انداز کر دیتے ہیں۔ جدید ہیکرز کے ہتھکنڈوں کو دریافت کرنے کے لیے، ہم نے ایک حقیقت پسندانہ ہنی پاٹ بنایا جو انٹرنیٹ پر سات ماہ تک زندہ رہا، مختلف قسم کے حملوں کو راغب کرتا ہے۔ یہ کیسا تھا، ہم نے اپنے مطالعے میں بتایا تھا "" مطالعہ سے کچھ حقائق اس پوسٹ میں ہیں۔
ہنی پاٹ ڈویلپمنٹ: چیک لسٹ
ہمارا سپر ٹریپ بنانے کا بنیادی کام ہمیں ان ہیکرز کے سامنے نہ آنے دینا تھا جنہوں نے اس میں دلچسپی ظاہر کی۔ ایسا کرنے میں بہت زیادہ کام کرنا پڑا:
- کمپنی کے بارے میں ایک حقیقت پسندانہ افسانہ بنائیں، بشمول ملازمین کا پورا نام اور تصویر، فون نمبر اور ای میل۔
- ایک صنعتی انفراسٹرکچر ماڈل ایجاد کریں اور اسے نافذ کریں جو ہماری کمپنی کی سرگرمیوں کے لیجنڈ سے میل کھاتا ہو۔
- فیصلہ کریں کہ کون سی نیٹ ورک سروسز باہر سے دستیاب ہوں گی، لیکن کمزور بندرگاہوں کو کھولنے سے پریشان نہ ہوں تاکہ یہ سمپس کے جال کی طرح نہ لگے۔
- ایک کمزور نظام کے بارے میں معلومات کے اخراج کی ظاہری شکل کو منظم کریں اور ممکنہ حملہ آوروں کے درمیان اس معلومات کو پھیلا دیں۔
- ٹریپ کے بنیادی ڈھانچے میں ہیکرز کی کارروائیوں کی محتاط نگرانی کو نافذ کریں۔
اور اب ترتیب میں ہر چیز کے بارے میں۔
ایک لیجنڈ بنائیں
سائبر کرائمین پہلے ہی بہت سارے ہنی پاٹس دیکھنے کے عادی ہیں، اس لیے ان کا سب سے جدید حصہ ہر کمزور نظام کا گہرائی سے مطالعہ کرتا ہے تاکہ یہ یقینی بنایا جا سکے کہ یہ کوئی جال نہیں ہے۔ اسی وجہ سے، ہم ہنی پاٹ کو نہ صرف ڈیزائن اور تکنیکی پہلوؤں کے لحاظ سے حقیقت پسندانہ بنانا چاہتے تھے بلکہ ایک حقیقی کمپنی کی شکل بھی بنانا چاہتے تھے۔
اپنے آپ کو فرضی کول ہیکر کی جگہ پر رکھتے ہوئے، ہم نے ایک تصدیقی الگورتھم تیار کیا جو ہمیں ایک حقیقی نظام کو ٹریپ سے ممتاز کرنے کی اجازت دے گا۔ اس میں ساکھ کے نظام میں کمپنی کے IP پتوں کو تلاش کرنا، IP پتوں کی تاریخ کو ریورس کرنا، کمپنی سے متعلق ناموں اور کلیدی الفاظ کو تلاش کرنا، نیز اس کے ہم منصبوں، اور بہت سی دوسری چیزیں شامل ہیں۔ نتیجے کے طور پر، افسانہ کافی قائل اور پرکشش نکلا.
