ááá¯ááºážáááºá áºáá±á·áá¬áá¯á¶ážáááºáá°áá»á¬ážááŸáá·áº ááœááºáá»á°áá¬áá¯á¶ááŒá¯á¶áá±ážáá¯áá±áá®áá»á¬ážááẠbotnet á¡áá áºáá»á¬ážáááá°áá¬áá»á¬ážá áœá¬ááᯠáááºááá¯ááºááá»áŸá á¯áá±á¬ááºážááẠááŒáá¯ááºáá±ááŒáááºá áááºážááá¯á·ááẠáááºážááá¯á·á áááºááœááºáá»ááºáá»á¬ážá¡ááœáẠáá»á¬ážáááºá¡áá¯ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒáááº... ááá¯á·áá±á¬áº á¡ááŒá±á¡áá±ááŸááºááœáẠMalware ááᯠááẠá á±á¬áá·áºááŒáá·áºááá¯áá«á á¡ááá·áºááá¯á·áááºážá ááá·áºáá¬áᬠááá¯á·ááá¯áẠrouter ááᯠá¡áá¹ááá¬ááºááŒá áºá á±áá«ááá¬ážá ááá·áºáá»á±á¬áºáá±á¬áááááá¬áááŸááá»áŸááºáá±á¬á áá®áá±ážááœááºážááœá±á botnet node ááœá±ááá¯áááºáá±á¬ááºááœáá·áºáááá¯á· tool áá áºáá¯ááŒá áºáá²á· bhunter ááá¯áááºáá®ážááá¯á· ááŸá¯á¶á·áá±á¬áºáá±ážáá²á·áá«áááºá
á¡ááááááºááœááºáá»ááº
botnet áá»á¬ážááᯠáá»á²á·ááœááºááẠmalware ááŒáá·áºááẠáááºážáááºážáá»á¬ážá áœá¬ ááŸááááº- phishing á០0-day vulnerabilities áá»á¬ážááᯠá¡áá¯á¶ážáá»ááŒááºážá¡ááá ááá¯á·áá±á¬áº á¡áá¯á¶ážá¡áá»á¬ážáá¯á¶ážáááºážáááºážááŸá¬ áááºá ááºááŒááºážááŒá¯ááºáá±á¬ SSH á áá¬ážááŸááºáá»á¬ážááᯠááá¯ááºážá á±ááŒááºážááẠááŒá áºáááºá
á áááºáá°ážá á¡áááºážááá¯ážááŸááºážáá«áááºá á¡áááºá á¡áá»áá¯á·áá±á¬ botnet node áá»á¬ážááẠááá·áºáá¬áá¬á¡ááœáẠbrute-force passwords áá»á¬ážááᯠááŒáá¯ážá á¬ážáá±áá«áá ááŒá áºááá¯ááºáá»á±áá»á¬ážáá±á¬á¡á¬ážááŒáá·áº ဠnode ááᯠbrute-force ááá¯ážááŸááºážáá±á¬ á áá¬ážááŸááºáá»á¬ážááŒáá·áº áááºážáá°ááá¯ááºáááºááŒá áºáááºá ááá¯ááá¯áááºááŸá¬ áááºážááá¯áááºáá±á¬ááºááœáá·áºáááŸááááºá áááºá¡ááŒááºá¡ááŸááºáááºáá¶áááºáᬠááá¯á¡ááºáá«áááºá
áá«á bhunter á¡áá¯ááºáá¯ááºáá¯á¶áá«áá²á port 22 (SSH áááºáá±á¬ááºááŸá¯) ááᯠáá¬ážáá±á¬ááºááŒá®áž áááºážááŸáá·áºáá»áááºáááºááẠááŒáá¯ážá á¬ážááá·áº áá±á¬á·ááºá¡ááºáá»á¬ážááŸáá·áº á áá¬ážááŸááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠá á¯áá±á¬ááºážáááºá ááá¯á·áá±á¬áẠá á¯áá±á¬ááºážáá¬ážáá±á¬ á áá¬ážááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºááá·áº áá¯á¶ááŸááºáá»á¬ážááá¯á· áá»áááºáááºááẠááŒáá¯ážá á¬ážáááºá
á¡áá¯áẠalgorithm ááá¯
