ဗိုင်းရပ်စ်လေ့လာသုံးသပ်သူများနှင့် ကွန်ပျူတာလုံခြုံရေးသုတေသီများသည် botnet အသစ်များ၏နမူနာများစွာကို တတ်နိုင်သမျှစုဆောင်းရန် ပြိုင်နေကြသည်။ ၎င်းတို့သည် ၎င်းတို့၏ ရည်ရွယ်ချက်များအတွက် ပျားရည်အိုးများကို အသုံးပြုကြသည်... သို့သော် အခြေအနေမှန်တွင် Malware ကို သင် စောင့်ကြည့်လိုပါက အဘယ့်သို့နည်း။ သင့်ဆာဗာ သို့မဟုတ် router ကို အန္တရာယ်ဖြစ်စေပါသလား။ သင့်လျော်သောကိရိယာမရှိလျှင်ကော။ ဒီမေးခွန်းတွေက botnet node တွေကိုဝင်ရောက်ခွင့်ရဖို့ tool တစ်ခုဖြစ်တဲ့ bhunter ကိုဖန်တီးဖို့ လှုံ့ဆော်ပေးခဲ့ပါတယ်။

အဓိကရည်ရွယ်ချက်

botnet များကို ချဲ့ထွင်ရန် malware ဖြန့်ရန် နည်းလမ်းများစွာ ရှိသည်- phishing မှ 0-day vulnerabilities များကို အသုံးချခြင်းအထိ။ သို့သော် အသုံးအများဆုံးနည်းလမ်းမှာ ရက်စက်ကြမ်းကြုတ်သော SSH စကားဝှက်များကို ခိုင်းစေခြင်းပင် ဖြစ်သည်။

စိတ်ကူးက အရမ်းရိုးရှင်းပါတယ်။ အကယ်၍ အချို့သော botnet node များသည် သင့်ဆာဗာအတွက် brute-force passwords များကို ကြိုးစားနေပါက၊ ဖြစ်နိုင်ချေများသောအားဖြင့် ဤ node ကို brute-force ရိုးရှင်းသော စကားဝှက်များဖြင့် ဖမ်းယူနိုင်မည်ဖြစ်သည်။ ဆိုလိုသည်မှာ ၎င်းကိုဝင်ရောက်ခွင့်ရရှိရန်၊ သင်အပြန်အလှန်ဆက်ဆံရန်သာ လိုအပ်ပါသည်။

ဒါက bhunter အလုပ်လုပ်ပုံပါပဲ။ port 22 (SSH ဝန်ဆောင်မှု) ကို နားထောင်ပြီး ၎င်းနှင့်ချိတ်ဆက်ရန် ကြိုးစားသည့် လော့ဂ်အင်များနှင့် စကားဝှက်များအားလုံးကို စုဆောင်းသည်။ ထို့နောက် စုဆောင်းထားသော စကားဝှက်များကို အသုံးပြု၍ တိုက်ခိုက်သည့် ဆုံမှတ်များသို့ ချိတ်ဆက်ရန် ကြိုးစားသည်။

အလုပ် algorithm ကို

ပရိုဂရမ်ကို အဓိက အပိုင်း ၂ ပိုင်း ခွဲခြားနိုင်ပြီး သီးခြား thread များဖြင့် လုပ်ဆောင်သည်။ ပထမတစ်ခုကတော့ ပျားရည်အိုးပါ။ အကောင့်ဝင်ရန် ကြိုးပမ်းမှုများကို လုပ်ဆောင်ပြီး ထူးခြားသော login များနှင့် စကားဝှက်များကို စုဆောင်းပါ (ဤကိစ္စတွင်၊ အကောင့်ဝင်ခြင်း + စကားဝှက်အတွဲကို တစ်ခုတည်းအဖြစ် သတ်မှတ်သည်) နှင့် နောက်ထပ်တိုက်ခိုက်မှုအတွက် တန်းစီရန်ကြိုးစားသော IP လိပ်စာများကိုလည်း ပေါင်းထည့်ပါသည်။