ہم نے ٹریپ فیکٹری کو ایک چھوٹے صنعتی پروٹو ٹائپنگ بوتیک کے طور پر پوزیشن دینے کا فیصلہ کیا، جو فوجی اور ہوابازی کے طبقے کے بہت بڑے گمنام کلائنٹس کے لیے کام کر رہے ہیں۔ اس نے ہمیں موجودہ برانڈ کے استعمال سے منسلک قانونی پیچیدگیوں سے بچایا۔
اس کے بعد، ہمیں تنظیم کے لیے ایک وژن، مشن اور نام کے ساتھ آنا تھا۔ ہم نے فیصلہ کیا کہ ہماری کمپنی بہت کم ملازمین کے ساتھ ایک اسٹارٹ اپ ہوگی، جن میں سے ہر ایک بانی ہے۔ اس نے ہمارے کاروبار کی تخصص کے افسانوی اعتبار میں اضافہ کیا، جو اسے بڑے اور اہم صارفین کے لیے نازک منصوبوں کے ساتھ کام کرنے کی اجازت دیتا ہے۔ ہم سائبر سیکیورٹی کے معاملے میں اپنی کمپنی کو کمزور دکھانا چاہتے تھے، لیکن ساتھ ہی یہ بھی واضح تھا کہ ہم ٹارگٹ سسٹمز میں اہم اثاثوں کے ساتھ کام کر رہے ہیں۔
MeTech honeypot ویب سائٹ کا اسکرین شاٹ۔ ماخذ: ٹرینڈ مائیکرو
ہم نے کمپنی کے نام کے طور پر لفظ MeTech کا انتخاب کیا ہے۔ سائٹ ایک مفت ٹیمپلیٹ کی بنیاد پر بنائی گئی تھی۔ تصاویر کو فوٹو بینکس سے لیا گیا تھا، انتہائی غیر مقبول تصاویر کا استعمال کرتے ہوئے اور ان میں ترمیم کرکے انہیں کم پہچانا جا سکتا تھا۔
ہم چاہتے تھے کہ کمپنی حقیقی نظر آئے، اس لیے ہمیں پیشہ ورانہ مہارتوں کے حامل ملازمین کو شامل کرنے کی ضرورت ہے جو سرگرمی کے پروفائل سے مماثل ہوں۔ ہم ان کے لیے نام اور شناخت لے کر آئے، اور پھر نسلی کے مطابق فوٹو بینکس سے تصاویر منتخب کرنے کی کوشش کی۔
MeTech honeypot ویب سائٹ کا اسکرین شاٹ۔ ماخذ: ٹرینڈ مائیکرو
دریافت نہ ہونے کے لیے، ہم نے اچھے معیار کی گروپ فوٹوز تلاش کیں جن سے ہم اپنے مطلوبہ چہروں کا انتخاب کر سکیں۔ تاہم، ہم نے بعد میں اس اختیار کو ترک کر دیا، کیونکہ ایک ممکنہ ہیکر ریورس امیج سرچ کا استعمال کر سکتا ہے اور یہ جان سکتا ہے کہ ہمارے "ملازمین" صرف فوٹو بینکوں میں رہتے ہیں۔ آخر میں، ہم نے نیورل نیٹ ورکس کا استعمال کرتے ہوئے تخلیق کردہ غیر موجود لوگوں کی تصاویر کا استعمال کیا۔
سائٹ پر شائع ہونے والے ملازمین کے پروفائلز میں ان کی تکنیکی مہارت کے بارے میں اہم معلومات موجود تھیں، لیکن ہم نے مخصوص تعلیمی اداروں اور شہروں کی وضاحت کرنے سے گریز کیا۔
میل باکسز بنانے کے لیے، ہم نے ہوسٹنگ فراہم کرنے والے کے سرور کا استعمال کیا، اور پھر ریاستہائے متحدہ میں کئی فون نمبر کرائے پر لیے اور انہیں ایک صوتی مینو اور جواب دینے والی مشین کے ساتھ ایک ورچوئل PBX میں ملا دیا۔
