ভাইরাস বিশ্লেষক এবং কম্পিউটার নিরাপত্তা গবেষকরা যতটা সম্ভব নতুন বটনেটের নমুনা সংগ্রহ করতে দৌড়াচ্ছেন। তারা তাদের নিজস্ব উদ্দেশ্যে মধুপাতা ব্যবহার করে... কিন্তু আপনি যদি বাস্তব পরিস্থিতিতে ম্যালওয়্যার পর্যবেক্ষণ করতে চান? আপনার সার্ভার বা রাউটার ঝুঁকিতে রাখা? যদি কোন উপযুক্ত যন্ত্র না থাকে? এই প্রশ্নগুলিই আমাকে ভন্টার তৈরি করতে প্ররোচিত করেছিল, বটনেট নোডগুলিতে অ্যাক্সেস পাওয়ার জন্য একটি সরঞ্জাম।

মূল ধারণা

বোটনেট প্রসারিত করার জন্য ম্যালওয়্যার ছড়িয়ে দেওয়ার অনেক উপায় রয়েছে: ফিশিং থেকে 0-দিনের দুর্বলতাগুলিকে কাজে লাগানো পর্যন্ত। কিন্তু সবচেয়ে সাধারণ পদ্ধতি হল এখনও ব্রুট-ফোর্সিং SSH পাসওয়ার্ড।

ধারণাটি খুবই সহজ। যদি কিছু বটনেট নোড আপনার সার্ভারের জন্য পাসওয়ার্ডগুলিকে ব্রুট-ফোর্স করার চেষ্টা করে, তাহলে সম্ভবত এই নোডটি নিজেই ব্রুট-ফোর্সিং সাধারণ পাসওয়ার্ড দ্বারা ক্যাপচার করা হয়েছে। এর মানে হল যে এটিতে অ্যাক্সেস পেতে, আপনাকে কেবল প্রতিদান দিতে হবে।

ভান্টার ঠিক এভাবেই কাজ করে। পোর্ট 22 (SSH পরিষেবা) শোনে এবং সমস্ত লগইন এবং পাসওয়ার্ড সংগ্রহ করে যা দিয়ে তারা এটির সাথে সংযোগ করার চেষ্টা করে। তারপর, সংগৃহীত পাসওয়ার্ড ব্যবহার করে, এটি আক্রমণকারী নোডগুলির সাথে সংযোগ করার চেষ্টা করে।

কাজ আলগোরিদিম

প্রোগ্রামটিকে 2টি প্রধান অংশে ভাগ করা যেতে পারে, যা পৃথক থ্রেডে কাজ করে। প্রথমটি হল মধুপাত্র। লগইন প্রচেষ্টা প্রসেস করে, অনন্য লগইন এবং পাসওয়ার্ড সংগ্রহ করে (এই ক্ষেত্রে, লগইন + পাসওয়ার্ড জোড়াকে একক পূর্ণ হিসাবে বিবেচনা করা হয়), এবং আরও আক্রমণের জন্য সারিতে সংযোগ করার চেষ্টা করা আইপি ঠিকানাগুলিও যোগ করে।

দ্বিতীয় অংশ আক্রমণের জন্য সরাসরি দায়ী। অধিকন্তু, আক্রমণটি দুটি মোডে করা হয়: BurstAttack (বার্স্ট অ্যাটাক) - সাধারণ তালিকা থেকে ব্রুট ফোর্স লগইন এবং পাসওয়ার্ড এবং SingleShotAttack (একক শট অ্যাটাক) - ব্রুট ফোর্স পাসওয়ার্ড যা আক্রমণ করা নোড দ্বারা ব্যবহৃত হয়েছিল, কিন্তু এখনও করা হয়নি। সাধারণ তালিকায় যোগ করা হয়েছে।

লঞ্চের পরপরই লগইন এবং পাসওয়ার্ডের অন্তত কিছু ডাটাবেস থাকার জন্য, bhunter-কে /etc/bhunter/defaultLoginPairs ফাইল থেকে একটি তালিকা দিয়ে শুরু করা হয়।