áááá¯ááááºááᯠá¡ááá á¡ááá¯ááºáž á ááá¯ááºáž ááœá²ááŒá¬ážááá¯ááºááŒá®áž áá®ážááŒá¬áž thread áá»á¬ážááŒáá·áº áá¯ááºáá±á¬ááºáááºá ááááá áºáá¯ááá±á¬á· áá»á¬ážáááºá¡áá¯ážáá«á á¡áá±á¬áá·áºáááºááẠááŒáá¯ážáááºážááŸá¯áá»á¬ážááᯠáá¯ááºáá±á¬ááºááŒá®áž áá°ážááŒá¬ážáá±á¬ login áá»á¬ážááŸáá·áº á áá¬ážááŸááºáá»á¬ážááᯠá á¯áá±á¬ááºážáá« (á€ááá á¹á ááœááºá á¡áá±á¬áá·áºáááºááŒááºáž + á áá¬ážááŸááºá¡ááœá²ááᯠáá áºáá¯áááºážá¡ááŒá ẠáááºááŸááºáááº) ááŸáá·áº áá±á¬ááºáááºááá¯ááºááá¯ááºááŸá¯á¡ááœáẠáááºážá á®áááºááŒáá¯ážá á¬ážáá±á¬ IP ááááºá á¬áá»á¬ážááá¯áááºáž áá±á«ááºážááá·áºáá«áááºá
áá¯áááááá¯ááºážááá±á¬á· ááá¯ááºááá¯ááºááŸá¯á¡ááœáẠááá¯ááºááá¯áẠáá¬áááºááŸááá«áááºá ááá¯á·á¡ááŒááºá ááá¯ááºááá¯ááºááŸá¯ááᯠáá¯á¶á á¶ááŸá áºáá»áá¯ážááŒáá·áº áá¯ááºáá±á¬ááºáááº- BurstAttack (áá±á«ááºááœá²ááá¯ááºááá¯ááºááŸá¯) - áá±áá°áá»á á¬áááºážá០brute force logins ááŸáá·áº passwords ááŸáá·áº SingleShotAttack (single shot attack) - attacked node ááŸá¡áá¯á¶ážááŒá¯áá²á·ááá·áº brute force passwords áá»á¬ážááŒá áºáá±á¬áºáááºáž áááŒá áºáá±ážáá«á á¡ááœá±ááœá±á á¬áááºážááœáẠááá·áºááœááºážáá¬ážáááºá
á áááºááŒá®ážááŒá®ážáá»ááºážááá¯áááᯠáá±á¬á·ááºá¡ááºáá»á¬ážááŸáá·áº á áá¬ážááŸááºáá»á¬ážá áá±áá¬áá±á·á áºá¡áá»áá¯á·ááŸááááºá¡ááœáẠbhunter ááᯠ/etc/bhunter/defaultLoginPairs ááá¯ááºá០á á¬áááºážáá áºáá¯ááŒáá·áº á¡á ááŒá¯áá¬ážáááºá
interface ááá¯
bhunter ááá¯ááœáá·áºááẠáááºážáááºážáá»á¬ážá áœá¬ááŸááá«áááºá
á¡ááœá²á·áá áºáá¯á¡áá±ááŒáá·áºáá¬
sudo bhunter
á€ááœáŸáá·áºáááºááŒááºážááŒáá·áºá áááºážá á á¬áá¬ážáá®áá°ážááŸáááá·áº bhunter ááᯠááááºážáá»á¯ááºááá¯ááºáááº- ááá¯ááºááá¯ááºááŸá¯á¡ááœáẠáá±á¬á·ááºá¡ááºáá»á¬ážááŸáá·áº á áá¬ážááŸááºáá»á¬ážááᯠáá±á«ááºážááá·áºááŒááºážá áá±á¬á·ááºá¡ááºáá»á¬ážááŸáá·áº á áá¬ážááŸááºáá»á¬ážá áá±áá¬áá±á·á áºááᯠáááºááá¯á·ááŒááºážá ááá¯ááºááá¯ááºááŸá¯á¡ááœáẠáá áºááŸááºááᯠáááºááŸááºáá«á hacked node á¡á¬ážáá¯á¶ážááᯠ/var/log/bhunter/hacked.log ááá¯ááºááœááºááœá±á·ááá¯ááºáá«áááºá
tmux ááᯠá¡áá¯á¶ážááŒá¯
sudo bhunter-ts # кПЌаМЎа запÑÑка bhunter ÑеÑез tmux
