Ang mga analista sa virus ug mga tigdukiduki sa seguridad sa kompyuter naglumba sa pagkolekta sa daghang mga sampol sa mga bag-ong botnet kutob sa mahimo. Gigamit nila ang mga honeypots alang sa ilang kaugalingon nga katuyoan ... Apan unsa man kung gusto nimo nga maobserbahan ang malware sa tinuud nga mga kahimtang? Ibutang ang imong server o router sa peligro? Unsa kaha kung walaβy angay nga aparato? Kini nga mga pangutana ang nag-aghat kanako sa paghimo og bhunter, usa ka himan alang sa pag-access sa mga botnet node.
Pangunang ideya
Adunay daghang mga paagi sa pagpakaylap sa malware aron mapalapad ang mga botnet: gikan sa phishing hangtod sa pagpahimulos sa 0-adlaw nga kahuyangan. Apan ang labing kasagaran nga pamaagi mao ang pagpugos sa mga password sa SSH.
Simple ra kaayo ang ideya. Kung ang pipila ka botnet node naningkamot sa pag-brute-force sa mga password alang sa imong server, nan lagmit nga kini nga node mismo nakuha sa brute-force nga yano nga mga password. Kini nagpasabot nga aron makaangkon og access niini, kinahanglan lang nga mobalos ka.
Ingon niini kung giunsa ang pagtrabaho sa bhunter. Maminaw sa port 22 (SSH service) ug mangolekta sa tanang logins ug password nga ilang gisulayan sa pagkonektar niini. Unya, gamit ang nakolekta nga mga password, kini mosulay sa pagkonektar sa pag-atake sa mga node.
Pagtrabaho algorithm
Ang programa mahimong bahinon sa 2 nga nag-unang mga bahin, nga nagtrabaho sa lainlaing mga hilo. Ang una mao ang honeypot. Nagproseso sa mga pagsulay sa pag-login, nagkolekta og talagsaon nga mga login ug mga password (sa kini nga kaso, ang pares sa pag-login + password gikonsiderar nga usa ka bug-os), ug usab nagdugang sa mga IP address nga misulay sa pagkonektar sa pila alang sa dugang nga pag-atake.
Ang ikaduhang bahin direktang responsable sa pag-atake. Dugang pa, ang pag-atake gihimo sa duha ka mga mode: BurstAttack (burst attack) - brute force logins ug mga password gikan sa kinatibuk-ang listahan ug SingleShotAttack (single shot attack) - brute force nga mga password nga gigamit sa giatake nga node, apan wala pa gidugang sa kinatibuk-ang listahan.
Aron adunay labing menos pipila ka database sa mga logins ug password diha-diha dayon human sa paglusad, ang bhunter gisugdan sa usa ka lista gikan sa file /etc/bhunter/defaultLoginPairs.
interface
Adunay daghang mga paagi sa paglansad sa bhunter:
Ingon usa ka team
sudo bhunterSa kini nga paglansad, posible nga makontrol ang bhunter pinaagi sa menu sa teksto niini: pagdugang mga login ug password alang sa usa ka pag-atake, pag-eksport sa usa ka database sa mga login ug password, pagtino sa usa ka target alang sa usa ka pag-atake. Ang tanan nga gi-hack nga mga node makita sa file /var/log/bhunter/hacked.log
Paggamit sa tmux
sudo bhunter-ts # ΠΊΠΎΠΌΠ°Π½Π΄Π° Π·Π°ΠΏΡΡΠΊΠ° bhunter ΡΠ΅ΡΠ΅Π· tmux
sudo tmux attach -t bhunter # ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΠΌΡΡ ΠΊ ΡΠ΅ΡΡΠΈΠΈ, Π² ΠΊΠΎΡΠΎΡΠΎΠΉ Π·Π°ΠΏΡΡΠ΅Π½ bhunter
Ang Tmux usa ka terminal multiplexer, usa ka kombenyente nga himan. Nagtugot kanimo sa paghimo og daghang mga bintana sulod sa usa ka terminal, ug gibahin ang mga bintana ngadto sa mga panel. Gamit kini, mahimo ka nga mogawas sa terminal ug dayon mag-log in nga dili makabalda sa mga proseso sa pagdagan.
