የቫይረስ ተንታኞች እና የኮምፒዩተር ደህንነት ተመራማሪዎች በተቻለ መጠን ብዙ አዳዲስ botnets ናሙናዎችን ለመሰብሰብ ይሽቀዳደማሉ። የጫጉላ ማስቀመጫዎችን ለራሳቸው ዓላማ ይጠቀማሉ... ነገር ግን ማልዌርን በእውነተኛ ሁኔታዎች ውስጥ ለመመልከት ከፈለጉስ? አገልጋይዎን ወይም ራውተርዎን አደጋ ላይ ይጥሉ? ተስማሚ መሣሪያ ከሌለስ? ወደ ቦትኔት ኖዶች ለመድረስ መሳሪያ የሆነውን bhunter እንድፈጥር የገፋፉኝ እነዚህ ጥያቄዎች ናቸው።
ዋናዉ ሀሣብ
ቦቲኔትን ለማስፋት ማልዌርን ለማሰራጨት ብዙ መንገዶች አሉ፡ ከማስገር እስከ የ0-ቀን ተጋላጭነቶችን መጠቀም። ግን በጣም የተለመደው ዘዴ አሁንም አስገድዶ የኤስኤስኤች ይለፍ ቃል ነው።
ሀሳቡ በጣም ቀላል ነው። አንዳንድ የቦትኔት ኖድ ለአገልጋይዎ የይለፍ ቃሎችን ለማስገደድ እየሞከረ ከሆነ ምናልባት ይህ መስቀለኛ መንገድ ራሱ በቀላል የይለፍ ቃሎች የተያዙ ናቸው። ይህ ማለት እሱን ለማግኘት እሱን መመለስ ብቻ ያስፈልግዎታል ማለት ነው።
ቡንተር በትክክል እንዴት እንደሚሰራ ይህ ነው። ወደብ 22 (ኤስኤስኤች አገልግሎት) ያዳምጣል እና ከእሱ ጋር ለመገናኘት የሚሞክሩትን ሁሉንም መግቢያዎች እና የይለፍ ቃሎች ይሰበስባል። ከዚያም የተሰበሰቡትን የይለፍ ቃሎች በመጠቀም ከአጥቂ ኖዶች ጋር ለመገናኘት ይሞክራል።
የሥራ መስክ አልጎሪዝም
መርሃግብሩ በ 2 ዋና ክፍሎች ሊከፈል ይችላል, በተለየ ክሮች ውስጥ ይሠራሉ. የመጀመሪያው የማር ማሰሮ ነው። የመግባት ሙከራዎችን ያካሂዳል, ልዩ መግቢያዎችን እና የይለፍ ቃሎችን ይሰበስባል (በዚህ ጉዳይ ላይ የመግቢያ + የይለፍ ቃል ጥንድ እንደ አንድ ሙሉ ይቆጠራል), እና ለቀጣይ ጥቃት ከወረፋው ጋር ለመገናኘት የሞከሩ የአይፒ አድራሻዎችን ይጨምራል.
ሁለተኛው ክፍል ለጥቃቱ ቀጥተኛ ተጠያቂ ነው. ከዚህም በላይ ጥቃቱ በሁለት ሁነታዎች ይከናወናል-BurstAttack (ፍንዳታ ጥቃት) - brute force logins እና የይለፍ ቃሎች ከአጠቃላይ ዝርዝር እና SingleShotAttack (አንድ የተኩስ ጥቃት) - በተጠቃው መስቀለኛ መንገድ ጥቅም ላይ የዋሉ የጭካኔ የይለፍ ቃሎች, ግን እስካሁን ያልነበሩ ናቸው. ወደ አጠቃላይ ዝርዝር ታክሏል.
