Анализ на възможността за блокиране на приложение за дистанционно управление на компютър през мрежа, като се използва примерът на AnyDesk

Когато един ден шефът повдига въпроса: „Защо някои хора имат отдалечен достъп до работен компютър, без да получават допълнителни разрешения за използване?“
има задача за "покриване" на вратичка.

Има много приложения за отдалечен контрол в мрежата: отдалечен работен плот на Chrome, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control и т.н. Ако отдалеченият работен плот на Chrome има официално ръководство за борба с достъпа до услугата, TeamViewer има лицензни ограничения във времето или заявките от мрежата и потребителите "стискайки зъби" някак си "блестят" с админите, след това любимият на мнозина за лична употреба - AnyDesk все още изисква специално внимание, особено ако шефът каза "Не!".

Ако знаете какво е блокиране на мрежов пакет по съдържанието му и ви подхожда, тогава останалата част от материала
не е предназначено за теб.

Опитвайки се да отидем от обратното, всъщност уебсайт пише какво трябва да се разреши за да работи програмата, съответно DNS записът беше блокиран *.net.anydesk.com. Но AnyDesk не е прост, не се интересува от блокиране на име на домейн.

Веднъж реших проблема с блокирането на "Anyplace Control", който дойде при нас с някакъв съмнителен софтуер, и беше решен чрез блокиране само на няколко IP (защитих антивирусната). Проблемът с AnyDesk, след като ръчно събрах повече от дузина IP адреси, провокиран избягайте от рутинния ръчен труд.

Също така беше установено, че в "C: ProgramDataAnyDesk" има редица файлове с настройки и т.н., а във файла ad_svc.trace събират се събития за връзки и повреди.

1. Наблюдение

Както вече споменахме, блокирането на *.anydesk.com не даде никакви резултати в програмата, беше решено да се анализира програмиране на поведение в стресови ситуации. TCPView от Sysinternals в ръка и напред!

1.1. Вижда се, че няколко интересни за нас процеси „висят“ и само този, който комуникира с адреса отвън, ни интересува. Портовете, към които се свързва, са преместени от това, което видях: 80, 443, 6568. 🙂 80 и 443 определено не можем да блокираме.

1.2. След блокиране на адреса през рутера, тихо се избира друг адрес.

1.3. Нашата конзола е ВСИЧКО! Определяме PID и тогава извадих малко късмет, че AnyDesk беше инсталиран от услугата, съответно PID, който търсех, е единственият.
1.4. Ние определяме IP адреса на сервизния сървър чрез PID на процеса.

2 г. Подготовка

Тъй като програмата за откриване на IP адреси вероятно ще работи само на моя компютър, нямам ограничения за удобство и мързел, така че C#.

2.1. Всички методи за идентифициране на желания IP адрес вече са известни, остава да бъдат внедрени.

string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process()) 
{p.StartInfo.FileName = "cmd.exe";
 p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
 p.StartInfo.UseShellExecute = false;
 p.StartInfo.RedirectStandardOutput = true;
 p.StartInfo.CreateNoWindow = true;
 p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
 p.Start();
 string output = p.StandardOutput.ReadToEnd();
 string[] pid1 = output.Split(',');//переводим ответ в массив
 pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}

По същия начин намираме услугата, която е установила връзката, ще дам само основната линия

p.StartInfo.Arguments = "/c " netstat  -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";

Резултатът от което ще бъде:

От реда, подобно на предишната стъпка, извличаме 3-та колона и премахваме всичко след ":". В резултат на това имаме желаното IP.

2.2. IP блокиране в Windows. Ако Linux има Blackhole и iptables, тогава методът за блокиране на IP адрес в един ред, без използване на защитна стена, се оказа необичаен в Windows,
Но какви инструменти бяха...

route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -p

Ключов параметър "ако 1" изпратете маршрута на Loopback (Можете да покажете наличните интерфейси, като стартирате route print ). И ВАЖНО! Сега програмата трябва да бъде стартирана с администраторски праватъй като промяната на маршрута изисква надморска височина.

2.3. Показването и запазването на идентифицираните IP адреси е тривиална задача и не изисква обяснение. Ако се замислите, можете да обработите файла ad_svc.trace Самият AnyDesk, но не се сетих веднага за него + може би има ограничение за него.

2.4. Странното неравномерно поведение на програмата е, че когато сервизният процес е „taskkilled“ в Windows 10, той се рестартира автоматично, в Windows 8 завършва, оставяйки само конзолния процес и без повторно свързване, като цяло е нелогично и неточно.

Изтриването на процес, който се е свързал със сървъра, ви позволява да „принудите“ повторно свързване към следващия адрес. Изпълнява се подобно на предишните команди, така че давам само:

p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";

Освен това стартирайте програмата AnyDesk.

 //запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){ 
Process p1 = Process.Start(path_pro);}

2.5. Ще проверяваме статуса на AnyDesk веднъж на минута (или по-често?) и ако е свързан, т.е. връзката е УСТАНОВЕНа - блокирайте този IP и отново всичко отначало - изчакайте, докато се свърже, блокирайте и изчакайте.

3. Атака

Кодът беше „изготвен“, беше решено да се визуализира процесът "+" посочете намерен и блокиран IP и "." - повторна проверка без успешно свързване от AnyDesk.

→ Код на проекта

Като резултат…

Програмата работеше на няколко компютъра с различни Windows OS, с AnyDesk версии 5 и 6. Около 500 адреса бяха събрани в 80 итерации. За 2500 - 87 и така нататък ...

С течение на времето броят на блокираните IP адреси достигна 100+.

Линк към финала текстов файл с адреси: път и два

Това е направено! Пул от IP адреси се добавя към правилата на главния рутер чрез скрипт и AnyDesk просто не може да създаде външна връзка.

Има един странен момент, според първоначалните логове става ясно, че адресът участва в преноса на информация boot-01.net.anydesk.com. Ние, разбира се, блокирахме всички *.net.anydesk.com хостове като общо правило, но това не е странното. Всеки път, когато нормален пинг от различни компютри, това име на домейн дава различно IP. Проверка в Linux:

host boot-01.net.anydesk.com

като DNSLookup, те дават само един IP адрес, но този адрес е променлив. Когато анализираме TCPView връзка, получаваме обратно PTR записи на IP адреси като реле-*.net.anydesk.com.

Теоретично: тъй като пингът понякога отива до неизвестен деблокиран хост boot-01.net.anydesk.com можем да намерим тези ip и да блокираме, да направим тази реализация обикновен скрипт под Linux OS, тук не е необходимо да инсталирате AnyDesk. Анализът показа, че тези IP адреси често са "пресичат се" с намерените от нашия списък. Може би това е само този хост, към който програмата се свързва, преди да започне да "сортира" известни IP адреси. Вероятно по-късно ще допълня статията с втората част от търсенията на хостове, въпреки че в момента самата програма не инсталира външно присъединяване като цяло.

Надявам се, че не сте видели нищо незаконно в горното и създателите на AnyDesk ще се отнесат към моите действия по спортен начин.

Източник: www.habr.com