Sa diha nga usa ka adlaw ang boss nagpatunghag pangutana: "Nganong ang pipila ka mga tawo adunay hilit nga pag-access sa kompyuter sa trabaho, nga wala makakuha dugang nga pagtugot alang sa paggamit?"
Ang tahas mitungha aron "sirado" ang lusot.
Adunay daghang mga aplikasyon alang sa remote control sa network: Chrome remote desktop, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control, ug uban pa. gikan sa network ug ang mga tiggamit "naggaling sa ilang mga ngipon" sa usa ka paagi o sa lain nga "pagsidlak" sa mga admin, unya ang paborito sa kadaghanan alang sa personal nga paggamit - Ang AnyDesk nanginahanglan pa nga espesyal nga atensyon, labi na kung ang boss miingon "Dili!"
Kung nahibal-an nimo kung unsa ang pag-block sa usa ka pakete sa network pinaagi sa sulud niini ug natagbaw ka niini, nan ang nahabilin nga materyal
wala gituyo para nimo.
Naningkamot sa pag-adto gikan sa atbang, sa pagkatinuod kini nag-ingon kung unsa ang kinahanglan nga tugutan alang sa programa nga molihok; sumala niana, ang rekord sa DNS gibabagan *.net.anydesk.com. Apan ang AnyDesk dili yano; wala kini magtagad sa pag-block sa usa ka domain name.
Kaniadto, nasulbad nako ang problema sa pag-block sa "Anyplace Control", nga mianhi kanamo nga adunay pipila ka mga kaduhaduhaan nga software, ug kini nasulbad pinaagi sa pag-block sa pipila lang nga mga IP (gi-backup nako ang antivirus). Ang problema sa AnyDesk, human nako mano-mano nga nakolekta labaw pa sa usa ka dosena nga mga adres sa IP, gimingaw nako palayo gikan sa naandan nga manual labor.
Nadiskobrehan usab nga sa "C: ProgramDataAnyDesk" adunay daghang mga file nga adunay mga setting, ug uban pa, ug sa file. ad_svc.trace Ang mga panghitabo bahin sa mga koneksyon ug mga kapakyasan gikolekta.
1. Obserbasyon
Sama sa nahisgutan na, ang pag-block sa *.anydesk.com wala maghatag bisan unsang mga sangputanan sa operasyon sa programa, nakahukom nga analisahon gawi sa programa sa mga tensiyonado nga mga sitwasyon. TCPView gikan sa Sysinternals sa imong mga kamot ug lakaw!
1.1. Makita nga daghang mga proseso nga interesado sa amon ang "nagbitay", ug ang usa nga nakigsulti sa adres gikan sa gawas ang interesado kanamo. Ang mga pantalan diin kini nagkonektar gipili, gikan sa akong nakita: 80, 443, 6568. π Dili gyud nato mapugngan ang 80 ug 443.
1.2. Human sa pagbabag sa adres pinaagi sa router, lain nga adres ang hilom nga gipili.
1.3. Ang console mao ang among TANAN! Gitino namon ang PID ug unya medyo swerte ko nga ang AnyDesk na-install sa serbisyo, mao nga ang PID nga among gipangita mao ra.
1.4. Gitino namo ang IP address sa service server gikan sa proseso nga PID.
2. Pagpangandam
Tungod kay ang programa alang sa pag-ila sa mga adres sa IP tingali magamit ra sa akong PC, wala ako'y mga pagdili sa kasayon ββββug pagkatapulan, busa ang C #.
2.1. Ang tanan nga mga pamaagi sa pag-ila sa gikinahanglan nga IP address nahibal-an na, kini nagpabilin nga ipatuman.
string pid1_;//ΡΠ·Π½Π°Π΅ΠΌ PID ΡΠ΅ΡΠ²ΠΈΡΠ° AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//ΠΏΠ΅ΡΠ΅Π²ΠΎΠ΄ΠΈΠΌ ΠΎΡΠ²Π΅Ρ Π² ΠΌΠ°ΡΡΠΈΠ²
pid1_ = pid1[1].Replace(""", "");//Π±Π΅ΡΠ΅ΠΌ 2ΠΉ ΡΠ»Π΅ΠΌΠ΅Π½Ρ Π±Π΅Π· ΠΊΠ°Π²ΡΡΠ΅ΠΊ
}Sa parehas nga paagi, nakit-an namon ang serbisyo nga nagtukod sa koneksyon, ihatag ko ra ang panguna nga linya
p.StartInfo.Arguments = "/c " netstat -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";Ang resulta niini mao ang:
Gikan sa laray, parehas sa miaging lakang, kuhaa ang ika-3 nga kolum ug kuhaa ang tanan pagkahuman sa ":". Ingon usa ka sangputanan, nakuha namon ang among gitinguha nga IP.