ከተጀመረ በኋላ ወዲያውኑ ቢያንስ አንዳንድ የመግቢያ እና የይለፍ ቃሎች ዳታቤዝ እንዲኖረን bhunter ከፋይሉ /etc/bhunter/defaultLoginPairs ዝርዝር ጋር ይጀምራል።
በይነገጽ
ቡንተርን ለማስጀመር ብዙ መንገዶች አሉ።
ልክ እንደ ቡድን
sudo bhunterበዚህ ጅምር ቡነተርን በጽሑፍ ሜኑ በኩል መቆጣጠር ይቻላል፡ ለጥቃቱ መግቢያ እና የይለፍ ቃል ያክሉ፣ የመግቢያ እና የይለፍ ቃሎች የውሂብ ጎታ ወደ ውጪ መላክ፣ የጥቃት ኢላማን ይግለጹ። ሁሉም የተጠለፉ ኖዶች በፋይሉ /var/log/bhunter/hacked.log ውስጥ ሊታዩ ይችላሉ።
tmux በመጠቀም
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Tmux አንድ ተርሚናል multiplexer ነው, በጣም ምቹ መሣሪያ. በአንድ ተርሚናል ውስጥ ብዙ መስኮቶችን እንዲፈጥሩ እና መስኮቶቹን ወደ ፓነሎች እንዲከፍሉ ይፈቅድልዎታል። እሱን በመጠቀም ከተርሚናል መውጣት እና ከዚያ የሩጫ ሂደቶችን ሳያቋርጡ በመለያ መግባት ይችላሉ።
የ bhunter-ts ስክሪፕት tmux ክፍለ ጊዜን ይፈጥራል እና መስኮቱን በሶስት ፓነሎች ይከፍለዋል። የመጀመሪያው, ትልቁ, የጽሑፍ ምናሌ ይዟል. ከላይ በቀኝ በኩል ያለው የ honeypot ምዝግብ ማስታወሻዎች ይዟል, እዚህ ወደ honeypot ለመግባት የተደረጉ ሙከራዎችን በተመለከተ መልዕክቶችን ማየት ይችላሉ. የታችኛው የቀኝ ፓነል በ botnet nodes ላይ ስላለው የጥቃቱ ሂደት እና ስለ ስኬታማ ጠላፊዎች መረጃ ያሳያል።
የዚህ ዘዴ ከመጀመሪያው ጥቅም ይልቅ ቡኒተር ሥራውን ሳያቆም ተርሚናልን በደህና ዘግተን ወደ እሱ መመለስ መቻላችን ነው። ከ tmux ጋር እምብዛም ለማያውቁ, እጠቁማለሁ .
እንደ አገልግሎት
systemctl enable bhunter
systemctl start bhunterበዚህ አጋጣሚ bhunter autostart በስርዓት ጅምር ላይ እናነቃለን። በዚህ ዘዴ ከቡንተር ጋር መስተጋብር አልቀረበም, እና የተጠለፉ ኖዶች ዝርዝር ከ /var/log/bhunter/hacked.log ማግኘት ይቻላል.
