Tha luchd-anailis bhìoras agus luchd-rannsachaidh tèarainteachd coimpiutair a’ rèiseadh gus nas urrainn dhaibh de shamhlaichean de botnets ùra a chruinneachadh. Bidh iad a' cleachdadh phoitean meala airson an adhbharan fhèin... Ach dè ma tha thu airson an malware fhaicinn ann an suidheachaidhean fìor? Cuir do fhrithealaiche no router ann an cunnart? Dè mura h-eil inneal iomchaidh ann? B 'e na ceistean sin a thug orm bunter a chruthachadh, inneal airson faighinn gu nodan botnet.
Prìomh bheachd
Tha iomadh dòigh ann air malware a sgaoileadh gus botnets a leudachadh: bho phishing gu bhith a’ gabhail brath air so-leòntachd 0-latha. Ach is e an dòigh as cumanta fhathast faclan-faire SSH brùideil.
Tha am beachd gu math sìmplidh. Ma tha cuid de nód botnet a’ feuchainn ri faclan-faire brùideil a thoirt don t-seirbheisiche agad, is coltaiche gun deach an nód seo fhèin a ghlacadh le faclan-faire sìmplidh brùideil. Tha seo a’ ciallachadh, gus faighinn thuige, chan fheum thu ach ath-aithris.
Seo dìreach mar a tha Bunter ag obair. Ag èisteachd ri port 22 (seirbheis SSH) agus a’ cruinneachadh a h-uile logadh a-steach agus facal-faire leis am bi iad a’ feuchainn ri ceangal a dhèanamh ris. An uairsin, a ’cleachdadh na faclan-faire cruinnichte, bidh e a’ feuchainn ri ceangal ri nodan ionnsaigh.
Algairim obrach
Faodar am prògram a roinn ann an 2 phrìomh phàirtean, a bhios ag obair ann an snàithleanan fa leth. Is e a 'chiad fhear pot mil. Pròiseas oidhirpean logadh a-steach, a’ tional logaichean agus faclan-faire gun samhail (sa chùis seo, thathas a’ beachdachadh air an logadh a-steach + facal-faire paidhir mar aon iomlan), agus cuideachd a’ cur seòlaidhean IP ris a dh’ fheuch ri ceangal ris a’ chiudha airson tuilleadh ionnsaigh.
Tha an dàrna pàirt gu dìreach an urra ris an ionnsaigh. A bharrachd air an sin, tha an ionnsaigh air a dhèanamh ann an dà dhòigh: BurstAttack (ionnsaigh spreadhaidh) - logaichean feachd brùideil agus faclan-faire bhon liosta choitcheann agus SingleShotAttack (ionnsaigh aon peilear) - faclan-faire feachd brùideil a chaidh a chleachdadh leis an nód ionnsaigh, ach nach deach a chleachdadh fhathast air a chur ris an liosta choitcheann.
Gus am bi co-dhiù beagan stòr-dàta de logadh a-steach agus faclan-faire dìreach às deidh a chuir air bhog, thèid bunter a thòiseachadh le liosta bhon fhaidhle /etc/bhunter/defaultLoginPairs.
eadar-aghaidh
Tha grunn dhòighean ann airson bunter a chuir air bhog:
Dìreach mar sgioba
sudo bhunterLeis an fhoillseachadh seo, tha e comasach smachd a chumail air Bunter tron chlàr teacsa aige: cuir a-steach logins agus faclan-faire airson ionnsaigh, às-mhalairt stòr-dàta de logins agus faclan-faire, sònraich targaid airson ionnsaigh. Chithear a h-uile nodan briste anns an fhaidhle /var/log/bhunter/hacked.log
A’ cleachdadh tmux
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Tha Tmux na ioma-fhillteadair crìochnachaidh, inneal gu math goireasach. Leigidh seo leat grunn uinneagan a chruthachadh taobh a-staigh aon cheann-uidhe, agus roinn na h-uinneagan gu pannalan. Le bhith ga chleachdadh, faodaidh tu an inneal-crìochnachaidh fhàgail agus an uairsin logadh a-steach gun a bhith a’ cur bacadh air pròiseasan ruith.
Bidh an sgriobt bhunter-ts a’ cruthachadh seisean tmux agus a’ roinn na h-uinneige gu trì pannalan. Anns a 'chiad fhear, as motha, tha clàr-taice teacsa. Anns an fhear gu h-àrd air an làimh dheis tha logaichean meala, an seo chì thu teachdaireachdan mu oidhirpean gus logadh a-steach don phoit meala. Bidh am pannal gu h-ìosal air an làimh dheis a’ taisbeanadh fiosrachadh mu adhartas an ionnsaigh air nodan botnet agus mu dheidhinn hacks soirbheachail.
