VÄ«rusu analÄ«tiÄ·i un datoru droŔības pÄtnieki sacenÅ”as, lai savÄktu pÄc iespÄjas vairÄk jaunu robottÄ«klu paraugu. ViÅi izmanto meduspodus saviem mÄrÄ·iem... Bet ko darÄ«t, ja vÄlaties novÄrot ļaunprogrammatÅ«ru reÄlos apstÄkļos? Vai apdraudÄt savu serveri vai marÅ”rutÄtÄju? Ko darÄ«t, ja nav piemÄrotas ierÄ«ces? TieÅ”i Å”ie jautÄjumi mani pamudinÄja izveidot bhunter ā rÄ«ku, lai piekļūtu robottÄ«kla mezgliem.
galvenÄ doma
Ir daudzi veidi, kÄ izplatÄ«t ļaunprÄtÄ«gu programmatÅ«ru, lai paplaÅ”inÄtu robottÄ«klus: no pikŔķerÄÅ”anas lÄ«dz 0 dienu ievainojamÄ«bu izmantoÅ”anai. TaÄu visizplatÄ«tÄkÄ metode joprojÄm ir rupja SSH paroļu piespieÅ”ana.
Ideja ir ļoti vienkÄrÅ”a. Ja kÄds robottÄ«kla mezgls mÄÄ£ina piespiest jÅ«su servera paroles, visticamÄk, Å”is mezgls tika tverts ar vienkÄrÅ”Äm paroles, kas tiek piespiestas. Tas nozÄ«mÄ, ka, lai tai piekļūtu, jums vienkÄrÅ”i ir jÄatdod savstarpÄja atbilde.
TieÅ”i tÄ darbojas bhunter. KlausÄs portu 22 (SSH pakalpojums) un apkopo visus pieteikumvÄrdus un paroles, ar kurÄm viÅi mÄÄ£ina izveidot savienojumu ar to. PÄc tam, izmantojot savÄktÄs paroles, tas mÄÄ£ina izveidot savienojumu ar uzbrukuma mezgliem.
Darba algoritms
Programmu var iedalÄ«t 2 galvenajÄs daļÄs, kas darbojas atseviŔķos pavedienos. Pirmais ir medus pods. ApstrÄdÄ pieteikÅ”anÄs mÄÄ£inÄjumus, apkopo unikÄlus pieteikumvÄrdus un paroles (Å”ajÄ gadÄ«jumÄ pieteikÅ”anÄs + paroles pÄris tiek uzskatÄ«ts par vienu veselumu), kÄ arÄ« pievieno IP adreses, kas mÄÄ£inÄja izveidot savienojumu ar rindu turpmÄkam uzbrukumam.
OtrÄ daļa ir tieÅ”i atbildÄ«ga par uzbrukumu. TurklÄt uzbrukums tiek veikts divos režīmos: BurstAttack (pÄrraidÄ«Å”anas uzbrukums) - brutÄla spÄka pieteikumi un paroles no vispÄrÄjÄ saraksta un SingleShotAttack (viena Å”Äviena uzbrukums) - brutÄla spÄka paroles, kuras izmantoja uzbrukuÅ”ais mezgls, bet vÄl nav izmantotas. pievienots vispÄrÄjam sarakstam.
Lai tÅ«lÄ«t pÄc palaiÅ”anas bÅ«tu vismaz daļa pieteikumvÄrdu un paroļu datubÄzes, bhunter tiek inicializÄts ar sarakstu no faila /etc/bhunter/defaultLoginPairs.
interfeiss
Ir vairÄki veidi, kÄ palaist bhunter:
Gluži kÄ komanda
sudo bhunterAr Å”o palaiÅ”anu ir iespÄjams kontrolÄt bhunter, izmantojot tÄ teksta izvÄlni: pievienot pieteikumvÄrdus un paroles uzbrukumam, eksportÄt pieteikumvÄrdu un paroļu datu bÄzi, norÄdÄ«t uzbrukuma mÄrÄ·i. Visus uzlauztos mezglus var redzÄt failÄ /var/log/bhunter/hacked.log
Izmantojot tmux
sudo bhunter-ts # ŠŗŠ¾Š¼Š°Š½Š“Š° Š·Š°ŠæŃŃŠŗŠ° bhunter ŃŠµŃŠµŠ· tmux
sudo tmux attach -t bhunter # ŠæŠ¾Š“ŠŗŠ»ŃŃŠ°ŠµŠ¼ŃŃ Šŗ ŃŠµŃŃŠøŠø, Š² ŠŗŠ¾ŃŠ¾ŃŠ¾Š¹ Š·Š°ŠæŃŃŠµŠ½ bhunter
Tmux ir terminÄla multiplekseris, ļoti Ärts rÄ«ks. Ä»auj vienÄ terminÄlÄ« izveidot vairÄkus logus un sadalÄ«t logus paneļos. Izmantojot to, varat iziet no terminÄļa un pÄc tam pieteikties, nepÄrtraucot darbojoÅ”os procesus.
