Bhunter - ботнет түйүндөрүн бузуу

Вирустук аналитиктер жана компьютердик коопсуздук боюнча изилдөөчүлөр мүмкүн болушунча жаңы ботнеттердин үлгүлөрүн чогултуу үчүн жарышууда. Алар бал челектерин өз максаттары үчүн колдонушат... Ал эми зыяндуу программаны реалдуу шарттарда байкагыңыз келсечи? Сервериңизди же роутериңизди тобокелге салып жатасызбы? Эч кандай ылайыктуу аппарат жок болсочы? Дал ушул суроолор мени ботнет түйүндөрүнө жетүү үчүн курал болгон bhunter түзүүгө түрткү болду.

Bhunter - ботнет түйүндөрүн бузуу

борбордук идея

Ботнеттерди кеңейтүү үчүн кесепеттүү программаны жайылтуунун көптөгөн жолдору бар: фишингден 0 күндүк алсыздыктарды пайдаланууга чейин. Бирок эң кеңири таралган ыкма дагы эле SSH сырсөздөрүн катаал мажбурлоо болуп саналат.

идеясы абдан жөнөкөй. Эгер кандайдыр бир ботнет түйүнү сервериңиз үчүн сырсөздөрдү орой күч менен колдонууга аракет кылып жатса, анда бул түйүн өзү жөнөкөй сырсөздөрдү катаал мажбурлоо менен басып алган болушу мүмкүн. Бул ага жетүү үчүн, жөн гана өз ара аракеттенүү керек дегенди билдирет.

Bhunter дал ушундай иштейт. 22-портту (SSH кызматы) угат жана ага туташууга аракет кылган бардык логиндерди жана сырсөздөрдү чогултат. Андан кийин, чогултулган сырсөздөрдү колдонуп, ал чабуулчу түйүндөргө туташууга аракет кылат.

алгоритми

Программаны эки негизги бөлүккө бөлүүгө болот, алар өзүнчө жиптерде иштейт. Биринчиси - бал чөйчөгү. Кирүү аракеттерин иштетет, уникалдуу логиндерди жана паролдорду чогултат (бул учурда логин + сырсөз жуптары бир бүтүн катары каралат), ошондой эле андан аркы чабуул үчүн кезекке кошулууга аракет кылган IP даректерди кошот.

Экинчи бөлүк кол салуу үчүн түздөн-түз жооптуу. Мындан тышкары, чабуул эки режимде ишке ашырылат: BurstAttack (жарылып чабуул) - жалпы тизмедеги катаал күч логиндери жана сырсөздөрү жана SingleShotAttack (бир атуу чабуул) - чабуулга кабылган түйүн тарабынан колдонулган, бирок али колдонула элек катаал күч сырсөздөрү. жалпы тизмеге кошулду.

Ишке киргенден кийин дароо эле жок дегенде кээ бир логиндердин жана сырсөздөрдүн маалымат базасына ээ болуу үчүн bhunter /etc/bhunter/defaultLoginPairs файлынын тизмеси менен инициализацияланат.

колдонмо

Bhunterди ишке киргизүүнүн бир нече жолу бар:

Бир команда катары

sudo bhunter

Бул ишке киргизүү менен bhunterди анын тексттик менюсу аркылуу башкарууга болот: чабуул үчүн логиндерди жана сырсөздөрдү кошуу, логиндердин жана сырсөздөрдүн маалымат базасын экспорттоо, чабуул үчүн максатты көрсөтүү. Бардык бузулган түйүндөрдү /var/log/bhunter/hacked.log файлында көрүүгө болот

tmux колдонуу

sudo bhunter-ts # команда запуска bhunter через tmux  
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter

Tmux - бул терминалдык мультиплексор, абдан ыңгайлуу курал. Бир терминалдын ичинде бир нече терезелерди түзүүгө жана терезелерди панелдерге бөлүүгө мүмкүндүк берет. Аны колдонуу менен сиз терминалдан чыгып, андан кийин иштеп жаткан процесстерди үзгүлтүккө учуратпастан кире аласыз.

bhunter-ts скрипти tmux сеансын түзүп, терезени үч панелге бөлөт. Биринчи, эң чоңу, текст менюсун камтыйт. Жогорку оң жакта бал чөйчөкчөлөрүнүн журналдары камтылган, бул жерден бал чөйчөкчөсүнө кирүү аракеттери тууралуу билдирүүлөрдү көрө аласыз. Төмөнкү оң панелде ботнет түйүндөрүнө чабуулдун жүрүшү жана ийгиликтүү хакерлер жөнүндө маалымат көрсөтүлөт.