2.2. Pag-block sa IP sa Windows. Kung ang Linux adunay Blackhole ug iptables, nan ang pamaagi sa pag-block sa usa ka IP address sa usa ka linya, nga wala gigamit ang firewall, sa Windows nahimo nga talagsaon,
apan unsa nga matang sa mga himan didto...
route add Π½Π°Ρ_Π½Π°ΠΉΠ΄Π΅Π½Π½ΡΠΉ_IP_Π°Π΄ΡΠ΅Ρ mask 255.255.255.255 10.113.113.113 if 1 -pKey parameter "kung 1" ipadala ang ruta sa Loopback (Mahimo nimong ipakita ang mga magamit nga interface pinaagi sa pagpadagan sa pag-imprinta sa ruta). UG IMPORTANTE! Karon ang programa kinahanglan nga ilunsad nga adunay mga katungod sa tagdumala, tungod kay ang pagbag-o sa ruta nanginahanglan taas.
2.3. Ang pagpakita ug pagtipig sa giila nga mga adres sa IP usa ka gamay nga buluhaton ug wala magkinahanglan og katin-awan. Kung hunahunaon nimo kini, mahimo nimong iproseso ang file ad_svc.trace AnyDesk mismo, apan wala nako kini gihunahuna dayon + tingali adunay limitasyon niini.
2.4. Ang katingad-an nga dili patas nga pamatasan sa programa mao nga kung ang "taskkilling" ang proseso sa serbisyo sa Windows 10, awtomatiko kini nga gi-restart, sa Windows 8 kini matapos, gibilin lamang ang proseso sa console ug walaβy pagkonekta, sa kinatibuk-an kini dili makatarunganon ug kini dili tukma.
Ang pagtangtang sa usa ka proseso nga konektado sa server nagtugot kanimo sa "pagpugos" sa pagkonekta pag-usab sa sunod nga adres. Gipatuman kini sa samang paagi sama sa miaging mga sugo, mao nga ihatag ko lang kini:
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";Dugang pa, ilunsad ang AnyDesk nga programa.
//Π·Π°ΠΏΡΡΠΊΠ°Π΅ΠΌ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΡ ΠΊΠΎΡΠΎΡΠ°Ρ ΡΠ°ΡΠΏΠΎΠ»ΠΎΠΆΠ΅Π½Π° ΠΏΠΎ ΠΏΡΡΠΈ path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5. Atong susihon ang kahimtang sa AnyDesk kausa sa usa ka minuto (o mas kanunay?), Ug kung kini konektado, i.e. koneksyon ESTABLISHED - babagan kini nga IP, ug pag-usab sa tanan - paghulat hangtud nga kini magkonektar, babagan ug maghulat.
3. Pag-atake
Ang code "gi-sketch" ug kini nakahukom sa paghanduraw sa proseso "+" ipahibalo ang nakit-an ug gibabagan nga IP, ug "."-subli ang tseke nga walay malampuson nga koneksyon sa silingan gikan sa AnyDesk.
β
Isip resultaβ¦
Ang programa nagtrabaho sa daghang mga kompyuter nga adunay lainlaing Windows OS, nga adunay mga bersyon sa AnyDesk 5 ug 6. Kapin sa 500 nga mga pag-usab, mga 80 ka adres ang nakolekta. Para sa 2500 - 87 ug uban pa...
Sa paglabay sa panahon, ang gidaghanon sa gibabagan nga mga IP miabot sa 100+.
Link sa katapusan text file uban sa mga adres: ΠΈ
Nahuman na! Ang pool sa mga IP address gidugang sa mga lagda sa main router pinaagi sa script ug ang AnyDesk dili makahimo og eksternal nga koneksyon.
Adunay usa ka katingad-an nga punto, gikan sa inisyal nga mga troso klaro nga ang adres nalangkit sa pagbalhin sa kasayuran boot-01.net.anydesk.com. Siyempre, gibabagan namo ang tanang *.net.anydesk.com nga mga host isip kinatibuk-ang lagda, apan dili kana ang katingad-an nga butang. Sa matag higayon nga adunay normal nga ping gikan sa lainlaing mga kompyuter, kini nga ngalan sa domain naghatag usa ka lahi nga IP. Pagsusi sa Linux:
host boot-01.net.anydesk.com
sama sa DNSLookup naghatag lang sila og usa ka IP address, apan kini nga adres kay variable. Kung nag-analisar sa usa ka koneksyon sa TCPView, gibalik kami mga rekord sa PTR sa mga IP adres sa tipo relay-*.net.anydesk.com.
Sa teoriya: tungod kay ang ping usahay moadto sa usa ka wala mailhi nga wala ma-block nga host boot-01.net.anydesk.com makit-an nato kini nga mga ips ug babagan kini, himoa kini nga pagpatuman nga usa ka regular nga script ubos sa Linux OS, dinhi dili kinahanglan nga i-install ang AnyDesk. Gipakita sa pag-analisar nga kini nga mga IP kanunay "intersect"uban sa mga nakit-an gikan sa among lista. Tingali kini ra nga host diin ang programa nagkonektar sa wala pa kini magsugod sa "paghan-ay" nga nahibal-an nga mga IP. Ang programa mismo wala mag-install sa sulod sa network sa gawas nga pag-apil sa kinatibuk-an.
Nanghinaut ko nga wala ka'y ββnakita nga ilegal sa ibabaw, ug ang mga tiglalang sa AnyDesk motratar sa akong mga aksyon sa usa ka sportsmanlike nga paagi.
Source: www.habr.com