ہنی پاٹ کا بنیادی ڈھانچہ
نمائش سے بچنے کے لیے، ہم نے حقیقی صنعتی ہارڈویئر، فزیکل کمپیوٹرز، اور محفوظ ورچوئل مشینوں کا مجموعہ استعمال کرنے کا فیصلہ کیا۔ آگے دیکھتے ہوئے، ہم نے شوڈان سرچ انجن کا استعمال کرتے ہوئے اپنی کوششوں کا نتیجہ چیک کیا، اور یہ ظاہر ہوا کہ ہنی پاٹ ایک حقیقی صنعتی نظام کی طرح لگتا ہے۔
شوڈن کے ساتھ ہنی پاٹ کو اسکین کرنے کا نتیجہ۔ ماخذ: ٹرینڈ مائیکرو
ہم نے اپنے ٹریپ کے لیے ہارڈ ویئر کے طور پر چار PLC استعمال کیے:
- سیمنز S7-1200،
- دو ایلن بریڈلی مائیکرو لاجکس 1100s،
- اومرون سی پی 1 ایل۔
ان PLCs کا انتخاب عالمی کنٹرول سسٹمز مارکیٹ میں ان کی مقبولیت کے لیے کیا گیا تھا۔ اور ان میں سے ہر ایک کنٹرولر اپنا اپنا پروٹوکول استعمال کرتا ہے، جس نے ہمیں یہ جانچنے کی اجازت دی کہ کس PLC پر زیادہ کثرت سے حملہ کیا جائے گا اور آیا وہ اصولی طور پر کسی کے لیے بھی دلچسپی کا باعث ہوں گے۔
ہماری "فیکٹری" کا سامان ایک جال ہے۔ ماخذ: ٹرینڈ مائیکرو
ہم نے صرف لوہے کے ٹکڑوں کو انسٹال نہیں کیا اور انہیں انٹرنیٹ سے منسلک کیا۔ ہم نے ہر کنٹرولر کو کاموں کو انجام دینے کے لیے پروگرام کیا، جن میں سے تھے۔
- اختلاط،
- برنر اور کنویئر بیلٹ کنٹرول،
- روبوٹک بازو کا استعمال کرتے ہوئے پیلیٹائزنگ۔
اور پروڈکشن کے عمل کو حقیقت پسندانہ بنانے کے لیے، ہم نے فیڈ بیک کے پیرامیٹرز کو تصادفی طور پر تبدیل کرنے، موٹروں کو شروع کرنے اور روکنے، برنر کو آن اور آف کرنے کے لیے منطق کا پروگرام بنایا۔
ہماری فیکٹری میں تین ورچوئل کمپیوٹر اور ایک فزیکل تھا۔ ورچوئل مشینیں پلانٹ، روبوٹ پیلیٹائزر کو کنٹرول کرنے اور PLC سافٹ ویئر انجینئر کے ورک سٹیشن کے طور پر استعمال کی گئیں۔ جسمانی کمپیوٹر فائل سرور کے طور پر کام کرتا تھا۔
PLCs پر حملوں کی نگرانی کے علاوہ، ہم اپنے آلات پر ڈاؤن لوڈ کیے گئے پروگراموں کی حالت کی نگرانی کرنا چاہتے تھے۔ ایسا کرنے کے لیے، ہم نے ایک انٹرفیس بنایا جس سے ہمیں فوری طور پر یہ تعین کرنے کی اجازت دی گئی کہ ہمارے ورچوئل ایکچیوٹرز اور تنصیبات کی حالتوں میں کس طرح ترمیم کی گئی ہے۔ پہلے سے ہی منصوبہ بندی کے مرحلے پر، ہم نے محسوس کیا کہ کنٹرولر منطق کی براہ راست پروگرامنگ کے مقابلے میں کنٹرول پروگرام کے ساتھ اسے نافذ کرنا بہت آسان ہے۔ ہم نے بغیر پاس ورڈ کے VNC کے ذریعے اپنے ہنی پاٹ کے ڈیوائس مینجمنٹ انٹرفیس تک رسائی کھولی۔
