Virus analystae et investigatores securitatis computatrales currebant ad colligendas tot exempla novorum botnetorum quam maxime. Utuntur mellis ad suos usus... Sed quid si malware in realibus conditionibus observare vis? Pone servo tuo vel in periculo iter? Quid, si nulla apta ratio est? Hae quaestiones sunt quae me impulerunt ut bhunter crearem, instrumentum ad nodos botneticulatos accedere.
Principalis idea
Multae modi malware expandunt ad botnetes expandendi: ex hamatae ad vulnerabilitates 0-diei abutendi. Sed modus communissimus SSH passwords adhuc bruta cogens.
Idea est simplex. Si nodi quidam nodi tentamenta pro servo tuo truculenta-vis tentant, tunc verisimile est ipsum nodi captum esse a simplicibus passwords truculenta cogentibus. Id est, ut aditus ad eam reciprocus iustus postulo.
Hoc exacte quomodo bhunter operatur. Audit portum 22 (SSH servitium) et omnia logins et Tesseras colligit quibus cum eo coniungere conantur. Tum, Tesserae collectae adhibitis nodis oppugnandis coniungere conatur.
et algorithmus
Propositum dividi potest in 2 partes praecipuas, quae in filis distinctis operantur. Primum est honeypot. Processus login inceptis, logins et tesseras unicas colligit (in hoc casu, par tesserae login ut unum totum consideratur), addit etiam IP inscriptiones quae ad queue ulterioris impetus coniungere conati sunt.
Secunda pars est directe impetus. Impetum praeterea duobus modis exercetur: BurstAttack (oppugnatio eruptio) - vis violenta logins et passwords e indice generali et SingleShotAttack (unum impetum iecit) - vis violenta Tesserae quae nodi adhibitae erant, sed nondum fuerunt adiecto indice generali.
Ut aliqua saltem database ex logins et passwords statim post launch, bhunter initialized cum indice e tabella /etc/bhunter/defaultLoginPairs habere.
interface
Plures modi sunt ad bhunter deducendum:
Sicut in quadrigis
sudo bhunterCum hac launch, potest bhunter regere per menu textum eius: addere logins et passwords pro oppugnatione, database ex logins et passwords exportare, signum oppugnationis specificare. Omnes nodi detruncati videri possunt in tabella /var/log/bhunter/hacked.log
per tmux
sudo bhunter-ts # ΠΊΠΎΠΌΠ°Π½Π΄Π° Π·Π°ΠΏΡΡΠΊΠ° bhunter ΡΠ΅ΡΠ΅Π· tmux
sudo tmux attach -t bhunter # ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΠΌΡΡ ΠΊ ΡΠ΅ΡΡΠΈΠΈ, Π² ΠΊΠΎΡΠΎΡΠΎΠΉ Π·Π°ΠΏΡΡΠ΅Π½ bhunter
Tmux terminatio multiplex est, instrumentum commodissimum. Permittit tibi plures fenestras intra unum terminum creare, et fenestras in tabulas divide. Utens, terminatio exire potes et postea ini sine interpellatione processus currit.
Scriptum bhunter-ty sessionem tmux creat et fenestram in tres tabulas scindit. Prima, maxima, textum tabula continet. Summitatem ius mellis trabes continet, hic epistulas de inceptis in honeypot log videre potes. Tabula dextra inferior notitias ostendit de progressu oppugnationis in nodis botnet et de prosperis autocinetis.
Utilitas methodi huius in primis est, ut tuto clauderetur terminum et ad eam postea rediremus, sine operis impedimento. Ad eos qui parum nota sunt tmux, admoneo .
Ut servitium
systemctl enable bhunter
systemctl start bhunterIn hoc casu dabimus bhunter autostart ad systema startup. Hoc modo, commercium cum bhuntero non praebetur, et index nodis detruncatorum ex /var/log/bhunter/hacked.log haberi potest.
effectiveness
Dum laboro in bhunter, potui invenire et accessum ad machinis omnino diversis: amet pi, iter (praesertim mikrotik), servitores telae, et semel ad fundum cuniculorum (proh dolor, accessus ad eum interdiu fuit, ideo nihil interest. fabula ). Hic tortor programmatis est, quod indicem nodum detruncatorum post aliquot dies laboris ostendit:
Dolendum est, efficacia huius instrumenti exspectationem meam non pervenerunt: bhunter tesseras nodi per aliquot dies sine fructu conari potest, et aliquot scuta in horis duobus caedere possunt. Sed hoc sufficit ad influxum regularem novorum exemplorum botneticarum.
Efficacia commovetur talibus parametris: regio in qua server apud bhunter sita est, obnoxius, et distributio ex qua IP oratio collocatur. In usu meo casu accidit cum duos virtuales ministros ab uno hospite conduxi, et unus ex illis pluries saepius a botnetis oppugnatus est.
Bugs quod nondum certum
Cum exercitus infectis oppugnandis, in aliquibus adiunctis, non potest sine ambiguitate determinare utrum tessera recta sit an non. Tales casus in tabella /var/log/debug.log initium sunt.
Modulus Paramiko, qui cum SSH laborabat, interdum male agit: sine fine responsum exercitus exspectat cum ei coniungere conatur. Expertus sum cum timers, sed exitum non obtinuit
Quid aliud elaborandum est?
Nomen muneris
Secundum RFC-4253, cliens et serviens nomina permutationis officiorum quae protocollum ante institutionem SSH efficiunt. Hoc nomen in agro "nominis SERVITIUM" continetur, tam in petitione partis clientis quam in responsione a latere servientis continetur. Filum ager est, eiusque valor inveniri potest uti wireshark vel nmap. En exemplum OpenSSH:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
Nihilominus, in Paramiko, hic campus filam continet sicut "Paramiko Python sshd 2.4.2", quae botnetes terrent quae ad insidias "evitant" designantur. Ideo necesse puto reponendam hanc lineam cum aliquo neutro more.
Alia vector
SSH non est sola media administratio remota. Est etiam telnet, rdp. Pretium est eos propius inspicere.
extensio
Magnum esset habere plures laqueos in diversis regionibus et centraliter logins colligendi, Tesserae et nodos ab eis in datorum communium detruncare
Ubi possum download?
In tempore scribendi, sola versio probata parata est, quae ex eximi potest .
Source: www.habr.com