sudo tmux attach -t bhunter # пПЎклÑÑаеЌÑÑ Ðº ÑеÑÑОО, в кПÑПÑПй запÑÑеМ bhunter
Tmux ááẠterminal multiplexer ááŒá áºááŒá®áž á¡ááœááºá¡áááºááŒá±áá±á¬ tool áá áºáá¯ááŒá áºáááºá terminal áá áºáá¯á¡ááœááºáž áááºážááá¯ážáá»á¬ážá áœá¬ áááºáá®ážááá¯ááºááŒá®áž windows áá»á¬ážááᯠá¡ááá·áºáá»á¬ážá¡ááŒá Ạááœá²ááá¯ááºáááºá áááºážááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áº áááºááẠterminal ááŸááœááºááŒá®áž áá¯ááºáá±á¬ááºáá±ááá·áº áá¯ááºáááºážá ááºáá»á¬ážááᯠá¡ááŸá±á¬áá·áºá¡ááŸááºáááŒá áºá á±áá² áááºáá±á¬ááºááá¯ááºáááºá
bhunter-ts script ááẠtmux á ááºááŸááºáá áºáá¯ááᯠáááºáá®ážááŒá®áž áááºážááá¯ážá¡á¬áž á¡ááá·áºáá¯á¶ážáá¯á¡ááŒá Ạááá¯ááºážááŒá¬ážáá¬ážáááºá áááá á¡ááŒá®ážáá¯á¶ážá á á¬áá¬ážáá®áá°ážáá«ááŸááááºá áá¬áááºá¡áá±á«áºáá±á¬áá·áºááœáẠáá»á¬ážáááºá¡áá¯ážááŸááºáááºážáá»á¬ážáá«ááŸááááºá á€áá±áá¬ááœáẠáá»á¬ážáááºá¡áá¯ážááá¯á·áááºáá±á¬ááºááẠááŒáá¯ážáááºážááŸá¯áá»á¬ážá¡ááŒá±á¬ááºáž áááºáá±á·áá»áºáá»á¬ážááᯠá€áá±áá¬ááœáẠááœá±á·ááá¯ááºáá«áááºá áá¬áááºá¡á±á¬ááºááá¯ááºáž panel ááẠbotnet node áá»á¬ážáá±á«áºááœáẠááá¯ááºááá¯ááºááŸá¯ááá¯ážáááºááŸá¯ááŸáá·áº á¡á±á¬ááºááŒááºáá±á¬ hacks áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠááŒááááºá
ááááááºážáááºážáá¡á¬ážáá¬áá»ááºááŸá¬ bhunter áá¡áá¯ááºááááºááá·áºáá² terminal ááá¯áá¯á¶ááŒá¯á¶á
áœá¬ááááºááŒá®áž áá±á¬ááºááá¯ááºážááœáẠáááºážááá¯á·ááŒááºáá¬ááá¯ááºááŒááºážááŒá
áºáááºá tmux áá²á· ááááºááááºážááŸá®ážáá²á· áá°ááœá±á¡ááœáẠá¡ááŒá¶ááŒá¯áá»ááºáá«áááºá
áááºáá±á¬ááºááŸá¯á¡ááŒá áº
systemctl enable bhunter
systemctl start bhunter
á€ááá á¹á ááœááºá áá»áœááºá¯ááºááá¯á·ááẠá áá áºá áááºáá»áááºááœáẠbhunter autostart ááá¯ááœáá·áºáá¬ážáááºá á€áááºážáááºážááœááºá bhunter ááŸáá·áºá¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯á¡á¬áž ááá±ážáá±á¬ááºáá²á áááºááºáá¶áááá·áºáá±áá¬áá»á¬ážáá á¬áááºážááᯠ/var/log/bhunter/hacked.log á០ááá°ááá¯ááºáá«áááºá
áááá±á¬ááºááŸá¯