ဒုတိယပိုင်းကတော့ တိုက်ခိုက်မှုအတွက် တိုက်ရိုက် တာဝန်ရှိပါတယ်။ ထို့အပြင်၊ တိုက်ခိုက်မှုကို ပုံစံနှစ်မျိုးဖြင့် လုပ်ဆောင်သည်- BurstAttack (ပေါက်ကွဲတိုက်ခိုက်မှု) - ယေဘူယျစာရင်းမှ brute force logins နှင့် passwords နှင့် SingleShotAttack (single shot attack) - attacked node မှအသုံးပြုခဲ့သည့် brute force passwords များဖြစ်သော်လည်း မဖြစ်သေးပါ။ အထွေထွေစာရင်းတွင် ထည့်သွင်းထားသည်။

စတင်ပြီးပြီးချင်းဆိုသလို လော့ဂ်အင်များနှင့် စကားဝှက်များ၏ ဒေတာဘေ့စ်အချို့ရှိရန်အတွက် bhunter ကို /etc/bhunter/defaultLoginPairs ဖိုင်မှ စာရင်းတစ်ခုဖြင့် အစပြုထားသည်။

interface ကို

bhunter ကိုဖွင့်ရန် နည်းလမ်းများစွာရှိပါသည်။

အဖွဲ့တစ်ခုအနေဖြင့်သာ

sudo bhunter

ဤလွှင့်တင်ခြင်းဖြင့်၊ ၎င်း၏ စာသားမီနူးမှတဆင့် bhunter ကို ထိန်းချုပ်နိုင်သည်- တိုက်ခိုက်မှုအတွက် လော့ဂ်အင်များနှင့် စကားဝှက်များကို ပေါင်းထည့်ခြင်း၊ လော့ဂ်အင်များနှင့် စကားဝှက်များ၏ ဒေတာဘေ့စ်ကို တင်ပို့ခြင်း၊ တိုက်ခိုက်မှုအတွက် ပစ်မှတ်ကို သတ်မှတ်ပါ။ hacked node အားလုံးကို /var/log/bhunter/hacked.log ဖိုင်တွင်တွေ့နိုင်ပါသည်။

tmux ကို အသုံးပြု

sudo bhunter-ts # команда запуска bhunter через tmux  
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter

Tmux သည် terminal multiplexer ဖြစ်ပြီး အလွန်အဆင်ပြေသော tool တစ်ခုဖြစ်သည်။ terminal တစ်ခုအတွင်း ဝင်းဒိုးများစွာ ဖန်တီးနိုင်ပြီး windows များကို အကန့်များအဖြစ် ခွဲနိုင်သည်။ ၎င်းကိုအသုံးပြုခြင်းဖြင့် သင်သည် terminal မှထွက်ပြီး လုပ်ဆောင်နေသည့် လုပ်ငန်းစဉ်များကို အနှောင့်အယှက်မဖြစ်စေဘဲ ဝင်ရောက်နိုင်သည်။

bhunter-ts script သည် tmux စက်ရှင်တစ်ခုကို ဖန်တီးပြီး ဝင်းဒိုးအား အကန့်သုံးခုအဖြစ် ပိုင်းခြားထားသည်။ ပထမ၊ အကြီးဆုံး၊ စာသားမီနူးပါရှိသည်။ ညာဘက်အပေါ်ထောင့်တွင် ပျားရည်အိုးမှတ်တမ်းများပါရှိသည်၊ ဤနေရာတွင် ပျားရည်အိုးသို့ဝင်ရောက်ရန် ကြိုးပမ်းမှုများအကြောင်း မက်ဆေ့ချ်များကို ဤနေရာတွင် တွေ့နိုင်ပါသည်။ ညာဘက်အောက်ပိုင်း panel သည် botnet node များပေါ်တွင် တိုက်ခိုက်မှုတိုးတက်မှုနှင့် အောင်မြင်သော hacks များအကြောင်း အချက်အလက်များကို ပြသသည်။

ပထမနည်းလမ်း၏အားသာချက်မှာ bhunter ၏အလုပ်မရပ်တန့်ဘဲ terminal ကိုလုံခြုံစွာပိတ်ပြီး နောက်ပိုင်းတွင် ၎င်းသို့ပြန်လာနိုင်ခြင်းဖြစ်သည်။ tmux နဲ့ သိပ်မရင်းနှီးတဲ့ သူတွေအတွက် အကြံပြုချင်ပါတယ်။ ဒီလိမ်စာရွက်.

