អ្នកវិភាគមេរោគ និងអ្នកស្រាវជ្រាវសន្តិសុខកុំព្យូទ័រកំពុងប្រជែងគ្នាដើម្បីប្រមូលគំរូ botnet ថ្មីឱ្យបានច្រើនតាមដែលអាចធ្វើទៅបាន។ ពួកគេប្រើ Honeypots ក្នុងគោលបំណងផ្ទាល់ខ្លួន... ប៉ុន្តែចុះយ៉ាងណាបើអ្នកចង់សង្កេតមើលមេរោគក្នុងស្ថានភាពជាក់ស្តែង? ដាក់ ​​server ឬ router របស់អ្នកមានគ្រោះថ្នាក់? ចុះបើគ្មានឧបករណ៍សមរម្យ? វាគឺជាសំណួរទាំងនេះដែលជំរុញឱ្យខ្ញុំបង្កើត bhunter ដែលជាឧបករណ៍សម្រាប់ការចូលប្រើ botnet nodes ។

គំនិតចម្បង

មានវិធីជាច្រើនក្នុងការផ្សព្វផ្សាយមេរោគ ដើម្បីពង្រីក botnets៖ ពី phishing រហូតដល់ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះរយៈពេល 0 ថ្ងៃ។ ប៉ុន្តែវិធីសាស្ត្រទូទៅបំផុតគឺនៅតែបង្ខំឱ្យប្រើពាក្យសម្ងាត់ SSH យ៉ាងសាហាវ។

គំនិតគឺសាមញ្ញណាស់។ ប្រសិនបើថ្នាំង botnet មួយចំនួនកំពុងព្យាយាម brute-force passwords សម្រាប់ server របស់អ្នក នោះទំនងជាថ្នាំងនេះត្រូវបានចាប់យកដោយ brute-force simple passwords។ នេះមានន័យថាដើម្បីទទួលបានការចូលប្រើវាអ្នកគ្រាន់តែត្រូវការ reciprocate ។

នេះជារបៀបដែល bhunter ដំណើរការ។ ស្តាប់ច្រក 22 (សេវា SSH) និងប្រមូលការចូល និងពាក្យសម្ងាត់ទាំងអស់ដែលពួកគេព្យាយាមភ្ជាប់ទៅវា។ បន្ទាប់មកដោយប្រើពាក្យសម្ងាត់ដែលប្រមូលបាន វាព្យាយាមភ្ជាប់ទៅថ្នាំងវាយប្រហារ។

ក្បួនដោះស្រាយការងារ

កម្មវិធីនេះអាចចែកចេញជា 2 ផ្នែកសំខាន់ៗ ដែលដំណើរការនៅក្នុងខ្សែស្រលាយដាច់ដោយឡែក។ ទីមួយគឺទឹកឃ្មុំ។ ដំណើរការការប៉ុនប៉ងចូល ប្រមូលការចូល និងពាក្យសម្ងាត់តែមួយគត់ (ក្នុងករណីនេះ ការចូល + ពាក្យសម្ងាត់គូត្រូវបានចាត់ទុកថាទាំងមូលតែមួយ) ហើយក៏បន្ថែមអាសយដ្ឋាន IP ដែលព្យាយាមភ្ជាប់ទៅជួរសម្រាប់ការវាយប្រហារបន្ថែមទៀត។

ផ្នែកទីពីរគឺទទួលខុសត្រូវដោយផ្ទាល់ចំពោះការវាយប្រហារ។ លើសពីនេះទៅទៀត ការវាយប្រហារត្រូវបានអនុវត្តជាពីររបៀប៖ BurstAttack (ការវាយប្រហារផ្ទុះឡើង) - ការចូលដោយកម្លាំង brute និងពាក្យសម្ងាត់ពីបញ្ជីទូទៅ និង SingleShotAttack (ការវាយប្រហារដោយបាញ់តែមួយដង) - ពាក្យសម្ងាត់កម្លាំង brute ដែលត្រូវបានប្រើដោយថ្នាំងដែលបានវាយប្រហារ ប៉ុន្តែមិនទាន់មាននៅឡើយ។ បន្ថែមទៅបញ្ជីទូទៅ។

ដើម្បីមានយ៉ាងហោចណាស់មូលដ្ឋានទិន្នន័យនៃការចូល និងពាក្យសម្ងាត់ភ្លាមៗបន្ទាប់ពីការបើកដំណើរការ bhunter ត្រូវបានចាប់ផ្តើមជាមួយនឹងបញ្ជីពីឯកសារ /etc/bhunter/defaultLoginPairs ។

ចំណុចប្រទាក់

មានវិធីជាច្រើនដើម្បីបើកដំណើរការ bhunter:

គ្រាន់តែជាក្រុម

sudo bhunter

ជាមួយនឹងការបើកដំណើរការនេះ វាអាចគ្រប់គ្រង bhunter តាមរយៈម៉ឺនុយអត្ថបទរបស់វា៖ បន្ថែមការចូល និងពាក្យសម្ងាត់សម្រាប់ការវាយប្រហារ នាំចេញមូលដ្ឋានទិន្នន័យនៃការចូល និងពាក្យសម្ងាត់ បញ្ជាក់គោលដៅសម្រាប់ការវាយប្រហារ។ ថ្នាំងដែលត្រូវបានគេលួចចូលទាំងអស់អាចមើលឃើញនៅក្នុងឯកសារ /var/log/bhunter/hacked.log

ការប្រើប្រាស់ tmux

sudo bhunter-ts # команда запуска bhunter через tmux  
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter

Tmux គឺជាឧបករណ៍ពហុគុណស្ថានីយ ដែលជាឧបករណ៍ងាយស្រួលបំផុត។ អនុញ្ញាត​ឱ្យ​អ្នក​បង្កើត​បង្អួច​ជា​ច្រើន​ក្នុង​ស្ថានីយ​មួយ ហើយ​បំបែក​បង្អួច​ជា​បន្ទះ។ ដោយប្រើវា អ្នកអាចចេញពីស្ថានីយ ហើយបន្ទាប់មកចូលដោយមិនរំខានដល់ដំណើរការដែលកំពុងដំណើរការ។

ស្គ្រីប bhunter-ts បង្កើតវគ្គ tmux ហើយបំបែកបង្អួចជាបីបន្ទះ។ ទីមួយ ធំបំផុត មានម៉ឺនុយអត្ថបទ។ ផ្នែកខាងលើខាងស្តាំមានកំណត់ហេតុ Honeypot នៅទីនេះអ្នកអាចឃើញសារអំពីការព្យាយាមចូលទៅក្នុង Honeypot ។ បន្ទះខាងស្តាំខាងក្រោមបង្ហាញព័ត៌មានអំពីដំណើរការនៃការវាយប្រហារលើថ្នាំង botnet និងអំពីការលួចចូលដោយជោគជ័យ។

អត្ថប្រយោជន៍នៃវិធីសាស្រ្តនេះជាងដំបូងគឺថា យើងអាចបិទស្ថានីយដោយសុវត្ថិភាព ហើយត្រឡប់ទៅវានៅពេលក្រោយ ដោយមិនចាំបាច់ bhunter បញ្ឈប់ការងាររបស់វា។ សម្រាប់អ្នកដែលមិនសូវស្គាល់ tmux ខ្ញុំណែនាំ សន្លឹកបន្លំនេះ។.

ជាសេវាកម្ម

systemctl enable bhunter
systemctl start bhunter

ក្នុងករណីនេះ យើងបើកដំណើរការ bhunter autostart នៅពេលចាប់ផ្តើមប្រព័ន្ធ។ នៅក្នុងវិធីសាស្រ្តនេះ អន្តរកម្មជាមួយ bhunter មិនត្រូវបានផ្តល់ឱ្យទេ ហើយបញ្ជីនៃថ្នាំងដែលត្រូវបានលួចចូលអាចទទួលបានពី /var/log/bhunter/hacked.log

ប្រសិទ្ធិភាព

ពេលកំពុងធ្វើការលើ bhunter ខ្ញុំបានគ្រប់គ្រងដើម្បីស្វែងរក និងទទួលបានឧបករណ៍ផ្សេងគ្នាទាំងស្រុង៖ raspberry pi រ៉ោតទ័រ (ជាពិសេស mikrotik) ម៉ាស៊ីនមេគេហទំព័រ និងធ្លាប់មានកសិដ្ឋានរុករករ៉ែ (ជាអកុសល ការចូលប្រើវានៅពេលថ្ងៃ ដូច្នេះមិនមានអ្វីគួរឱ្យចាប់អារម្មណ៍ទេ រឿង)។ នេះគឺជារូបថតអេក្រង់នៃកម្មវិធី ដែលបង្ហាញបញ្ជីថ្នាំងដែលត្រូវបានលួចបន្ទាប់ពីធ្វើការជាច្រើនថ្ងៃ៖

ជាអកុសល ប្រសិទ្ធភាពនៃឧបករណ៍នេះមិនបានឈានដល់ការរំពឹងទុករបស់ខ្ញុំទេ៖ bhunter អាចសាកល្បងពាក្យសម្ងាត់ទៅកាន់ nodes ជាច្រើនថ្ងៃដោយមិនជោគជ័យ ហើយអាច hack គោលដៅជាច្រើនក្នុងរយៈពេលពីរបីម៉ោង។ ប៉ុន្តែនេះគឺគ្រប់គ្រាន់សម្រាប់ការហូរចូលធម្មតានៃគំរូ botnet ថ្មី។