صنعتی روبوٹ جدید سمارٹ مینوفیکچرنگ کا ایک اہم جزو ہیں۔ اس سلسلے میں، ہم نے اپنی ٹریپ فیکٹری کے آلات میں اسے کنٹرول کرنے کے لیے ایک روبوٹ اور ایک ورک سٹیشن شامل کرنے کا فیصلہ کیا۔ "فیکٹری" کو مزید حقیقت پسندانہ بنانے کے لیے، ہم نے کنٹرول ورک سٹیشن پر حقیقی سافٹ ویئر انسٹال کیا، جسے انجینئر روبوٹ کی منطق کی گرافیکل پروگرامنگ کے لیے استعمال کرتے ہیں۔ ٹھیک ہے، چونکہ صنعتی روبوٹ عام طور پر ایک الگ تھلگ اندرونی نیٹ ورک میں واقع ہوتے ہیں، اس لیے ہم نے VNC کے ذریعے غیر محفوظ رسائی کو صرف کنٹرول ورک سٹیشن تک چھوڑنے کا فیصلہ کیا۔
ہمارے روبوٹ کے 3D ماڈل کے ساتھ RobotStudio ماحول۔ ماخذ: ٹرینڈ مائیکرو
روبوٹ کنٹرول ورک سٹیشن والی ورچوئل مشین پر، ہم نے ABB Robotics سے RobotStudio پروگرامنگ ماحول انسٹال کیا۔ روبوٹ اسٹوڈیو کو ترتیب دینے کے بعد، ہم نے اپنے روبوٹ کے ساتھ سمولیشن فائل کو کھولا تاکہ اس کی 3D تصویر اسکرین پر دیکھی جاسکے۔ نتیجے کے طور پر، شوڈان اور دیگر سرچ انجن، جب انہیں ایک غیر محفوظ VNC سرور مل جائے گا، تو وہ یہ اسکرین امیج حاصل کریں گے اور اسے ان لوگوں کو دکھائیں گے جو کنٹرول تک کھلی رسائی کے ساتھ صنعتی روبوٹس کی تلاش میں ہیں۔
تفصیل کی طرف اس توجہ کا مقصد حملہ آوروں کے لیے ہر ممکن حد تک ایک پرکشش اور حقیقت پسندانہ ہدف بنانا تھا جو اسے مل جانے کے بعد بار بار اس کی طرف لوٹ آئیں گے۔
انجینئر کا ورک سٹیشن
PLC منطق کو پروگرام کرنے کے لیے، ہم نے انفراسٹرکچر میں ایک انجینئرنگ کمپیوٹر شامل کیا۔ اس پر PLC پروگرامنگ کے لیے صنعتی سافٹ ویئر انسٹال کیا گیا تھا:
- سیمنز کے لیے TIA پورٹل،
- ایلن بریڈلی کنٹرولر کے لیے مائیکرو لاجکس،
- Omron کے لیے CX-One۔
ہم نے فیصلہ کیا ہے کہ انجینئرنگ کام کی جگہ نیٹ ورک سے باہر دستیاب نہیں ہوگی۔ اس کے بجائے، ہم اس پر ایڈمنسٹریٹر اکاؤنٹ کے لیے وہی پاس ورڈ سیٹ کرتے ہیں جو انٹرنیٹ پر قابل رسائی روبوٹ کنٹرول ورک سٹیشن اور فیکٹری کنٹرول ورک سٹیشن پر ہے۔ یہ ترتیب بہت سی کمپنیوں میں کافی عام ہے۔
بدقسمتی سے، ہماری تمام تر کوششوں کے باوجود، ایک بھی حملہ آور انجینئر کے ورک سٹیشن تک نہیں پہنچا۔
فائل سرور
