🥇ניתוח אפשרות לחסימת אפליקציה לשליטה מרחוק על מחשב דרך רשת, באמצעות הדוגמה של AnyDesk

כאשר יום אחד מעלה הבוס את השאלה: "למה יש אנשים שיש להם גישה מרחוק למחשב עבודה מבלי לקבל הרשאות נוספות לשימוש?",
ישנה משימה "לכסות" פרצה.

יש הרבה יישומים לשליטה מרחוק ברשת: שולחן עבודה מרוחק של Chrome, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control וכו'. אם לשולחן העבודה המרוחק של Chrome יש מדריך רשמי למאבק בגישה לשירות, ל-TeamViewer יש הגבלות רישיון בזמן או בבקשות מהרשת ומשתמשים "חורקים שיניים" איכשהו "זוהרים" עם המנהלים, אז החביב על רבים לשימוש אישי - AnyDesk עדיין דורש תשומת לב מיוחדת, במיוחד אם הבוס אמר "לא!".

אם אתה יודע מהי חסימה של חבילת רשת לפי התוכן שלה והיא מתאימה לך, אז שאר החומר
אינו מיועד בשבילך.

מנסה ללכת מההפך, למעשה מקוון זה אומר מה צריך לאפשר לתוכנית לעבוד, בהתאמה, רשומת ה-DNS נחסמה *.net.anydesk.com. אבל AnyDesk לא פשוט, לא אכפת לו מחסימת שם דומיין.

פעם אחת פתרתי את בעיית החסימה של "Anyplace Control" שהגיעה אלינו עם תוכנה מפוקפקת כלשהי, והיא נפתרה על ידי חסימת מספר כתובות IP בלבד (איבטחתי את האנטי וירוס). הבעיה עם AnyDesk, לאחר שאספתי ידנית יותר מתריסר כתובות IP, התגרה להתרחק מעבודת כפיים שגרתית.

עוד נמצא שב"C: ProgramDataAnyDesk" ישנם מספר קבצים עם הגדרות וכו' ובקובץ ad_svc.trace נאספים אירועים על קשרים וכישלונות.

1. תַצְפִּית

כפי שכבר צוין, חסימת *.anydesk.com לא נתנה תוצאות בתוכנית, הוחלט לנתח לתכנן התנהגות במצבי לחץ. TCPView מבית Sysinternals ביד והלכת!

1.1. ניתן לראות ש"תלויים" מספר תהליכים שמעניינים אותנו, ורק זה שמתקשר עם הכתובת מבחוץ מעניין אותנו. היציאות אליהן הוא מתחבר מועברות, ממה שראיתי: 80, 443, 6568. 🙂 80 ו-443 אנחנו בהחלט לא יכולים לחסום.

1.2. לאחר חסימת הכתובת דרך הנתב, כתובת אחרת נבחרת בשקט.

1.3. הקונסולה שלנו היא הכל! אנחנו קובעים את ה-PID ואז היה לי קצת מזל ש-AnyDesk הותקן על ידי השירות, בהתאמה, ה-PID שחיפשתי הוא היחיד.
1.4. אנו קובעים את כתובת ה-IP של שרת השירות לפי ה-PID של התהליך.

2. הכנה

מכיוון שהתוכנה לגילוי כתובות IP תעבוד כנראה רק במחשב האישי שלי, אין לי הגבלות על נוחות ועצלנות, אז C#.

2.1. כל השיטות לזיהוי כתובת ה-IP הרצויה כבר ידועות, נותר ליישם אותה.

string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process()) 
{p.StartInfo.FileName = "cmd.exe";
 p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
 p.StartInfo.UseShellExecute = false;
 p.StartInfo.RedirectStandardOutput = true;
 p.StartInfo.CreateNoWindow = true;
 p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
 p.Start();
 string output = p.StandardOutput.ReadToEnd();
 string[] pid1 = output.Split(',');//переводим ответ в массив
 pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}

באופן דומה, אנו מוצאים את השירות שיצר את החיבור, אני אתן רק את הקו הראשי

p.StartInfo.Arguments = "/c " netstat  -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";

התוצאה שלו תהיה:

מהשורה, בדומה לשלב הקודם, אנו מחלצים את העמודה השלישית ומסירים הכל אחרי ה-":". כתוצאה מכך, יש לנו את ה-IP הרצוי שלנו.

