Nalika sawijining dina, bos takon: "Napa sawetara wong duwe akses remot menyang komputer kerja tanpa entuk ijin tambahan kanggo digunakake?",
Tugas muncul kanggo "nutup" celah kasebut.
Ana akeh aplikasi kanggo remot kontrol liwat jaringan: Chrome desktop remot, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control, lan sapiturute. saka jaringan lan pangguna "gritting untu" piye wae "sumorot" karo admins, banjur favorit saka akeh kanggo nggunakake pribadi - AnyDesk isih mbutuhake manungsa waΓ© khusus, utamanΓ© yen boss ngandika "Ora!".
Yen sampeyan ngerti apa pamblokiran paket jaringan miturut isi lan cocog karo sampeyan, banjur materi liyane
ora dimaksudakΓ© Kanggo sampeyan.
Nyoba kanggo pindhah saka ngelawan, nyatane ngandika apa sing kudu diijini supaya program bisa, mungguh, rekaman DNS diblokir *.net.anydesk.com. Nanging AnyDesk ora prasaja; ora peduli babagan mblokir jeneng domain.
Sawise aku ditanggulangi masalah pamblokiran "Anyplace Control" kang teka kanggo kita karo sawetara lunak dubious, lan wis ditanggulangi dening mblokir mung sawetara IP (Aku aman antivirus). Masalah karo AnyDesk, sawise aku ngumpulake luwih saka selusin alamat IP kanthi manual, eged kula ing njaluk adoh saka pegawe manual rutin.
Uga ditemokake yen ing "C: ProgramDataAnyDesk" ana sawetara file kanthi setelan, lan liya-liyane, lan ing file kasebut. ad_svc.trace Acara babagan sambungan lan gagal diklumpukake.
1. Observasi
Kaya sing wis kasebut, pamblokiran *.anydesk.com ora menehi asil apa wae ing operasi program kasebut, diputusake kanggo nganalisa prilaku program ing kahanan kaku. TCPView saka Sysinternals ing tangan sampeyan lan pindhah!
1.1. Bisa dideleng manawa sawetara proses sing menarik kanggo kita "gantung", lan mung sing komunikasi karo alamat saka njaba sing menarik kanggo kita. Pelabuhan sing disambungake dipilih, saka sing dakdeleng: 80, 443, 6568. π Kita mesthi ora bisa mblokir 80 lan 443.
1.2. Sawise mblokir alamat liwat router, alamat liyane dipilih kanthi tenang.
1.3. Konsol kita iku EVERYTHING! Kita nemtokake PID banjur aku rada begja yen AnyDesk diinstal dening layanan kasebut, mula PID sing kita goleki mung siji.
1.4. Kita nemtokake alamat IP server layanan kanthi PID proses kasebut.
2. Persiapan
Wiwit program kanggo ngenali alamat IP mbokmenawa mung bisa digunakake ing PC, Aku ora watesan ing penak lan kesed, supaya C #.
2.1. Kabeh cara kanggo ngenali alamat IP sing dikarepake wis dikenal, isih kudu ditindakake.
string pid1_;//ΡΠ·Π½Π°Π΅ΠΌ PID ΡΠ΅ΡΠ²ΠΈΡΠ° AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//ΠΏΠ΅ΡΠ΅Π²ΠΎΠ΄ΠΈΠΌ ΠΎΡΠ²Π΅Ρ Π² ΠΌΠ°ΡΡΠΈΠ²
pid1_ = pid1[1].Replace(""", "");//Π±Π΅ΡΠ΅ΠΌ 2ΠΉ ΡΠ»Π΅ΠΌΠ΅Π½Ρ Π±Π΅Π· ΠΊΠ°Π²ΡΡΠ΅ΠΊ
}Kajaba iku, kita temokake layanan sing diadegake sambungan, aku bakal menehi mung baris utama
p.StartInfo.Arguments = "/c " netstat -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";Asil sing bakal dadi:
Saka baris, padha karo langkah sadurunge, extract kolom 3rd lan mbusak kabeh sawise ":". AkibatΓ©, kita duwe IP sing dikarepake.