Ang bhunter-ts script nagmugna og tmux session ug gibahin ang bintana ngadto sa tulo ka panel. Ang una, pinakadako, adunay usa ka menu sa teksto. Ang ibabaw nga tuo adunay mga log sa honeypot, dinhi makita nimo ang mga mensahe bahin sa pagsulay sa pag-log in sa honeypot. Ang ubos nga tuo nga panel nagpakita sa kasayuran mahitungod sa pag-uswag sa pag-atake sa mga botnet node ug mahitungod sa malampuson nga mga hack.
Ang bentaha sa kini nga pamaagi sa una mao nga mahimo naton nga luwas nga isira ang terminal ug ibalik kini sa ulahi, nga walaβy hunong ang bhunter sa trabaho niini. Para sa mga dili kaayo pamilyar sa tmux, akong gisugyot .
Isip serbisyo
systemctl enable bhunter
systemctl start bhunterSa kini nga kaso, mahimo namon ang bhunter autostart sa pagsugod sa sistema. Niini nga pamaagi, wala gihatag ang interaksyon sa bhunter, ug ang lista sa mga na-hack nga node makuha gikan sa /var/log/bhunter/hacked.log
Epektibo
Samtang nagtrabaho sa bhunter, nakahimo ko sa pagpangita ug pag-access sa hingpit nga lain-laing mga himan: raspberry pi, routers (ilabi na sa mikrotik), web server, ug sa makausa sa usa ka mining farm (sa kasubo, ang access niini sa panahon sa adlaw, mao nga walay makapaikag nga. istorya). Ania ang usa ka screenshot sa programa, nga nagpakita sa usa ka lista sa mga na-hack nga mga node pagkahuman sa pila ka adlaw nga pagtrabaho:
Ikasubo, ang pagka-epektibo niini nga himan wala makaabot sa akong gipaabut: bhunter mahimong mosulay sa mga password sa mga node sulod sa pipila ka mga adlaw nga walay kalampusan, ug maka-hack sa daghang mga target sulod sa pipila ka oras. Apan kini igo na alang sa usa ka regular nga pagdagsang sa mga bag-ong botnet sample.
Ang pagka-epektibo naimpluwensyahan sa mga parameter sama sa: ang nasud diin ang server nga adunay bhunter nahimutang, pag-host, ug ang sakup diin gigahin ang IP address. Sa akong kasinatian, adunay usa ka kaso sa dihang nag-abang ko og duha ka virtual server gikan sa usa ka hoster, ug ang usa kanila giatake sa mga botnet 2 ka beses nga mas kanunay.
Mga bug nga wala pa nako naayo
Kung giatake ang mga nataptan nga host, sa pipila ka mga sitwasyon dili posible nga mahibal-an kung husto ba ang password o dili. Ang ingon nga mga kaso gi-log sa /var/log/debug.log file.
Ang module sa Paramiko, nga gigamit sa pagtrabaho uban sa SSH, usahay dili husto nga paggawi: kini walay katapusan nga naghulat alang sa tubag gikan sa host kung kini mosulay sa pagkonektar niini. Nag-eksperimento ako sa mga timer, apan wala makuha ang gitinguha nga resulta
Unsa pa ang kinahanglan nga trabahoon?
Ngalan sa serbisyo
Sumala sa RFC-4253, ang kliyente ug server nagbayloay og mga ngalan sa mga serbisyo nga nagpatuman sa SSH protocol sa wala pa i-install. Kini nga ngalan anaa sa field nga "SERVICE NAME", anaa sa hangyo gikan sa kliyente nga bahin ug sa tubag gikan sa server side. Ang field usa ka string, ug ang bili niini makita gamit ang wireshark o nmap. Ania ang usa ka pananglitan alang sa OpenSSH:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
Bisan pa, sa kaso sa Paramiko, kini nga natad adunay sulud sama sa "Paramiko Python sshd 2.4.2", nga makahadlok sa mga botnet nga gidisenyo aron "likayan" ang mga lit-ag. Busa, sa akong hunahuna kinahanglan nga ilisan kini nga linya sa usa ka butang nga mas neyutral.
Uban pang mga vector
Ang SSH dili lamang ang paagi sa hilit nga pagdumala. Adunay usab telnet, rdp. Angay nga tan-awon sila pag-ayo.
extension
Nindot kaayo nga adunay daghang mga lit-ag sa lainlaing mga nasud ug sentro nga pagkolekta sa mga login, password ug gi-hack nga mga node gikan kanila ngadto sa usa ka komon nga database
Asa ko maka-download?
Sa panahon sa pagsulat, usa lamang ka pagsulay nga bersyon ang andam, nga mahimong ma-download gikan sa .
Source: www.habr.com