bhunter ááœááºá¡áá¯ááºáá¯ááºáá±á ááºá áá¯á¶ážáááœá²ááŒá¬ážááŒá¬ážáá¬ážáá±á¬áááááá¬áá»á¬áž- Raspberry piá routers (á¡áá°ážáááŒáá·áº mikrotik)á áááºáá¬áá¬áá»á¬ážááŸáá·áº ááá¹áá¯áá°ážáá±á¬áºáá±ážááŒá¶áá áºáᯠ(áá¶ááá±á¬ááºážá áœá¬áá²á áááºážááᯠáá±á·áááºážáááºááœáẠáááºáá±á¬ááºááŒáá·áºááŸá¯ááá¯ááºáá²á·ááŒááºážááŒá±á¬áá·áº á áááºáááºá á¬ážá áá¬áááŸááá±á áá¬ááºáááºáž)á á€áááºááŸá¬ áááºá¡áá±á¬áºááŒá¬ á¡áá¯ááºáá¯ááºááŒá®ážáá±á¬áẠáááºááºáá¶áááá·áº áá¯á¶ááŸááºáá»á¬ážá á¬áááºážááᯠááŒáááá·áº áááá¯ááááºá áááºáá¬ážááŒááºáá¬ááºáá¯á¶ááŒá áºáááºá
áá¶ááá±á¬ááºážá
áœá¬áá²á á€áááááá¬ááááá±á¬ááºááŸá¯ááẠáá»áœááºá¯ááºááá»áŸá±á¬áºááá·áºáá»ááºáá»á¬ážááᯠáááŒáá·áºáá®áá²á·áá«- bhunter ááẠáá¡á±á¬ááºááŒááºáá² áááºá¡áá±á¬áºááŒá¬ node áá»á¬ážááá¯á· á
áá¬ážááŸááºáá»á¬ážááŒáá¯ážá
á¬ážááá¯ááºááŒá®áž áá
áºááŸááºá¡áá»á¬ážá¡ááŒá¬ážááᯠáá¬áá®á¡áááºážáááºá¡ááœááºáž hack ááá¯ááºáááºá ááá¯á·áá±á¬áº áááºážááẠáá¯á¶ááŸáẠbotnet ááá°áá¬á¡áá
áºáá»á¬áž áááºáá±á¬ááºáá¬ááŸá¯á¡ááœáẠáá¯á¶áá±á¬ááºáá«áááºá
áááá±á¬ááºááŸá¯á¡á¬áž bhunter áá«ááá·áº áá¬áá¬áááºááŸáááá·áºááá¯ááºáá¶á áááºáá±á¬ááºááŸá¯áá±ážááá·áºááá¯ááºáá¶ááŸáá·áº IP ááááºá á¬ááᯠááœá²áá±áá»áá¬ážáá±ážááá·áº á¡ááá¯ááºážá¡ááŒá¬ážáá²á·ááá¯á·áá±á¬ ááá·áºáááºáá»ááºáá»á¬ážááŒá±á¬áá·áº áááá±á¬ááºááŸá¯á¡áá±á«áº áááºáá±á¬ááºááŸá¯ááŸááááºá áá»áœááºá¯ááºáá¡ááœá±á·á¡ááŒá¯á¶á¡áá hoster áá áºáá¯á០virtual server ááŸá áºáá¯ááᯠáá»áœááºá¯ááºááŸá¬ážááŒá®áž áááºážááá¯á·áá²á០áá áºáá¯ááᯠbotnets á០á á áááŒá¬áá ááá¯ááºááá¯ááºáá¶áááá·áº ááá á¹á áá áºáᯠááŸááá²á·áá«áááºá
áá»áœááºáá±á¬áº áááŒááºááá±ážáá²á· á¡ááŸá¬ážááœá±
áá±á¬áá«ááá¯ážááŸááá±á¬ host áá»á¬ážááᯠááá¯ááºááá¯ááºáá±á¬á¡áá«á á¡áá»áá¯á·áá±á¬á¡ááŒá±á¡áá±áá»á¬ážááœáẠá áá¬ážááŸááºááŸááºáááºááŒááºáž ááŸáá áááŸá á¡ááá¡áá»áá¯á¶ážááŒááºááẠáááŒá áºááá¯ááºáá«á ááá¯ááá¯á·áá±á¬ááá á¹á áá»á¬ážááᯠ/var/log/debug.log ááá¯ááºááœáẠááŸááºáááºážáááºáá¬ážáááºá
SSH ááŸáá·áºá¡áá¯ááºáá¯ááºáááºá¡áá¯á¶ážááŒá¯ááá·áº Paramiko module ááẠáá áºáá«áá áºáá¶ááœáẠááŸá¬ážááœááºážá áœá¬ááŒá¯áá°áááºáááº- áááºážááŸáá·áºáá»áááºáááºáááºááŒáá¯ážá á¬ážáá±á¬á¡áá«ááœáẠáááºáá¶áá°áá¶ááŸáá¯á¶á·ááŒááºáá»ááºááᯠá¡áá¯á¶ážáááŸááá±á¬á á±á¬áá·áºáá±áááºá ááá¯ááºáá¬áá»á¬ážááŒáá·áº á ááºážáááºáá²á·áá±á¬áºáááºáž ááá¯áá»ááºáá±á¬ááááºááᯠáááá²á·áá«á