ဝန်ဆောင်မှုအဖြစ်

systemctl enable bhunter
systemctl start bhunter

ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် စနစ်စတင်ချိန်တွင် bhunter autostart ကိုဖွင့်ထားသည်။ ဤနည်းလမ်းတွင်၊ bhunter နှင့်အပြန်အလှန်တုံ့ပြန်မှုအား မပေးဆောင်ဘဲ၊ ဟက်ခ်ခံရသည့်နေရာများ၏စာရင်းကို /var/log/bhunter/hacked.log မှ ရယူနိုင်ပါသည်။

ထိရောက်မှု

bhunter တွင်အလုပ်လုပ်နေစဉ်၊ လုံးဝကွဲပြားခြားနားသောကိရိယာများ- Raspberry pi၊ routers (အထူးသဖြင့် mikrotik)၊ ဝဘ်ဆာဗာများနှင့် သတ္တုတူးဖော်ရေးခြံတစ်ခု (ကံမကောင်းစွာပဲ၊ ၎င်းကို နေ့ခင်းဘက်တွင် ဝင်ရောက်ကြည့်ရှုနိုင်ခဲ့ခြင်းကြောင့် စိတ်ဝင်စားစရာမရှိပေ။ ဇာတ်လမ်း)။ ဤသည်မှာ ရက်အတော်ကြာ အလုပ်လုပ်ပြီးနောက် ဟက်ခ်ခံရသည့် ဆုံမှတ်များစာရင်းကို ပြသသည့် ပရိုဂရမ်၏ ဖန်သားပြင်ဓာတ်ပုံဖြစ်သည်။

ကံမကောင်းစွာပဲ၊ ဤကိရိယာ၏ထိရောက်မှုသည် ကျွန်ုပ်၏မျှော်လင့်ချက်များကို မပြည့်မီခဲ့ပါ- bhunter သည် မအောင်မြင်ဘဲ ရက်အတော်ကြာ node များသို့ စကားဝှက်များကြိုးစားနိုင်ပြီး ပစ်မှတ်အများအပြားကို နာရီအနည်းငယ်အတွင်း hack နိုင်သည်။ သို့သော် ၎င်းသည် ပုံမှန် botnet နမူနာအသစ်များ ဝင်ရောက်လာမှုအတွက် လုံလောက်ပါသည်။

ထိရောက်မှုအား bhunter ပါသည့် ဆာဗာတည်ရှိသည့်နိုင်ငံ၊ ဝန်ဆောင်မှုပေးသည့်နိုင်ငံနှင့် IP လိပ်စာကို ခွဲဝေချထားပေးသည့် အပိုင်းအခြားကဲ့သို့သော ကန့်သတ်ချက်များကြောင့် ထိရောက်မှုအပေါ် သက်ရောက်မှုရှိသည်။ ကျွန်ုပ်၏အတွေ့အကြုံအရ၊ hoster တစ်ခုမှ virtual server နှစ်ခုကို ကျွန်ုပ်ငှားပြီး ၎င်းတို့ထဲမှ တစ်ခုကို botnets မှ ၂ ဆ မကြာခဏ တိုက်ခိုက်ခံရသည့် ကိစ္စတစ်ခု ရှိခဲ့ပါသည်။

ကျွန်တော် မပြင်ရသေးတဲ့ အမှားတွေ

ရောဂါပိုးရှိသော host များကို တိုက်ခိုက်သောအခါ၊ အချို့သောအခြေအနေများတွင် စကားဝှက်မှန်ကန်ခြင်း ရှိ၊ မရှိ အတိအကျဆုံးဖြတ်ရန် မဖြစ်နိုင်ပါ။ ထိုသို့သောကိစ္စများကို /var/log/debug.log ဖိုင်တွင် မှတ်တမ်းတင်ထားသည်။