ប្រសិទ្ធភាពត្រូវបានជះឥទ្ធិពលដោយប៉ារ៉ាម៉ែត្រដូចជា៖ ប្រទេសដែលម៉ាស៊ីនមេដែលមាន bhunter មានទីតាំងនៅ បង្ហោះ និងជួរដែលអាសយដ្ឋាន IP ត្រូវបានបែងចែក។ នៅក្នុងបទពិសោធន៍របស់ខ្ញុំ មានករណីមួយនៅពេលដែលខ្ញុំបានជួលម៉ាស៊ីនមេនិម្មិតពីរពី hoster មួយ ហើយមួយក្នុងចំណោមពួកគេត្រូវបានវាយប្រហារដោយ botnets ញឹកញាប់ជាង 2 ដង។

កំហុសដែលខ្ញុំមិនទាន់បានជួសជុល

នៅពេលវាយលុកម៉ាស៊ីនដែលឆ្លងមេរោគ ក្នុងស្ថានភាពខ្លះ វាមិនអាចកំណត់ដោយមិនច្បាស់លាស់ថាតើពាក្យសម្ងាត់ត្រឹមត្រូវឬអត់នោះទេ។ ករណីបែបនេះត្រូវបានកត់ត្រានៅក្នុងឯកសារ /var/log/debug.log ។

ម៉ូឌុល Paramiko ដែលត្រូវបានប្រើដើម្បីធ្វើការជាមួយ SSH ពេលខ្លះមានឥរិយាបទមិនត្រឹមត្រូវ៖ វារង់ចាំការឆ្លើយតបពីម៉ាស៊ីនដោយឥតឈប់ឈរ នៅពេលដែលវាព្យាយាមភ្ជាប់ទៅវា។ ខ្ញុំបានពិសោធន៍ជាមួយកម្មវិធីកំណត់ម៉ោងប៉ុន្តែមិនទទួលបានលទ្ធផលដែលចង់បាន

តើត្រូវដំណើរការអ្វីទៀត?

ឈ្មោះសេវាកម្ម

យោងតាម ​​RFC-4253 អតិថិជន និងម៉ាស៊ីនមេប្តូរឈ្មោះសេវាកម្មដែលអនុវត្តពិធីការ SSH មុនពេលដំឡើង។ ឈ្មោះនេះមាននៅក្នុងវាល “ឈ្មោះសេវាកម្ម” ដែលមានទាំងការស្នើសុំពីភាគីអតិថិជន និងក្នុងការឆ្លើយតបពីខាងម៉ាស៊ីនមេ។ វាលគឺជាខ្សែអក្សរ ហើយតម្លៃរបស់វាអាចរកបានដោយប្រើ wireshark ឬ nmap ។ នេះជាឧទាហរណ៍សម្រាប់ OpenSSH៖

$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT   STATE SERVICE VERSION
22/tcp open  ssh     <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

ទោះយ៉ាងណាក៏ដោយ ក្នុងករណី Paramiko វាលនេះមានខ្សែដូចជា "Paramiko Python sshd 2.4.2" ដែលអាចបន្លាច botnets ដែលត្រូវបានរចនាឡើងដើម្បី "ជៀសវាង" អន្ទាក់។ ដូច្នេះ ខ្ញុំគិតថាវាចាំបាច់ដើម្បីជំនួសខ្សែនេះជាមួយនឹងអ្វីដែលអព្យាក្រឹតជាងនេះ។

វ៉ិចទ័រផ្សេងទៀត។

SSH មិនមែនជាមធ្យោបាយតែមួយគត់នៃការគ្រប់គ្រងពីចម្ងាយទេ។ ក៏មាន telnet, rdp ។ វាមានតម្លៃមើលពួកគេឱ្យដិតដល់។

ផ្នែកបន្ថែម

វាពិតជាល្អណាស់ដែលមានអន្ទាក់ជាច្រើននៅក្នុងប្រទេសផ្សេងៗគ្នា ហើយប្រមូលផ្តុំការចូល ពាក្យសម្ងាត់ និងថ្នាំងដែលត្រូវបានគេលួចចូលពីពួកគេទៅក្នុងមូលដ្ឋានទិន្នន័យទូទៅ។

តើខ្ញុំអាចទាញយកបាននៅឯណា?

នៅពេលសរសេរ មានតែកំណែសាកល្បងគឺរួចរាល់ ដែលអាចទាញយកបានពី ឃ្លាំងនៅលើ Github.

ប្រភព: www.habr.com