ProHoster > Blog > fitantanan-draharaha > Bhunter - hacking botnet nodes

Bhunter - hacking botnet nodes

Ny mpandinika ny virosy sy ny mpikaroka momba ny fiarovana amin'ny solosaina dia mihazakazaka manangona santionany amin'ny botnets vaovao betsaka araka izay azo atao. Mampiasa tantely ho an'ny tanjony manokana izy ireo ... Ahoana anefa raha te-hijery ny malware amin'ny toe-javatra tena izy ianao? Ataovy tandindomin-doza ny mpizara na ny router? Ahoana raha tsy misy fitaovana mety? Ireo fanontaniana ireo no nanosika ahy hamorona bhunter, fitaovana ahafahana miditra amin'ny node botnet.

Bhunter - hacking botnet nodes

hevi-dehibe

Misy fomba maro hanaparitahana malware hanitarana ny botnets: manomboka amin'ny phishing ka hatramin'ny fitrandrahana ny vulnerability 0 andro. Saingy ny fomba mahazatra indrindra dia ny tenimiafina SSH manery mafy.

Tsotra be ilay hevitra. Raha misy botnet node manandrana manenjika tenimiafina ho an'ny mpizara anao, dia azo inoana fa io node io dia nosamborin'ny tenimiafina tsotra manerena. Midika izany fa raha te hahazo izany ianao dia mila mamaly fotsiny.

Izany indrindra no fomba fiasan'ny bhunter. Mihaino ny seranan-tsambo 22 (serivisy SSH) ary manangona ny fidirana sy tenimiafina rehetra izay ezahin'izy ireo hifandraisana aminy. Avy eo, amin'ny fampiasana ny tenimiafina voaangona, dia manandrana mifandray amin'ny nodes manafika.

Algorithm algorithm

Ny programa dia azo zaraina ho ampahany lehibe 2, izay miasa amin'ny kofehy misaraka. Ny voalohany dia honeypot. Manao andrana fidirana, manangona fidirana sy tenimiafina tokana (amin'ity tranga ity, ny mpivady fidirana + tenimiafina dia heverina ho iray manontolo), ary manampy adiresy IP izay nanandrana mifandray amin'ny filaharana ho fanafihana fanampiny.

Ny tapany faharoa kosa dia tompon’andraikitra mivantana amin’ny fanafihana. Ankoatr'izay, ny fanafihana dia atao amin'ny fomba roa: BurstAttack (fanafihana mipoaka) - fidirana an-tsokosoko sy tenimiafina avy amin'ny lisitra ankapobeny ary SingleShotAttack (fanafihana tifitra tokana) - tenimiafina mahery vaika izay nampiasain'ny node voatafika, saingy mbola tsy nisy. ampiana amin'ny lisitra ankapobeny.

Mba hananana angon-drakitra momba ny fidirana sy tenimiafina avy hatrany aorian'ny fandefasana azy, ny bhunter dia atomboka amin'ny lisitry ny rakitra /etc/bhunter/defaultLoginPairs.

interface tsara

Misy fomba maromaro hanombohana bhunter:

Toy ny ekipa ihany

sudo bhunter

Amin'ity fanombohana ity dia azo atao ny mifehy ny bhunter amin'ny alΓ lan'ny menio lahatsoratra: ampio ny fidirana sy tenimiafina ho an'ny fanafihana, manondrana angon-drakitra momba ny fidirana sy tenimiafina, mamaritra tanjona ho an'ny fanafihana. Ny node voajirika rehetra dia azo jerena ao amin'ny rakitra /var/log/bhunter/hacked.log

Mampiasa tmux

sudo bhunter-ts # ΠΊΠΎΠΌΠ°Π½Π΄Π° запуска bhunter Ρ‡Π΅Ρ€Π΅Π· tmux  
sudo tmux attach -t bhunter # ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅ΠΌΡΡ ΠΊ сСссии, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π·Π°ΠΏΡƒΡ‰Π΅Π½ bhunter

Tmux dia terminal multiplexer, fitaovana tena mety. Mamela anao hamorona varavarankely maromaro ao anatin'ny terminal iray, ary mizara ny varavarankely ho tontonana. Amin'ny fampiasana azy dia azonao atao ny miala amin'ny terminal ary avy eo miditra tsy manapaka ny fizotran'ny fandehanana.

Ny script bhunter-ts dia mamorona session tmux ary mizara ny varavarankely ho tontonana telo. Ny voalohany, lehibe indrindra, dia misy menio lahatsoratra. Ny ambony havanana dia misy diarin'ny honeypot, eto ianao dia afaka mahita hafatra momba ny fikasana hiditra ao amin'ny honeypot. Ny tontonana ambany havanana dia mampiseho fampahalalana momba ny fivoaran'ny fanafihana amin'ny node botnet sy ny hacks mahomby.