2.2. Pamblokiran IP ing Windows. Yen Linux duwe Blackhole lan iptables, mula cara kanggo mblokir alamat IP ing siji baris, tanpa nggunakake firewall, ing Windows dadi ora biasa,
Nanging apa alat kasebut ...
route add Π½Π°Ρ_Π½Π°ΠΉΠ΄Π΅Π½Π½ΡΠΉ_IP_Π°Π΄ΡΠ΅Ρ mask 255.255.255.255 10.113.113.113 if 1 -pParameter kunci "yen 1" Kirim rute menyang Loopback (Sampeyan bisa nampilake antarmuka sing kasedhiya kanthi print rute). LAN PENTING! Saiki program kasebut kudu diluncurake karo hak administratoramarga ngganti rute mbutuhake elevasi.
2.3. Nampilake lan nyimpen alamat IP sing diidentifikasi minangka tugas sing ora pati penting lan ora mbutuhake panjelasan. Yen sampeyan mikir babagan iki, sampeyan bisa ngolah file kasebut ad_svc.trace AnyDesk dhewe, nanging aku ora langsung mikir babagan + mbok menawa ana watesan.
2.4. Prilaku sing ora rata saka program kasebut yaiku nalika "taskkilling" proses layanan ing Windows 10, diwiwiti maneh kanthi otomatis, ing Windows 8 rampung, mung ninggalake proses konsol lan tanpa nyambungake maneh, umume ora logis lan iki ora akurat.
Mbusak proses sing wis nyambung menyang server ngidini sampeyan "meksa" sambungan maneh menyang alamat sabanjure. Iki ditindakake kanthi cara sing padha karo prentah sadurunge, mula aku bakal menehi:
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";Kajaba iku, bukak program AnyDesk.
//Π·Π°ΠΏΡΡΠΊΠ°Π΅ΠΌ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΡ ΠΊΠΎΡΠΎΡΠ°Ρ ΡΠ°ΡΠΏΠΎΠ»ΠΎΠΆΠ΅Π½Π° ΠΏΠΎ ΠΏΡΡΠΈ path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5. Kita bakal mriksa status AnyDesk sapisan menit (utawa luwih kerep?), Lan yen disambungake, i.e. sambungan ESTABLISHED - mblokir IP iki, lan maneh kabeh maneh - ngenteni nganti nyambung, mblokir lan ngenteni.
3. Serangan
Kode kasebut "sketsa" lan diputusake kanggo nggambarake proses kasebut "+"nuduhake IP sing ditemokake lan diblokir, lan"."-baleni mriksa tanpa sambungan pepadhamu sing sukses saka AnyDesk.
β
Akibateβ¦
Program kasebut nggarap sawetara komputer kanthi OS Windows sing beda-beda, kanthi versi AnyDesk 5 lan 6. Swara 500 iterasi, kira-kira 80 alamat diklumpukake. Kanggo 2500 - 87 lan liya-liyane ...
Sajrone wektu, jumlah IP sing diblokir tekan 100+.
Link menyang final file teks kanthi alamat: ΠΈ
Wis rampung! Sekumpulan alamat IP ditambahake menyang aturan router utama liwat skrip, lan AnyDesk ora bisa nggawe sambungan eksternal.
Ana wayahe aneh, miturut log awal, jelas yen alamat kasebut melu transfer informasi boot-01.net.anydesk.com. Kita wis mesthi diblokir kabeh * .net.anydesk.com sarwa dumadi minangka aturan umum, nanging sing ora aneh. Saben ping normal saka komputer beda jeneng domain iki menehi IP beda. Priksa ing Linux:
host boot-01.net.anydesk.com
kaya DNSLookup padha menehi mung siji alamat IP, nanging alamat iki variabel. Nalika nganalisa sambungan TCPView, kita bali cathetan PTR alamat IP saka jinis relay-*.net.anydesk.com.
Secara teoritis: amarga ping kadhangkala menyang host sing ora diblokir sing ora dingerteni boot-01.net.anydesk.com kita bisa nemokake ips iki lan mblokir, nggawe implementasine iki script biasa ing Linux OS, kene ora perlu kanggo nginstal AnyDesk. Analisis kasebut nuduhake yen IP kasebut asring "nyabrang"Kanthi sing ditemokake saka dhaptar kita. Mungkin mung host iki sing disambungake program kasebut sadurunge miwiti "ngurutake" IP sing dikenal. program dhewe ora diinstal ing njaba jaringan gabung ing umum.
Muga-muga sampeyan ora weruh apa-apa sing ilegal ing ndhuwur, lan pangripta AnyDesk bakal nganggep tumindakku kaya olahraga.
Source: www.habr.com