ہمیں اس کی ضرورت گھسنے والوں کے لیے چارہ کے طور پر اور ٹریپ فیکٹری میں اپنے "کاموں" کی پشت پناہی کے لیے تھی۔ اس سے ہمیں ٹریپ نیٹ ورک پر کوئی نشان چھوڑے بغیر USB ڈیوائسز کا استعمال کرتے ہوئے اپنے ہنی پاٹ کے ساتھ فائلیں شیئر کرنے کی اجازت ملی۔ فائل سرور کے لیے OS کے طور پر، ہم نے Windows 7 Pro انسٹال کیا، جس میں ہم نے ایک مشترکہ فولڈر کسی کو پڑھنے اور لکھنے کے لیے دستیاب کرایا۔
سب سے پہلے، ہم نے فائل سرور پر فولڈرز اور دستاویزات کا کوئی درجہ بندی نہیں بنایا۔ تاہم، بعد میں پتہ چلا کہ حملہ آور اس فولڈر کا مطالعہ کر رہے تھے، اس لیے ہم نے اسے مختلف فائلوں سے بھرنے کا فیصلہ کیا۔ ایسا کرنے کے لیے، ہم نے ایک python اسکرپٹ لکھا جس نے دی گئی ایکسٹینشن میں سے کسی ایک کے ساتھ بے ترتیب سائز کی فائل بنائی، ایک لغت کی بنیاد پر ایک نام بنا۔
پرکشش فائل نام بنانے کے لیے اسکرپٹ۔ ماخذ: ٹرینڈ مائیکرو
اسکرپٹ کو چلانے کے بعد، ہمیں انتہائی دلچسپ ناموں والی فائلوں سے بھرے فولڈر کی شکل میں مطلوبہ نتیجہ ملا۔
اسکرپٹ کا نتیجہ۔ ماخذ: ٹرینڈ مائیکرو
مانیٹرنگ ماحول
ایک حقیقت پسندانہ کمپنی بنانے میں بہت زیادہ کوشش کرنے کے بعد، ہم اپنے "زائرین" کی نگرانی کے لیے ماحول کو خراب کرنے کے متحمل نہیں ہو سکتے تھے۔ ہمیں تمام ڈیٹا کو حقیقی وقت میں اس طرح حاصل کرنے کی ضرورت تھی کہ حملہ آوروں کو یہ معلوم نہ ہو کہ ان پر نظر رکھی جا رہی ہے۔
ہم نے یہ چار USB ٹو ایتھرنیٹ اڈاپٹر، چار SharkTap ایتھرنیٹ ٹیپس، ایک Raspberry Pi 3، اور ایک بڑی بیرونی ڈرائیو کا استعمال کرتے ہوئے کیا۔ ہمارا نیٹ ورک ڈایاگرام اس طرح نظر آیا:
نگرانی کے آلات کے ساتھ ہنی پاٹ نیٹ ورک ڈایاگرام۔ ماخذ: ٹرینڈ مائیکرو
ہم نے تینوں SharkTap ٹیپس کو اس طرح لگایا ہے کہ PLC تک تمام بیرونی ٹریفک کی نگرانی کی جائے، جو صرف اندرونی نیٹ ورک سے قابل رسائی ہے۔ چوتھے SharkTap نے کمزور ورچوئل مشین کے مہمانوں کی ٹریفک کو ٹریک کیا۔
شارک ٹیپ ایتھرنیٹ ٹیپ اور سیرا وائرلیس ایئر لنک RV50 روٹر۔ ماخذ: ٹرینڈ مائیکرو
Raspberry Pi نے روزانہ ٹریفک کی گرفتاری کا مظاہرہ کیا۔ ہم نے Sierra Wireless AirLink RV50 سیلولر روٹر کا استعمال کرتے ہوئے انٹرنیٹ سے منسلک کیا، جو اکثر صنعتی اداروں میں استعمال ہوتا ہے۔
بدقسمتی سے، اس راؤٹر نے ہمیں انتخابی طور پر ان حملوں کو روکنے کی اجازت نہیں دی جو ہمارے منصوبوں سے میل نہیں کھاتے، اس لیے ہم نے نیٹ ورک پر کم سے کم اثر کے ساتھ بلاک کرنے کے لیے شفاف موڈ میں ایک Cisco ASA 5505 فائر وال نیٹ ورک میں شامل کیا۔
ٹریفک تجزیہ