áá±á¬ááºáááºáá¬ááœá±áá¯ááºáá±á¬ááºááá¯á· ááá¯áá±ážáá²á
áááºáá±á¬ááºááŸá¯á¡áááº
RFC-4253 á¡áá ááááºáááºáá® SSH áááá¯ááá¯áá±á¬ááᯠá¡áá±á¬ááºá¡áááºáá±á«áºááá·áº áááºáá±á¬ááºááŸá¯áá»á¬ážá client ááŸáá·áº server ááá¯á·á á¡áááºáá»á¬ážááᯠáááŸááºáá«áááºá á€á¡áááºááẠ"SERVICE NAME" á¡ááœááºááœáẠáá«áááºáááºá áá±á¬ááºáááºáááºá០áá±á¬ááºážááá¯áá»ááºááœáẠááŸáá·áº áá¬áá¬áááºá០áá¯á¶á·ááŒááºááŸá¯ááœáẠááŸá áºáá»áá¯ážáá¯á¶ážáá«ááŸááááºá á¡ááœááºááẠá á¬ááŒá±á¬ááºážáá áºáá¯ááŒá áºááŒá®áž áááºážááááºááá¯ážááᯠwireshark ááá¯á·ááá¯áẠnmap ááᯠá¡áá¯á¶ážááŒá¯á ááœá±á·ááŸáááá¯ááºáááºá á€áááºááŸá¬ OpenSSH á¡ááœáẠá¥ááá¬áá áºáá¯ááŒá áºáááºá
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
ááá¯á·áá±á¬áºáááºáž Paramiko áááŒá áºáááºááœááºá á€á¡ááœááºááœáẠâParamiko Python sshd 2.4.2â áá²á·ááá¯á·áá±á¬ string áá áºáá¯áá«ááŸááááºá áááºážááẠáá±á¬ááºáá»á±á¬ááºáá»á¬ážááᯠááŸá±á¬ááºááŸá¬ážááẠáá®ááá¯ááºážáá¯ááºáá¬ážááá·áº botnet áá»á¬ážááᯠááŒá±á¬ááºááá·áºá á±ááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áºá á€á á¬ááŒá±á¬ááºážááᯠááá¯áááŒá¬ážáá±áá±á¬á¡áá¬ááŒáá·áº á¡á á¬ážááá¯ážááẠááá¯á¡ááºáááºáᯠáá»áœááºá¯ááºáááºáá«áááºá
á¡ááŒá¬áž vector áá»á¬áž
SSH ááẠá¡áá±ážááááºážá áá áºá áá áºáá¯áááºážáá±á¬ áááºážáááºážááá¯ááºáá«á telnet, rdp áááºážááŸááá«áááºá áá°ááá¯á·ááᯠá¡áá®ážáááºááŒáá·áºááá¯á· ááá¯ááºáááºáá«áááºá
extension ááá¯
ááá°áá®áá±á¬ááá¯ááºáá¶áá»á¬ážááœáẠáá±á¬ááºáá»á±á¬ááºáá»á¬ážá áœá¬áá¬ážááŸááᬠáááºážááá¯á·áá¶á០áá±á¬á·ááºá¡ááºáá»á¬ážá á áá¬ážááŸááºáá»á¬ážááŸáá·áº áááºážááá¯á·áá¶á០áááºááºáá¶áá¬ážááá±á¬ áá¯á¶ááŸááºáá»á¬ážááᯠáá¯á¶áá±áá¬áá±á·á áºáá áºáá¯ááá¯á· áááá¯áá»á¯ááºááá¯ááºáá¬ážááŒááºážááẠáá±á¬ááºážááœááºáá±áááá·áºáááºá
áááºááŸá¬áá±á«ááºážááá¯á·áááá²
á
á¬áá±ážáá»áááºááœááºá áááºážááŸáá±á«ááºážáá¯ááºáá¯ááºááá¯ááºááá·áº á
ááºážáááºáá¬ážááŸááºážáá
áºáá¯áᬠá¡áááºááá·áºááŒá
áºáá±áá«ááŒá®á
source: www.habr.com