ইন্টারফেস

ভন্টার চালু করার বিভিন্ন উপায় রয়েছে:

শুধু একটা দল হিসেবে

sudo bhunter

এই লঞ্চের মাধ্যমে, এটির পাঠ্য মেনুর মাধ্যমে বুন্টার নিয়ন্ত্রণ করা সম্ভব: আক্রমণের জন্য লগইন এবং পাসওয়ার্ড যোগ করুন, লগইন এবং পাসওয়ার্ডের একটি ডাটাবেস রপ্তানি করুন, আক্রমণের জন্য একটি লক্ষ্য নির্দিষ্ট করুন। সমস্ত হ্যাক করা নোড /var/log/bhunter/hacked.log ফাইলে দেখা যাবে

tmux ব্যবহার করে

sudo bhunter-ts # команда запуска bhunter через tmux  
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter

Tmux একটি টার্মিনাল মাল্টিপ্লেক্সার, একটি খুব সুবিধাজনক টুল। আপনাকে একটি টার্মিনালের মধ্যে একাধিক উইন্ডো তৈরি করতে এবং উইন্ডোগুলিকে প্যানেলে বিভক্ত করার অনুমতি দেয়। এটি ব্যবহার করে, আপনি টার্মিনাল থেকে প্রস্থান করতে পারেন এবং তারপরে চলমান প্রক্রিয়াগুলিকে বাধা না দিয়ে লগ ইন করতে পারেন।

bhunter-ts স্ক্রিপ্ট একটি tmux সেশন তৈরি করে এবং উইন্ডোটিকে তিনটি প্যানেলে বিভক্ত করে। প্রথম, বৃহত্তম, একটি পাঠ্য মেনু রয়েছে। উপরের ডানদিকে হানিপট লগ রয়েছে, এখানে আপনি হানিপটে লগ ইন করার প্রচেষ্টা সম্পর্কে বার্তা দেখতে পাবেন। নীচের ডান প্যানেল বটনেট নোডগুলিতে আক্রমণের অগ্রগতি এবং সফল হ্যাক সম্পর্কে তথ্য প্রদর্শন করে।

প্রথমটির তুলনায় এই পদ্ধতির সুবিধা হল যে আমরা নিরাপদে টার্মিনালটি বন্ধ করতে পারি এবং পরে এটিতে ফিরে যেতে পারি, এটির কাজ বন্ধ না করে। যারা tmux এর সাথে সামান্য পরিচিত তাদের জন্য, আমি পরামর্শ দিই এই প্রতারণা শীট.

একটি সেবা হিসাবে

systemctl enable bhunter
systemctl start bhunter

এই ক্ষেত্রে, আমরা সিস্টেম স্টার্টআপে bhunter autostart সক্ষম করি। এই পদ্ধতিতে, ভন্টারের সাথে মিথস্ক্রিয়া প্রদান করা হয় না, এবং হ্যাক করা নোডের তালিকা /var/log/bhunter/hacked.log থেকে পাওয়া যেতে পারে।

কার্যকারিতা

বুন্টারে কাজ করার সময়, আমি সম্পূর্ণ ভিন্ন ডিভাইসগুলি খুঁজে পেতে এবং অ্যাক্সেস করতে সক্ষম হয়েছিলাম: রাস্পবেরি পাই, রাউটার (বিশেষত মিক্রোটিক), ওয়েব সার্ভার এবং একবার একটি খনির খামার (দুর্ভাগ্যবশত, এটি দিনের বেলায় অ্যাক্সেস ছিল, তাই কোন আকর্ষণীয় ছিল না। গল্প ). এখানে প্রোগ্রামটির একটি স্ক্রিনশট রয়েছে, যা বেশ কয়েক দিন কাজ করার পরে হ্যাক করা নোডগুলির একটি তালিকা দেখায়:

দুর্ভাগ্যবশত, এই টুলটির কার্যকারিতা আমার প্রত্যাশায় পৌঁছায়নি: ভন্টার সফলতা ছাড়াই বেশ কয়েকদিন ধরে নোডগুলিতে পাসওয়ার্ড চেষ্টা করতে পারে এবং কয়েক ঘন্টার মধ্যে বেশ কয়েকটি লক্ষ্য হ্যাক করতে পারে। তবে এটি নিয়মিত নতুন বটনেট নমুনার জন্য যথেষ্ট।