SSH နှင့်အလုပ်လုပ်ရန်အသုံးပြုသည့် Paramiko module သည် တစ်ခါတစ်ရံတွင် မှားယွင်းစွာပြုမူတတ်သည်- ၎င်းနှင့်ချိတ်ဆက်ရန်ကြိုးစားသောအခါတွင် လက်ခံသူထံမှတုံ့ပြန်ချက်ကို အဆုံးမရှိသောစောင့်နေသည်။ တိုင်မာများဖြင့် စမ်းသပ်ခဲ့သော်လည်း လိုချင်သောရလဒ်ကို မရခဲ့ပါ။

နောက်ထပ်ဘာတွေလုပ်ဆောင်ဖို့ လိုသေးလဲ။

ဝန်ဆောင်မှုအမည်

RFC-4253 အရ၊ မတပ်ဆင်မီ SSH ပရိုတိုကောကို အကောင်အထည်ဖေါ်သည့် ဝန်ဆောင်မှုများ၏ client နှင့် server တို့၏ အမည်များကို ဖလှယ်ပါသည်။ ဤအမည်သည် "SERVICE NAME" အကွက်တွင် ပါ၀င်သည်၊ ဖောက်သည်ဘက်မှ တောင်းဆိုချက်တွင် နှင့် ဆာဗာဖက်မှ တုံ့ပြန်မှုတွင် နှစ်မျိုးလုံးပါရှိသည်။ အကွက်သည် စာကြောင်းတစ်ခုဖြစ်ပြီး ၎င်း၏တန်ဖိုးကို wireshark သို့မဟုတ် nmap ကို အသုံးပြု၍ တွေ့ရှိနိုင်သည်။ ဤသည်မှာ OpenSSH အတွက် ဥပမာတစ်ခုဖြစ်သည်။

$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT   STATE SERVICE VERSION
22/tcp open  ssh     <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

သို့သော်လည်း Paramiko ၏ဖြစ်ရပ်တွင်၊ ဤအကွက်တွင် “Paramiko Python sshd 2.4.2” ကဲ့သို့သော string တစ်ခုပါရှိသည်၊ ၎င်းသည် ထောင်ချောက်များကို ရှောင်ရှားရန် ဒီဇိုင်းထုတ်ထားသည့် botnet များကို ကြောက်လန့်စေနိုင်သည်။ ထို့ကြောင့်၊ ဤစာကြောင်းကို ပို၍ကြားနေသောအရာဖြင့် အစားထိုးရန် လိုအပ်သည်ဟု ကျွန်ုပ်ထင်ပါတယ်။

အခြား vector များ

SSH သည် အဝေးထိန်းစနစ်၏ တစ်ခုတည်းသော နည်းလမ်းမဟုတ်ပါ။ telnet, rdp လည်းရှိပါတယ်။ သူတို့ကို အနီးကပ်ကြည့်ဖို့ ထိုက်တန်ပါတယ်။

extension ကို

မတူညီသောနိုင်ငံများတွင် ထောင်ချောက်များစွာထားရှိကာ ၎င်းတို့ထံမှ လော့ဂ်အင်များ၊ စကားဝှက်များနှင့် ၎င်းတို့ထံမှ ဟက်ခ်ခံထားရသော ဆုံမှတ်များကို ဘုံဒေတာဘေ့စ်တစ်ခုသို့ ဗဟိုချုပ်ကိုင်ထားခြင်းသည် ကောင်းမွန်ပေလိမ့်မည်။

ဘယ်မှာဒေါင်းလို့ရမလဲ

စာရေးချိန်တွင်၊ ၎င်းမှဒေါင်းလုဒ်လုပ်နိုင်သည့် စမ်းသပ်ဗားရှင်းတစ်ခုသာ အဆင်သင့်ဖြစ်နေပါပြီ။ Github တွင်သိုလှောင်မှု.

source: www.habr.com