Бул ыкманын биринчисинен артыкчылыгы - биз терминалды аман-эсен жаап, кийинчерээк, анын ишин токтотпостон, ага кайтып келе алабыз. tmux менен аз тааныш болгондор үчүн мен сунуш кылам бул алдамчылык баракча.

Кызмат катары

systemctl enable bhunter
systemctl start bhunter

Бул учурда, биз системаны ишке киргизүүдө bhunter autostart иштетебиз. Бул ыкмада bhunter менен өз ара аракеттенүү камсыз кылынбайт жана бузулган түйүндөрдүн тизмесин /var/log/bhunter/hacked.log дарегинен алса болот.

натыйжалуулугу

Bhunterде иштеп жатып, мен такыр башка түзмөктөрдү таап, аларга жетүүгө жетиштим: малина пи, роутер (айрыкча микротик), веб-серверлер жана бир жолу тоо-кен чарбасы (тилекке каршы, ага жетүү күндүз болгон, ошондуктан эч кандай кызыктуу болгон жок. окуя). Бул жерде бир нече күн иштегенден кийин бузулган түйүндөрдүн тизмеси көрсөтүлгөн программанын скриншоту:

Bhunter - ботнет түйүндөрүн бузуу

Тилекке каршы, бул куралдын эффективдүүлүгү менин күткөндөй болгон жок: bhunter түйүндөрдүн сырсөздөрүн бир нече күн бою сынап көрүшү мүмкүн, ал эми бир нече сааттын ичинде бир нече буталарды бузуп алат. Бирок бул жаңы ботнет үлгүлөрүнүн үзгүлтүксүз агылып келиши үчүн жетиштүү.

Натыйжалуулугуна төмөнкүдөй параметрлер таасир этет: bhunter сервери жайгашкан өлкө, хостинг жана IP дареги бөлүнгөн диапазон. Менин тажрыйбамда, мен эки виртуалдык серверди бир хосттерден ижарага алган учурум болгон жана алардын бирине ботнеттердин чабуулу 2 эсе көп болгон.

Мен дагы деле оңдой элек мүчүлүштүктөр

Вирус жуккан хостторго кол салууда, кээ бир учурларда сырсөз туура же туура эмес экенин так аныктоо мүмкүн эмес. Мындай учурлар /var/log/debug.log файлында катталат.

SSH менен иштөө үчүн колдонулган Paramiko модулу кээде туура эмес иш алып барат: ал ага туташууга аракет кылганда хосттон жооп күтөт. Мен таймерлер менен эксперимент жасадым, бирок каалаган натыйжаны алган жокмун

Дагы эмненин үстүндө иштөө керек?

Кызматтын аты

RFC-4253 ылайык, кардар менен сервер орнотуудан мурун SSH протоколун ишке ашырган кызматтардын аталыштарын алмаштырышат. Бул ат "КЫЗМАТТЫН АТЫ" талаасында камтылган, ал кардар тараптан келген суроо-талапта да, сервер тараптан жоопто да камтылган. Талаа сап болуп саналат жана анын мааниси wireshark же nmap аркылуу тапса болот. Бул жерде OpenSSH үчүн мисал:

$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT   STATE SERVICE VERSION
22/tcp open  ssh     <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

Бирок, Paramiko учурда, бул талаа "Paramiko Python sshd 2.4.2" сыяктуу сапты камтыйт, ал тузактарды "болтурбоо" үчүн иштелип чыккан ботнеттерди коркута алат. Ошондуктан бул сапты нейтралдуу нерсе менен алмаштыруу керек деп ойлойм.

Башка векторлор

SSH алыстан башкаруунун жалгыз каражаты эмес. Ошондой эле telnet, rdp бар. Аларды жакшыраак карап чыгуу зарыл.

узартуу

Ар кайсы өлкөлөрдө бир нече тузактарды түзүп, алардан логиндерди, сырсөздөрдү жана бузулган түйүндөрдү борборлоштуруп жалпы маалымат базасына чогултса жакшы болмок.

Кайдан жүктөп алсам болот?

Жазып жаткан учурда, бир гана сыноо версиясы даяр, аны жүктөп алууга болот Github боюнча репозиторий.

Source: www.habr.com

DDoS коргоосу, VPS VDS серверлери бар сайттар үчүн ишенимдүү хостинг сатып алыңыз 🔥 DDoS коргоосу, VPS VDS серверлери бар ишенимдүү веб-сайт хостингин сатып алыңыз | ProHoster