ውጤታማነት
በቡንተር ላይ በምሠራበት ጊዜ ሙሉ ለሙሉ የተለያዩ መሣሪያዎችን ማግኘት እና ማግኘት ቻልኩ-ራስፕቤሪ ፒ ፣ ራውተሮች (በተለይ ሚክሮቲክ) ፣ የድር አገልጋዮች እና አንድ ጊዜ የማዕድን እርሻ (እንደ አለመታደል ሆኖ እሱን ማግኘት በቀን ነበር ፣ ስለሆነም ምንም አስደሳች ነገር አልነበረም) ታሪክ). ከበርካታ ቀናት የስራ ቀናት በኋላ የተጠለፉ አንጓዎችን ዝርዝር የሚያሳይ የፕሮግራሙ ቅጽበታዊ ገጽ እይታ እዚህ አለ
እንደ አለመታደል ሆኖ የዚህ መሳሪያ ውጤታማነት የምጠብቀው ላይ አልደረሰም፡ ቡነተር ሳይሳካለት ለብዙ ቀናት የይለፍ ቃሎችን በአንጓዎች መሞከር ይችላል እና በጥቂት ሰዓታት ውስጥ ብዙ ኢላማዎችን መጥለፍ ይችላል። ነገር ግን ይህ ለአዲስ የ botnet ናሙናዎች መደበኛ ፍሰት በቂ ነው።
ውጤታማነቱ እንደዚህ ባሉ መለኪያዎች ላይ ተጽዕኖ ያሳድራል-bhunter ያለው አገልጋይ የሚገኝበት ሀገር ፣ ማስተናገጃ እና የአይፒ አድራሻው የተመደበበት ክልል። በእኔ ልምድ፣ ከአንድ ሆስተር ሁለት ቨርቹዋል ሰርቨሮችን በተከራየሁበት ጊዜ አንድ ጉዳይ ነበር፣ እና ከመካከላቸው አንዱ በ botnets 2 ጊዜ ብዙ ጊዜ ጥቃት ደርሶበታል።
እስካሁን ያላስተካከልኳቸው ሳንካዎች
የተበከሉ አስተናጋጆችን በሚያጠቁበት ጊዜ በአንዳንድ ሁኔታዎች የይለፍ ቃሉ ትክክል መሆን አለመሆኑ በማያሻማ ሁኔታ መወሰን አይቻልም። እንደነዚህ ዓይነቶቹ ጉዳዮች በ /var/log/debug.log ፋይል ውስጥ ገብተዋል.
ከኤስኤስኤች ጋር ለመስራት የሚያገለግለው የፓራሚኮ ሞጁል አንዳንድ ጊዜ የተሳሳተ ባህሪ አለው፡ ከአስተናጋጁ ጋር ለመገናኘት ሲሞክር ያለማቋረጥ ምላሽ ይጠብቃል። በጊዜ ቆጣሪዎች ሞክሬ ነበር, ነገር ግን የተፈለገውን ውጤት አላገኘሁም
ሌላ ምን ላይ መሰራት አለበት?
የአገልግሎት ስም
በ RFC-4253 መሠረት ደንበኛው እና አገልጋዩ ከመጫኑ በፊት የኤስኤስኤች ፕሮቶኮልን የሚተገበሩ አገልግሎቶችን ስም ይለዋወጣሉ። ይህ ስም በ"SERVICE NAME" መስክ ውስጥ ይገኛል፣ ከደንበኛው በቀረበው ጥያቄ እና በአገልጋዩ በኩል በተሰጠው ምላሽ ውስጥ ሁለቱንም ይይዛል። መስኩ ሕብረቁምፊ ነው፣ እና እሴቱ wireshark ወይም nmap በመጠቀም ሊገኝ ይችላል። ለOpenSSH ምሳሌ ይኸውና፡
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
ሆኖም ግን, በፓራሚኮ ሁኔታ, ይህ መስክ እንደ "Paramiko Python sshd 2.4.2" ያለ ሕብረቁምፊ ይዟል, ይህም ወጥመዶችን "ለማስወገድ" የተነደፉትን ቦትኔትስ ሊያስፈራራ ይችላል. ስለዚህ ይህንን መስመር ይበልጥ ገለልተኛ በሆነ ነገር መተካት አስፈላጊ ይመስለኛል።
ሌሎች ቬክተሮች
SSH የርቀት አስተዳደር ብቸኛው መንገድ አይደለም። በተጨማሪም telnet, rdp አለ. እነሱን በጥልቀት መመልከቱ ተገቢ ነው።
ቅጥያ
በተለያዩ አገሮች ውስጥ ብዙ ወጥመዶች ቢኖሩት እና መግቢያዎችን ፣ የይለፍ ቃሎችን እና የተጠለፉ ኖዶችን ከነሱ ወደ አንድ የጋራ ዳታቤዝ መሰብሰብ በጣም ጥሩ ነበር።
የት ማውረድ እችላለሁ?
በሚጽፉበት ጊዜ, የሙከራ ስሪት ብቻ ዝግጁ ነው, ይህም ከ ማውረድ ይችላል .
ምንጭ: hab.com