Bhunter-ts skripts izveido tmux sesiju un sadala logu trÄ«s paneļos. PirmajÄ, lielÄkajÄ, ir teksta izvÄlne. AugÅ”ÄjÄ labajÄ pusÄ ir meduspoda žurnÄli, Å”eit var redzÄt ziÅojumus par mÄÄ£inÄjumiem pieteikties medus podÄ. ApakÅ”ÄjÄ labajÄ panelÄ« tiek parÄdÄ«ta informÄcija par uzbrukuma gaitu robottÄ«kla mezgliem un par veiksmÄ«giem uzlauÅ”anas gadÄ«jumiem.
Å Ä«s metodes priekÅ”rocÄ«ba salÄ«dzinÄjumÄ ar pirmo ir tÄda, ka mÄs varam droÅ”i aizvÄrt terminÄli un atgriezties pie tÄ vÄlÄk, neapturot tÄ darbÄ«bu. Tiem, kuri ir maz pazÄ«stami ar tmux, iesaku .
KÄ pakalpojums
systemctl enable bhunter
systemctl start bhunterÅ ajÄ gadÄ«jumÄ mÄs iespÄjojam bhunter automÄtisko palaiÅ”anu sistÄmas startÄÅ”anas laikÄ. Å ajÄ metodÄ mijiedarbÄ«ba ar bhunter netiek nodroÅ”inÄta, un uzlauzto mezglu sarakstu var iegÅ«t no /var/log/bhunter/hacked.log
EfektivitÄte
StrÄdÄjot pie bhunter, man izdevÄs atrast un piekļūt pilnÄ«gi dažÄdÄm ierÄ«cÄm: raspberry pi, marÅ”rutÄtÄjiem (Ä«paÅ”i mikrotik), tÄ«mekļa serveriem un kÄdreiz kalnrÅ«pniecÄ«bas fermai (diemžÄl piekļuve tai bija dienas laikÄ, tÄpÄc nebija nekÄ interesanta stÄsts). Å eit ir programmas ekrÄnuzÅÄmums, kurÄ parÄdÄ«ts uzlauzto mezglu saraksts pÄc vairÄku dienu darba:
DiemžÄl Ŕī rÄ«ka efektivitÄte nesasniedza manas cerÄ«bas: bhunter var vairÄkas dienas bez panÄkumiem izmÄÄ£inÄt mezglu paroles un pÄris stundu laikÄ var uzlauzt vairÄkus mÄrÄ·us. Bet ar to pietiek, lai regulÄri ieplÅ«stu jaunu robottÄ«klu paraugi.
EfektivitÄti ietekmÄ tÄdi parametri kÄ: valsts, kurÄ atrodas serveris ar bhunter, hostings un diapazons, no kura tiek pieŔķirta IP adrese. PÄc manas pieredzes ir bijis gadÄ«jums, kad no viena hostera Ä«rÄju divus virtuÄlos serverus, un vienam no tiem botneti uzbruka 2 reizes biežÄk.
Kļūdas, kuras vÄl neesmu izlabojis
UzbrÅ«kot inficÄtiem saimniekiem, dažÄs situÄcijÄs nav iespÄjams viennozÄ«mÄ«gi noteikt, vai parole ir pareiza vai nÄ. Å Ädi gadÄ«jumi tiek reÄ£istrÄti /var/log/debug.log failÄ.
Paramiko modulis, kas tiek izmantots darbam ar SSH, dažreiz darbojas nepareizi: tas bezgalÄ«gi gaida atbildi no resursdatora, kad tas mÄÄ£ina izveidot savienojumu ar to. EksperimentÄju ar taimeriem, bet nesaÅÄmu vÄlamo rezultÄtu
Pie kÄ vÄl jÄpiestrÄdÄ?
Pakalpojuma nosaukums
SaskaÅÄ ar RFC-4253 klients un serveris pirms instalÄÅ”anas apmainÄs ar to pakalpojumu nosaukumiem, kuri ievieÅ” SSH protokolu. Å is nosaukums ir ietverts laukÄ āSERVISS NOSAUKUMSā, kas ietverts gan pieprasÄ«jumÄ no klienta puses, gan atbildÄ no servera puses. Lauks ir virkne, un tÄ vÄrtÄ«bu var atrast, izmantojot wireshark vai nmap. Å eit ir OpenSSH piemÄrs:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
TomÄr Paramiko gadÄ«jumÄ Å”ajÄ laukÄ ir virkne, piemÄram, āParamiko Python sshd 2.4.2ā, kas var atbaidÄ«t robottÄ«klus, kas ir paredzÄti, lai āizvairÄs no slazdiemā. TÄpÄc es domÄju, ka ir nepiecieÅ”ams aizstÄt Å”o lÄ«niju ar kaut ko neitrÄlÄku.
Citi vektori
SSH nav vienÄ«gais attÄlÄs pÄrvaldÄ«bas lÄ«dzeklis. Ir arÄ« telnet, rdp. Ir vÄrts tos aplÅ«kot tuvÄk.
pagarinÄÅ”ana
BÅ«tu lieliski, ja dažÄdÄs valstÄ«s bÅ«tu vairÄki slazdi un centralizÄti apkopotu no tiem pieteikumvÄrdus, paroles un uzlauztos mezglus kopÄjÄ datu bÄzÄ.
Kur es varu lejupielÄdÄt?
RakstÄ«Å”anas brÄ«dÄ« ir gatava tikai testa versija, kuru var lejupielÄdÄt no .
Avots: www.habr.com