2.2. חסימת IP בווינדוס. אם ללינוקס יש Blackhole ו-iptables, אז השיטה של חסימת כתובת IP בשורה אחת, ללא שימוש בחומת אש, התבררה כחריגה ב-Windows,
אבל אילו כלים היו...

route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -p

פרמטר מפתח "אם 1" שלח את המסלול ל-Loopback (תוכל להציג את הממשקים הזמינים על ידי הפעלת הדפסת מסלול). וחשוב! כעת יש להפעיל את התוכנית עם זכויות מנהלכי שינוי המסלול דורש גובה.

2.3. הצגה ושמירת כתובות ה-IP המזוהות היא משימה טריוויאלית ואינה דורשת הסבר. אם תחשוב על זה, תוכל לעבד את הקובץ ad_svc.trace AnyDesk עצמו, אבל לא מיד חשבתי על זה + אולי יש על זה הגבלה.

2.4. ההתנהגות הלא שוויונית המוזרה של התוכנית היא שכאשר תהליך השירות "מוטל על משימות" בווינדוס 10, הוא מופעל מחדש אוטומטית, בווינדוס 8 הוא מסתיים, משאיר רק את תהליך הקונסולה ומבלי להתחבר מחדש, באופן כללי, זה לא הגיוני ולא מדויק.

מחיקת תהליך שהתחבר לשרת מאפשרת "לאלץ" חיבור מחדש לכתובת הבאה. זה מיושם בדומה לפקודות הקודמות, אז אני נותן רק:

p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";

בנוסף, הפעל את תוכנית AnyDesk.

 //запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){ 
Process p1 = Process.Start(path_pro);}

2.5. נבדוק את המצב של AnyDesk פעם בדקה (או בתדירות גבוהה יותר?), ואם הוא מחובר, כלומר. חיבור ESTABLISHED - חסום את ה-IP הזה, ושוב כל פעם מחדש - המתן עד שיתחבר, חסום והמתן.

3. תקיפה

הקוד "נוסח", הוחלט לדמיין את התהליך "+"ציין IP שנמצא וחסום, ו"." - בדיקה חוזרת ללא חיבור מוצלח מ-AnyDesk.

→ קוד פרויקט

כתוצאה…

התוכנית עבדה על מספר מחשבים עם מערכת הפעלה Windows שונה, עם AnyDesk גרסאות 5 ו-6. כ-500 כתובות נאספו ב-80 איטרציות. עבור 2500 - 87 וכן הלאה ...

עם הזמן, מספר כתובות ה-IP החסומות הגיע ל-100+.

קישור לגמר קובץ טקסט עם כתובות: זמן и два

זה נעשה! מאגר של כתובות IP מתווסף לכללי הנתב הראשי באמצעות סקריפט, ו-AnyDesk פשוט לא יכול ליצור חיבור חיצוני.

יש רגע מוזר, לפי היומנים הראשוניים, ברור שהכתובת מעורבת בהעברת מידע boot-01.net.anydesk.com. חסמנו כמובן את כל המארחים של *.net.anydesk.com ככלל, אבל זה לא המוזר. בכל פעם פינג רגיל ממחשבים שונים שם הדומיין הזה נותן IP שונה. בודק בלינוקס:

host boot-01.net.anydesk.com

כמו DNSLookup, הם נותנים רק כתובת IP אחת, אבל כתובת זו משתנה. בעת ניתוח חיבור TCPView, אנו מקבלים בחזרה רשומות PTR של כתובות IP כמו relay-*.net.anydesk.com.

תיאורטית: מכיוון שהפינג עובר לפעמים למארח לא ידוע שלא חסום boot-01.net.anydesk.com אנחנו יכולים למצוא את ה-IP והחסימה האלה, להפוך את היישום הזה לסקריפט רגיל תחת מערכת ההפעלה לינוקס, כאן אין צורך להתקין AnyDesk. הניתוח הראה כי כתובות IP אלו הן לעתים קרובות "לְהִצְטָלֵב" עם אלה שנמצאו מהרשימה שלנו. אולי זה רק המארח הזה, שאליו התוכנית מתחברת לפני שהיא מתחילה "למיין" כתובות IP ידועות. כנראה מאוחר יותר אוסיף את המאמר עם החלק השני של חיפושי המארח, אם כי כרגע התוכנית עצמה אינה מתקינה את outer join באופן כללי.

אני מקווה שלא ראית שום דבר לא חוקי באמור לעיל, והיוצרים של AnyDesk יתייחסו למעשים שלי בצורה ספורטיבית.

מקור: www.habr.com

ניתוח אפשרות של חסימת אפליקציה לשליטה מרחוק על מחשב דרך רשת, באמצעות הדוגמה של AnyDesk

הוספת תגובה ביטול תגובה