কার্যকারিতা এই ধরনের পরামিতি দ্বারা প্রভাবিত হয়: যে দেশে বুন্টার সহ সার্ভারটি অবস্থিত, হোস্টিং এবং যেখান থেকে IP ঠিকানা বরাদ্দ করা হয়েছে। আমার অভিজ্ঞতায়, এমন একটি ঘটনা ছিল যখন আমি একটি হোস্টার থেকে দুটি ভার্চুয়াল সার্ভার ভাড়া নিয়েছিলাম এবং তাদের মধ্যে একটি 2 বার বেশি বার বটনেট দ্বারা আক্রান্ত হয়েছিল।

বাগগুলি যা আমি এখনও ঠিক করিনি৷

সংক্রামিত হোস্টদের আক্রমণ করার সময়, কিছু পরিস্থিতিতে পাসওয়ার্ডটি সঠিক কিনা তা দ্ব্যর্থহীনভাবে নির্ধারণ করা সম্ভব হয় না। এই ধরনের কেস /var/log/debug.log ফাইলে লগ করা হয়।

প্যারামিকো মডিউল, যা SSH-এর সাথে কাজ করতে ব্যবহৃত হয়, কখনও কখনও ভুল আচরণ করে: এটি হোস্টের সাথে সংযোগ করার চেষ্টা করলে এটি অবিরামভাবে একটি প্রতিক্রিয়ার জন্য অপেক্ষা করে। আমি টাইমারের সাথে পরীক্ষা করেছি, কিন্তু পছন্দসই ফলাফল পাইনি

আর কি কাজ করতে হবে?

কাজের নাম

RFC-4253 অনুসারে, ইনস্টলেশনের আগে SSH প্রোটোকল বাস্তবায়নকারী পরিষেবাগুলির ক্লায়েন্ট এবং সার্ভারের নাম বিনিময় করে। এই নামটি "পরিষেবার নাম" ক্ষেত্রের মধ্যে রয়েছে, ক্লায়েন্ট পক্ষ থেকে অনুরোধ এবং সার্ভার পক্ষ থেকে প্রতিক্রিয়া উভয়ই রয়েছে৷ ক্ষেত্রটি একটি স্ট্রিং, এবং এর মান wireshark বা nmap ব্যবহার করে পাওয়া যেতে পারে। এখানে OpenSSH এর জন্য একটি উদাহরণ:

$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT   STATE SERVICE VERSION
22/tcp open  ssh     <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

যাইহোক, প্যারামিকোর ক্ষেত্রে, এই ক্ষেত্রটিতে "Paramiko Python sshd 2.4.2" এর মতো একটি স্ট্রিং রয়েছে, যা ফাঁদগুলিকে "এড়াতে" ডিজাইন করা বটনেটগুলিকে ভয় দেখাতে পারে৷ অতএব, আমি মনে করি এই লাইনটি আরও নিরপেক্ষ কিছু দিয়ে প্রতিস্থাপন করা প্রয়োজন।

অন্যান্য ভেক্টর

SSH দূরবর্তী ব্যবস্থাপনার একমাত্র উপায় নয়। আরও আছে টেলনেট, আরডিপি। এটা তাদের একটি ঘনিষ্ঠ কটাক্ষপাত গ্রহণ মূল্য.

প্রসার

বিভিন্ন দেশে বেশ কয়েকটি ফাঁদ রাখা এবং কেন্দ্রীয়ভাবে লগইন, পাসওয়ার্ড এবং হ্যাক করা নোডগুলি একটি সাধারণ ডাটাবেসে সংগ্রহ করা দুর্দান্ত হবে।

আমি কোথায় ডাউনলোড করতে পারি?

লেখার সময়, শুধুমাত্র একটি পরীক্ষার সংস্করণ প্রস্তুত, যা থেকে ডাউনলোড করা যেতে পারে Github এ সংগ্রহস্থল.

উত্স: www.habr.com