Ny tombony amin'ity fomba ity amin'ny voalohany dia ny ahafahantsika manidy soa aman-tsara ny terminal ary miverina any aoriana, tsy misy bhunter mampiato ny asany. Ho an'ireo izay tsy dia mahazatra loatra amin'ny tmux dia manoro hevitra aho ity taratasy fanamarinana ity.

Toy ny fanompoana

systemctl enable bhunter
systemctl start bhunter

Amin'ity tranga ity dia avelanay ny bhunter autostart amin'ny fanombohana ny rafitra. Amin'ity fomba ity dia tsy omena ny fifandraisana amin'ny bhunter, ary azo alaina ao amin'ny /var/log/bhunter/hacked.log ny lisitry ny node voajirika.

fahombiazany

Raha niasa tamin'ny bhunter aho dia nahavita nahita sy nahazo fahafahana miditra amin'ny fitaovana hafa tanteraka: raspberry pi, router (indrindra fa mikrotik), mpizara tranonkala, ary toeram-piompiana fitrandrahana harena an-kibon'ny tany (indrisy fa ny fidirana amin'izany dia nandritra ny andro, ka tsy nisy mahaliana. tantara). Ity misy pikantsary amin'ny fandaharana, izay mampiseho lisitry ny node voajirika taorian'ny andro niasana:

Bhunter - hacking botnet nodes

Indrisy anefa fa tsy nahatratra ny fanantenako ny fahombiazan'ity fitaovana ity: bhunter dia afaka manandrana tenimiafina amin'ny nodes mandritra ny andro maromaro nefa tsy mahomby, ary afaka mijirika tanjona maromaro ao anatin'ny ora roa. Saingy ampy ho an'ny fidiran'ny santionany botnet vaovao izany.

Ny fahombiazany dia misy fiantraikany amin'ny mari-pamantarana toy ny: ny firenena misy ny mpizara miaraka amin'ny bhunter, ny fampiantranoana, ary ny faritra misy ny adiresy IP. Raha ny traikefako dia nisy tranga iray nanofa mpizara virtoaly roa avy amin'ny mpampiantrano iray aho, ary ny iray tamin'izy ireo dia notafihan'ny botnets in-2 matetika.

Bugs mbola tsy voafehiko

Rehefa manafika mpampiantrano voan'ny aretina, amin'ny toe-javatra sasany dia tsy azo atao ny mamaritra mazava tsara na marina na tsia ny tenimiafina. Ny tranga toy izany dia tafiditra ao amin'ny rakitra /var/log/debug.log.

Ny Module Paramiko, izay ampiasaina amin'ny SSH, dia mandeha amin'ny fomba diso indraindray: miandry valiny tsy misy farany avy amin'ny mpampiantrano izy rehefa manandrana mifandray aminy. Nanandrana tamin'ny timer aho, saingy tsy nahazo ny vokatra irina

Inona koa no tokony hatao?

Anarana serivisy

Araka ny RFC-4253, ny mpanjifa sy ny mpizara dia mifanakalo anaran'ny serivisy izay mampihatra ny protocol SSH alohan'ny hametrahana azy. Ity anarana ity dia voarakitra ao amin'ny saha "ANARAN'NY SERVICE", voarakitra ao amin'ny fangatahana avy amin'ny lafiny mpanjifa sy amin'ny valin'ny serivisy. Tady ny saha, ary azo jerena amin'ny alalan'ny wireshark na nmap ny sandany. Ity misy ohatra ho an'ny OpenSSH:

$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT   STATE SERVICE VERSION
22/tcp open  ssh     <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

Na izany aza, amin'ny tranga Paramiko, ity sehatra ity dia misy tady toy ny "Paramiko Python sshd 2.4.2", izay mety hampatahotra ny botnets izay natao mba "hisorohana" fandrika. Noho izany, heveriko fa ilaina ny manolo ity tsipika ity amin'ny zavatra tsy miandany.

Vector hafa

Tsy SSH ihany no fomba fitantanana lavitra. Misy koa ny telnet, rdp. Tena ilaina ny mijery akaiky azy ireo.

fanitarana

Tena tsara ny manana fandrika maromaro any amin'ny firenena samihafa ary manangona ny fidirana, ny tenimiafina ary ny nodes voajirika avy amin'izy ireo ao anaty tahiry iombonana.

Aiza no azoko alaina?

Amin'ny fotoana anoratana, ny kinova fitsapana ihany no vonona, izay azo alaina amin'ny repository amin'ny Github.

Source: www.habr.com

Add a comment