Is e a ’bhuannachd a tha aig an dòigh seo thairis air a’ chiad fhear gun urrainn dhuinn an inneal-crìochnachaidh a dhùnadh gu sàbhailte agus tilleadh thuige nas fhaide air adhart, gun a bhith a ’stad a chuid obrach. Dhaibhsan aig nach eil mòran eòlach air tmux, tha mi a’ moladh .
Mar sheirbheis
systemctl enable bhunter
systemctl start bhunterAnns a 'chùis seo, bidh sinn a' toirt comas do bhunter autostart aig toiseach tòiseachaidh an t-siostaim. San dòigh seo, chan eil eadar-obrachadh le bunter air a thoirt seachad, agus gheibhear an liosta de nodan briste bho /var/log/bhunter/hacked.log
Èifeachdas
Fhad ‘s a bha mi ag obair air bunter, fhuair mi air faighinn a-mach agus faighinn gu innealan gu tur eadar-dhealaichte: sùbh-craoibhe pi, routers (gu sònraichte mikrotik), frithealaichean lìn, agus aon uair tuathanas mèinnearachd (gu mì-fhortanach, bha cothrom air tron latha, agus mar sin cha robh e inntinneach sgeulachd). Seo dealbh-sgrìn den phrògram, a sheallas liosta de nodan briste às deidh grunn làithean obrach:
Gu mì-fhortanach, cha do ràinig èifeachdas an inneil seo na bha mi an dùil: faodaidh bhunter feuchainn air faclan-faire gu nodan airson grunn làithean gun shoirbheachadh, agus faodaidh e grunn thargaidean a sheacadh ann an dà uair a thìde. Ach tha seo gu leòr airson sruthadh cunbhalach de shamhlaichean botnet ùra.
Tha buaidh aig an èifeachdas le leithid de pharamadairean mar: an dùthaich anns a bheil am frithealaiche le bunter suidhichte, aoigheachd, agus an raon bhon deach an seòladh IP a riarachadh. Anns an eòlas agam, bha cùis ann nuair a fhuair mi dà sheirbheisiche brìgheil air màl bho aon neach-aoigheachd, agus chaidh ionnsaigh a thoirt air fear dhiubh le botnets 2 tursan nas trice.
Bugs nach do shocraich mi fhathast
Nuair a bheir thu ionnsaigh air luchd-aoigheachd le galair, ann an cuid de shuidheachaidhean chan eil e comasach dearbhadh gun teagamh a bheil am facal-faire ceart no nach eil. Tha cùisean mar seo air an logadh a-steach don fhaidhle /var/log/debug.log.
Bidh am modal Paramiko, a thathas a’ cleachdadh airson obrachadh le SSH, uaireannan a’ giùlan ceàrr: bidh e gun stad a’ feitheamh ri freagairt bhon aoigh nuair a dh’ fheuchas e ri ceangal a dhèanamh ris. Rinn mi deuchainn le timers, ach cha d’ fhuair mi an toradh a bha mi ag iarraidh
Dè eile a dh'fheumar obrachadh air?
Ainm na seirbheis
A rèir RFC-4253, bidh an neach-dèiligidh agus an fhrithealaiche ag iomlaid ainmean sheirbheisean a tha a 'cur an gnìomh protocol SSH mus tèid an stàladh. Tha an t-ainm seo anns an raon “SEIRBHEIS AINM”, a tha an dà chuid san iarrtas bho thaobh an neach-dèiligidh agus san fhreagairt bho thaobh an fhrithealaiche. Is e sreang a th’ anns an raon, agus gheibhear a luach le bhith a’ cleachdadh wireshark no nmap. Seo eisimpleir airson OpenSSH:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
Ach, a thaobh Paramiko, tha sreang anns an raon seo mar “Paramiko Python sshd 2.4.2”, a dh’ fhaodadh eagal a chuir air botnets a tha air an dealbhadh gus ribeachan “a sheachnadh”. Mar sin, tha mi a’ smaoineachadh gu bheil e riatanach rudeigin nas neo-phàirteach a chuir an àite na loidhne seo.
Vectors eile
Chan e SSH an aon dòigh air riaghladh iomallach. Tha telnet ann cuideachd, rdp. Is fhiach sùil nas mionaidiche a thoirt orra.
leudachan
Bhiodh e math grunn ribeachan a bhith agad ann an diofar dhùthchannan agus sa mheadhan cruinneachadh logaichean, faclan-faire agus nodan air an gearradh bhuapa gu stòr-dàta cumanta
Càite an urrainn dhomh luchdachadh sìos?
Aig àm sgrìobhaidh, chan eil ach dreach deuchainn deiseil, a ghabhas luchdachadh a-nuas bho .
Source: www.habr.com