Tshark اور tcpdump موجودہ مسائل کو تیزی سے حل کرنے کے لیے موزوں ہیں، لیکن ہمارے معاملے میں ان کی صلاحیتیں کافی نہیں تھیں، کیونکہ ہمارے پاس بہت سے گیگا بائٹس ٹریفک تھی، جن کا تجزیہ کئی لوگوں نے کیا تھا۔ ہم نے AOL کے تیار کردہ اوپن سورس مولوچ تجزیہ کار کا استعمال کیا۔ فعالیت کے لحاظ سے، اس کا موازنہ Wireshark سے کیا جا سکتا ہے، لیکن اس میں تعاون، پیکٹوں کو بیان کرنے اور ٹیگ کرنے، برآمد کرنے اور دیگر کاموں کے لیے مزید اختیارات ہیں۔
چونکہ ہم ہنی پاٹ مشینوں پر جمع کیے گئے ڈیٹا پر کارروائی نہیں کرنا چاہتے تھے، اس لیے PCAP ڈمپ ہر روز AWS سٹوریج میں برآمد کیے جاتے تھے، جہاں سے ہم نے پہلے ہی انہیں Moloch مشین میں درآمد کیا تھا۔
اسکرین ریکارڈنگ
ہمارے ہنی پاٹ میں ہیکرز کی کارروائیوں کو دستاویز کرنے کے لیے، ہم نے ایک اسکرپٹ لکھا جس نے ایک مقررہ وقفہ پر ورچوئل مشین کے اسکرین شاٹس لیے اور پچھلے اسکرین شاٹ کے ساتھ موازنہ کرتے ہوئے یہ طے کیا کہ آیا وہاں کچھ ہو رہا ہے یا نہیں۔ جب سرگرمی کا پتہ چلا تو اسکرپٹ نے اسکرین ریکارڈنگ کو آن کر دیا۔ یہ طریقہ سب سے زیادہ کارآمد ثابت ہوا۔ ہم نے PCAP ڈمپ سے VNC ٹریفک کا تجزیہ کرنے کی بھی کوشش کی تاکہ یہ سمجھ سکیں کہ سسٹم میں کیا تبدیلیاں آئی ہیں، لیکن آخر میں، ہم نے جو سکرین ریکارڈنگ نافذ کی وہ آسان اور زیادہ بصری نکلی۔
VNC سیشن کی نگرانی کرنا
اس کے لیے ہم نے Chaosreader اور VNCLogger کا استعمال کیا۔ دونوں یوٹیلیٹیز پی سی اے پی ڈمپ سے کی اسٹروک نکالتی ہیں، لیکن VNCLogger Backspace، Enter، Ctrl جیسی کیز کو زیادہ درست طریقے سے ہینڈل کرتا ہے۔
VNCLogger کے دو نقصانات ہیں۔ سب سے پہلے، یہ انٹرفیس پر ٹریفک کو "سن کر" صرف چابیاں حاصل کر سکتا ہے، لہذا ہمیں tcpreplay کا استعمال کرتے ہوئے اس کے لیے VNC سیشن کی نقل کرنا پڑی۔ VNCLogger کی دوسری خرابی Chaosreader کے ساتھ عام ہے: وہ دونوں کلپ بورڈ کے مواد کو نہیں دکھاتے ہیں۔ اس کے لیے مجھے Wireshark استعمال کرنا پڑا۔
ہم ہیکرز کو راغب کرتے ہیں۔
ہم نے حملہ کرنے کے لیے شہد کا برتن بنایا۔ اس کو حاصل کرنے کے لیے، ہم نے ممکنہ ہیکرز کی توجہ مبذول کرنے کے لیے ڈیزائن کردہ ایک معلوماتی لیک کا آغاز کیا۔ ہنی پاٹ پر درج ذیل بندرگاہیں کھول دی گئی ہیں۔
آر ڈی پی پورٹ کو کام شروع ہونے کے فوراً بعد بند کرنا پڑا، کیونکہ ہمارے نیٹ ورک پر ٹریفک کی اسکیننگ کی بڑی مقدار کی وجہ سے کارکردگی کے مسائل تھے۔
