AnyDesk の例を使用した、ネットワーク経由のリモート コンピュータ制御アプリケーションをブロックする可能性の分析

ある日、上司が「なぜ一部の人は追加の使用許可を取得せずに職場のコンピュータにリモート アクセスできるのでしょうか?」という質問をしたとします。
抜け穴を「閉じる」という課題が生じます。

ネットワーク経由でリモート制御するためのアプリケーションは数多くあります: Chrome リモート デスクトップ、AmmyAdmin、LiteManager、TeamViewer、Anyplace Control など。Chrome リモート デスクトップにサービスへのアクセスを阻止するための公式マニュアルがある場合、TeamViewer には時間やリクエストに対するライセンス制限があります。ネットワークから遮断され、ユーザーは何らかの形で管理者に「歯を食いしばる」ことで、個人使用として多くの人に愛用されていますが、AnyDesk は依然として特別な注意を必要とします。特に上司が「ノー!」と言った場合にはなおさらです。

内容によってネットワーク パケットをブロックする内容がわかり、それに満足している場合は、残りの内容を理解してください。
意図していません あなたのために。

実は逆から行こうとしてる オンライン プログラムが動作するために何を許可する必要があるかが示されており、それに応じて DNS レコードがブロックされました *.net.anydesk.com。 しかし、AnyDesk は単純ではなく、ドメイン名のブロックを気にしません。

かつて、私は、怪しいソフトウェアとともにやって来た「Anyplace Control」をブロックする問題を解決しましたが、ほんの数個の IP をブロックすることで解決しました (ウイルス対策ソフトをバックアップしました)。 AnyDesk の問題は、十数個の IP アドレスを手動で収集した後、 私を挑発した 日常的な肉体労働から抜け出す。

また、「C:ProgramDataAnyDesk」には設定などが書かれたファイルが多数存在しており、そのファイル内に ad_svc.トレース 接続および障害に関するイベントが収集されます。

1。 観察

すでに述べたように、*.anydesk.com をブロックしてもプログラムの動作には何の結果も生じなかったため、分析することが決定されました。 ストレスの多い状況におけるプログラムの動作。 Sysinternals の TCPView を手にして、すぐに使いましょう!

1.1. 私たちにとって関心のあるいくつかのプロセスが「ハング」しており、外部からアドレスと通信するプロセスだけが私たちにとって関心があることがわかります。 接続先のポートは、私が見たところ、80、443、6568 が選択されています。 🙂 80 と 443 をブロックすることは絶対にできません。

1.2. ルーターを通じてアドレスをブロックした後、別のアドレスが静かに選択されます。

1.3. 私たちのコンソールがすべてです！ PID を特定すると、少し幸運だったのは、AnyDesk がサービスによってインストールされていたため、探していた PID が唯一のものだったということです。
1.4. プロセス PID からサービス サーバーの IP アドレスを決定します。

2.準備

IPアドレスを特定するプログラムはおそらく私のPCでしか動かないので、便利も怠さも制限がないのでC#です。

2.1. 必要な IP アドレスを識別するためのすべての方法はすでに知られていますが、実装されるのはまだ先のことです。

string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process()) 
{p.StartInfo.FileName = "cmd.exe";
 p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
 p.StartInfo.UseShellExecute = false;
 p.StartInfo.RedirectStandardOutput = true;
 p.StartInfo.CreateNoWindow = true;
 p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
 p.Start();
 string output = p.StandardOutput.ReadToEnd();
 string[] pid1 = output.Split(',');//переводим ответ в массив
 pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}

同様に、接続を確立したサービスを見つけます。主回線のみを示します

p.StartInfo.Arguments = "/c " netstat  -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";

その結果は次のようになります。

前の手順と同様に、その行から 3 列目を抽出し、「:」以降をすべて削除します。 その結果、目的の IP が得られました。

2.2. Windows での IP ブロック。 Linux に Blackhole と iptables がある場合、Windows でファイアウォールを使用せずに XNUMX 行で IP アドレスをブロックする方法は珍しいことが判明しました。
でも、どんな道具があったんだろう…

route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -p

キーパラメータ「1の場合" ルートをループバックに送信します (route print を実行すると、利用可能なインターフェイスを表示できます)。そして重要! ここでプログラムを起動する必要があります。 管理者権限を持つ、ルートを変更するには高度を上げる必要があるためです。

2.3. 識別された IP アドレスの表示と保存は簡単な作業であり、説明する必要はありません。 考えてみれば、ファイルを処理できます ad_svc.トレース AnyDesk 自体ですが、すぐには思いつきませんでした。おそらく制限があるのでしょう。

2.4. プログラムの奇妙な不均一な動作は、Windows 10 ではサービス プロセスを「タスクキル」すると自動的に再起動しますが、Windows 8 では終了し、コンソール プロセスのみが残り、再接続されません。一般に、これは非論理的であり、不正確です。

サーバーに接続しているプロセスを削除すると、次のアドレスに「強制的に」再接続できるようになります。 これは前のコマンドと同じ方法で実装されるため、次のように指定します。

p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";

さらに、AnyDesk プログラムを起動します。

 //запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){ 
Process p1 = Process.Start(path_pro);}

2.5. AnyDesk のステータスを 1 分に XNUMX 回 (またはそれ以上の頻度で?) チェックし、接続されているかどうかを確認します。 接続が確立されました - この IP をブロックし、もう一度最初からやり直します - 接続するまで待ち、ブロックして待ちます。

3. 攻撃

コードを「スケッチ」し、プロセスを視覚化することにしました。+" は、見つかってブロックされた IP を示します。"." - AnyDesk からのネイバー接続が成功しない場合はチェックを繰り返します。

→ プロジェクトコード

結果として…

このプログラムは、AnyDesk 5 および 6 のバージョンを備えた、異なる Windows OS を搭載した複数のコンピュータで動作しました。500 回以上繰り返し、約 80 個のアドレスが収集されました。 2500 - 87など...

時間の経過とともに、ブロックされた IP の数は 100 以上に達しました。

最終回へのリンク テキストファイル アドレス付き: 時間 и два

されております！ IP アドレスのプールはスクリプトを通じてメイン ルーターのルールに追加されたため、AnyDesk は外部接続を作成できません。

奇妙な点があります。最初のログから、そのアドレスが情報の転送に関与していることは明らかです。 boot-01.net.anydesk.com。 もちろん、原則としてすべての *.net.anydesk.com ホストをブロックしましたが、それは不思議なことではありません。 異なるコンピュータから通常の ping を実行するたびに、このドメイン名は異なる IP を与えます。 Linux での確認:

host boot-01.net.anydesk.com

DNSLookup のように、IP アドレスは XNUMX つだけ与えられますが、このアドレスは可変です。 TCPView 接続を分析すると、次のタイプの IP アドレスの PTR レコードが返されます。 リレー-*.net.anydesk.com.

理論上: ping はブロックされていない未知のホストに送信される場合があるため boot-01.net.anydesk.com これらの IP を見つけてブロックし、この実装を Linux OS での通常のスクリプトにすることができます。ここでは AnyDesk をインストールする必要はありません。 分析の結果、これらの IP は「交差する「リストから見つかったものを使用します。おそらく、プログラムが既知の IP の「分類」を開始する前に接続するのは、このホストだけです。おそらく、後ほどホスト検索の 2 番目の部分で記事を補足する予定ですが、現時点では、通常、プログラム自体はネットワーク外部結合内にはインストールされません。

上記に違法なものが含まれていないことを願っています。AnyDesk の作成者は私の行動をスポーツマンらしい態度で扱ってくれるでしょう。

出所： habr.com