VNC ٹرمینلز نے پہلے بغیر پاس ورڈ کے "صرف دیکھنے کے لیے" موڈ میں کام کیا، اور پھر ہم نے "غلطی سے" انہیں مکمل رسائی موڈ میں تبدیل کر دیا۔
حملہ آوروں کو راغب کرنے کے لیے، ہم نے PasteBin پر دستیاب صنعتی نظام کے بارے میں "لیک" معلومات کے ساتھ دو پوسٹس پوسٹ کیں۔
حملوں کو راغب کرنے کے لیے PasteBin پر پوسٹ کی گئی پوسٹوں میں سے ایک۔ ماخذ: ٹرینڈ مائیکرو
حملے
ہنی پاٹ تقریباً سات ماہ تک آن لائن رہتا تھا۔ پہلا حملہ ہنی پاٹ کے آن لائن ہونے کے ایک ماہ بعد ہوا۔
سکینر
معروف کمپنیوں - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye اور دیگر کے اسکینرز سے بہت زیادہ ٹریفک تھی۔ ان میں سے بہت سارے ایسے تھے کہ ہمیں ان کے IP پتے کو تجزیہ سے خارج کرنا پڑا: 610 میں سے 9452 یا تمام منفرد IP پتے میں سے 6,45% مکمل طور پر جائز سکینرز سے تعلق رکھتے تھے۔
سکیمرز
سب سے بڑے خطرات میں سے ایک جس کا ہم نے سامنا کیا ہے وہ ہمارے سسٹم کا مجرمانہ مقاصد کے لیے استعمال ہے: سبسکرائبر کے اکاؤنٹ کے ذریعے اسمارٹ فونز خریدنا، گفٹ کارڈز کا استعمال کرتے ہوئے ایئر لائن میلوں کو کیش آؤٹ کرنا اور دیگر قسم کے فراڈ
کان کن
ہمارے سسٹم پر آنے والے پہلے زائرین میں سے ایک کان کن نکلا۔ اس نے اسے Monero مائننگ سافٹ ویئر کے ساتھ لوڈ کیا۔ وہ کم کارکردگی کی وجہ سے ہمارے مخصوص نظام پر زیادہ کمانے کے قابل نہیں ہوتا۔ تاہم، اگر ہم کئی دسیوں یا یہاں تک کہ سینکڑوں ایسے نظاموں کی کوششوں کو یکجا کریں، تو یہ بہت اچھا نکل سکتا ہے۔
رینسم ویئر
ہنی پاٹ کے آپریشن کے دوران، ہمیں دو بار اصلی رینسم ویئر وائرس کا سامنا کرنا پڑا۔ پہلی صورت میں یہ کرائسس تھا۔ اس کے آپریٹرز نے VNC کے ذریعے سسٹم میں لاگ ان کیا، لیکن پھر ٹیم ویور انسٹال کیا اور اسے مزید کارروائیاں کرنے کے لیے استعمال کیا۔ BTC میں $10 کے تاوان کا مطالبہ کرنے والے بھتہ خوری کے پیغام کا انتظار کرنے کے بعد، ہم نے مجرموں کے ساتھ خط و کتابت کی، ان سے کہا کہ وہ ہمارے لیے فائلوں میں سے ایک کو ڈکرپٹ کریں۔ انہوں نے درخواست کی تعمیل کی اور تاوان کا مطالبہ دہرایا۔ ہم 6 ہزار ڈالر تک کا سودا کرنے میں کامیاب ہو گئے، جس کے بعد ہم نے سسٹم کو ایک ورچوئل مشین پر اپ لوڈ کر دیا، کیونکہ ہمیں تمام ضروری معلومات موصول ہو گئیں۔
دوسرا رینسم ویئر فوبوس تھا۔ اسے انسٹال کرنے والے ہیکر نے ہنی پاٹ کے فائل سسٹم سے گزر کر ایک گھنٹے تک نیٹ ورک کو اسکین کیا اور پھر رینسم ویئر انسٹال کیا۔
تیسرا رینسم ویئر حملہ جعلی نکلا۔ ایک نامعلوم "ہیکر" نے haha.bat فائل کو ہمارے سسٹم میں ڈاؤن لوڈ کیا، جس کے بعد ہم کچھ دیر دیکھتے رہے جب وہ اسے کام کرنے کی کوشش کرتا تھا۔ ایک کوشش یہ تھی کہ haha.bat کا نام بدل کر haha.rnsmwr رکھا جائے۔
"ہیکر" بیٹ فائل کی ایکسٹینشن کو .rnsmwr میں تبدیل کرکے اس کی بدنیتی کو بڑھاتا ہے۔ ماخذ: ٹرینڈ مائیکرو
جب بیچ فائل بالآخر چلنا شروع ہوئی تو "ہیکر" نے اس میں ترمیم کی، تاوان $200 سے بڑھا کر $750 کر دیا۔ اس کے بعد، اس نے تمام فائلوں کو "انکرپٹ" کیا، ڈیسک ٹاپ پر بھتہ خوری کا پیغام چھوڑا اور ہمارے VNC پر پاس ورڈ تبدیل کرتے ہوئے غائب ہوگیا۔
چند دنوں بعد، ہیکر واپس آیا اور، خود کو یاد دلانے کے لیے، ایک بیچ فائل لانچ کی جس نے ایک فحش سائٹ کے ساتھ کئی ونڈوز کھولیں۔ بظاہر اس طرح اس نے اپنے مطالبے کی طرف توجہ دلانے کی کوشش کی۔
کے نتائج
مطالعہ کے دوران، یہ پتہ چلا کہ جیسے ہی خطرے کے بارے میں معلومات شائع ہوئی، ہنی پاٹ نے توجہ مبذول کر لی، اور سرگرمی دن بدن بڑھتی گئی۔ ٹریپ کو توجہ مبذول کرنے کے لیے، ہماری فرضی کمپنی کی بہت سی حفاظتی خلاف ورزیاں کرنی پڑیں۔ بدقسمتی سے، یہ صورتحال بہت سی حقیقی کمپنیوں میں غیر معمولی نہیں ہے جن کے پاس کل وقتی IT اور انفارمیشن سیکیورٹی ملازمین نہیں ہیں۔
عام طور پر، تنظیموں کو کم از کم استحقاق کا اصول استعمال کرنا چاہیے، جبکہ ہم نے حملہ آوروں کو راغب کرنے کے لیے اس کے بالکل برعکس عمل کیا ہے۔ اور جتنی دیر تک ہم حملوں کو دیکھتے رہے، وہ معیاری دخول کی جانچ کے طریقوں کے مقابلے میں اتنے ہی نفیس ہوتے گئے۔
اور سب سے اہم بات یہ ہے کہ یہ تمام حملے ناکام ہو جاتے اگر نیٹ ورک سیٹ اپ کے دوران مناسب حفاظتی اقدامات پر عمل درآمد کیا جاتا۔ تنظیموں کو یقینی بنانا چاہیے کہ ان کے آلات اور صنعتی بنیادی ڈھانچے کے اجزاء انٹرنیٹ سے قابل رسائی نہیں ہیں، جیسا کہ ہم نے خاص طور پر اپنے جال میں کیا تھا۔
اگرچہ ہم نے انجینئر کے ورک سٹیشن پر ایک بھی حملہ ریکارڈ نہیں کیا ہے، تمام کمپیوٹرز پر یکساں مقامی ایڈمنسٹریٹر پاس ورڈ استعمال کرنے کے باوجود، مداخلت کے امکان کو کم سے کم کرنے کے لیے اس مشق سے گریز کیا جانا چاہیے۔ سب کے بعد، کمزور سیکورٹی صنعتی نظاموں پر حملہ کرنے کے لیے ایک اضافی دعوت کے طور پر کام کرتی ہے جو طویل عرصے سے سائبر جرائم پیشہ افراد کے لیے دلچسپی رکھتے ہیں۔
ماخذ: www.habr.com