وائرس جا تجزيه نگار ۽ ڪمپيوٽر سيڪيورٽي جا محقق ممڪن حد تائين نوان بوٽنيٽ جا ڪيترائي نمونا گڏ ڪرڻ جي ڊوڙ ۾ آهن. اهي پنهنجي مقصدن لاءِ honeypots استعمال ڪندا آهن... پر ڇا جيڪڏهن توهان حقيقي حالتن ۾ مالويئر جو مشاهدو ڪرڻ چاهيو ٿا؟ توهان جي سرور يا روٽر کي خطري ۾ رکو؟ ڇا جيڪڏهن ڪو مناسب اوزار نه آهي؟ اهو اهي سوال هئا جن مون کي حوصلا افزائي ڪئي ڀونٽر ٺاهي، botnet نوڊس تائين رسائي حاصل ڪرڻ لاء هڪ اوزار.
مکيه خيال
botnets کي وڌائڻ لاءِ مالويئر پکيڙڻ جا ڪيترائي طريقا آهن: فشنگ کان وٺي 0-ڏينهن جي ڪمزورين جو استحصال ڪرڻ. پر سڀ کان وڌيڪ عام طريقو اڃا تائين زبردستي SSH پاسورڊ آهي.
خيال بلڪل سادو آهي. جيڪڏهن ڪجهه botnet نوڊ توهان جي سرور لاءِ brute-force passwords ڪرڻ جي ڪوشش ڪري رهيو آهي، ته پوءِ گهڻو ڪري اهو نوڊ پاڻ کي پڪڙيو ويو brute-force simple passwords. هن جو مطلب اهو آهي ته ان تائين رسائي حاصل ڪرڻ لاء، توهان کي صرف موٽڻ جي ضرورت آهي.
بلڪل ائين ئي ڀونٽر ڪم ڪندو آهي. پورٽ 22 (SSH سروس) ٻڌي ٿو ۽ سڀني لاگ ان ۽ پاسورڊ گڏ ڪري ٿو جنهن سان اهي ان سان ڳنڍڻ جي ڪوشش ڪندا آهن. پوء، گڏ ڪيل پاسورڊ استعمال ڪندي، اهو حملو ڪرڻ واري نوڊس سان ڳنڍڻ جي ڪوشش ڪري ٿو.
ڪم الگورٿم
پروگرام کي 2 مکيه حصن ۾ ورهائي سگھجي ٿو، جيڪي الڳ الڳ موضوعن ۾ ڪم ڪن ٿا. پهريون مادو آهي. لاگ ان جي ڪوششن کي پروسيس ڪري ٿو، منفرد لاگ ان ۽ پاسورڊ گڏ ڪري ٿو (هن صورت ۾، لاگ ان + پاسورڊ جوڙو هڪ مڪمل طور تي سمجهيو ويندو آهي)، ۽ IP پتي پڻ شامل ڪري ٿو جيڪي وڌيڪ حملي لاء قطار سان ڳنڍڻ جي ڪوشش ڪئي.
ٻيو حصو سڌي طرح حملي جو ذميوار آهي. ان کان علاوه، حملو ٻن طريقن سان ڪيو ويندو آهي: BurstAttack (برسٽ اٽيڪ) - عام لسٽ مان برٽ فورس لاگ ان ۽ پاسورڊ ۽ سنگل شاٽ اٽيڪ (سنگل شاٽ اٽيڪ) - برٽ فورس پاسورڊ جيڪي حملو ٿيل نوڊ پاران استعمال ڪيا ويا، پر اڃا تائين نه ڪيا ويا آهن. عام فهرست ۾ شامل ڪيو ويو.
لانچ کان پوءِ فوري طور تي لاگ ان ۽ پاسورڊ جو گهٽ ۾ گهٽ ڪجهه ڊيٽابيس حاصل ڪرڻ لاءِ، ڀونٽر کي فائل مان هڪ فهرست سان شروع ڪيو ويو آهي /etc/bhunter/defaultLoginPairs.
انٽرفيس
ڀونٽر لانچ ڪرڻ جا ڪيترائي طريقا آهن:
بس هڪ ٽيم وانگر
sudo bhunterهن لانچ سان، ان جي ٽيڪسٽ مينيو ذريعي ڀونٽر کي ڪنٽرول ڪرڻ ممڪن آهي: حملي لاءِ لاگ ان ۽ پاسورڊ شامل ڪريو، لاگ ان ۽ پاسورڊ جو ڊيٽابيس برآمد ڪريو، حملي لاءِ ٽارگيٽ بيان ڪريو. سڀ هيڪ ٿيل نوڊس فائل ۾ ڏسي سگهجن ٿا /var/log/bhunter/hacked.log
tmux استعمال ڪندي
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Tmux هڪ ٽرمينل ملٽي پلڪسر آهي، هڪ تمام آسان اوزار. توهان کي اجازت ڏئي ٿي ته هڪ ٽرمينل اندر ڪيترن ئي ونڊوز ٺاهي، ۽ ونڊوز کي پينلن ۾ ورهايو. ان کي استعمال ڪندي، توهان ٽرمينل مان ٻاهر نڪري سگھو ٿا ۽ پوءِ لاگ ان ٿي سگھو ٿا بغير ڪنهن رڪاوٽ جي هلندڙ عملن جي.
bhunter-ts اسڪرپٽ هڪ tmux سيشن ٺاهي ٿو ۽ ونڊو کي ٽن پينلن ۾ ورهائي ٿو. پهريون، سڀ کان وڏو، هڪ ٽيڪسٽ مينيو تي مشتمل آهي. مٿي ساڄي پاسي ۾ honeypot لاگز آهن، هتي توهان هني پاٽ ۾ لاگ ان ٿيڻ جي ڪوششن بابت پيغام ڏسي سگهو ٿا. هيٺيون ساڄي پينل botnet نوڊس تي حملي جي ترقي ۽ ڪامياب هيڪس بابت معلومات ڏيکاري ٿو.
پهرين کان وڌيڪ هن طريقي جو فائدو اهو آهي ته اسان محفوظ طور تي ٽرمينل کي بند ڪري سگھون ٿا ۽ بعد ۾ ان کي واپس ڪري سگهون ٿا، ڀونٽر ان جي ڪم کي روڪڻ کان سواء. انهن لاءِ جيڪي tmux سان ٿورڙي واقف آهن ، مان صلاح ڏيان ٿو .
هڪ خدمت جي طور تي
systemctl enable bhunter
systemctl start bhunterانهي حالت ۾، اسان سسٽم جي شروعات تي ڀونٽر آٽو اسٽارٽ کي فعال ڪندا آهيون. هن طريقي ۾، ڀونٽر سان رابطو مهيا نه ڪيو ويو آهي، ۽ هيڪ ٿيل نوڊس جي فهرست /var/log/bhunter/hacked.log تان حاصل ڪري سگهجي ٿي.
اثر انداز
ڀونٽر تي ڪم ڪرڻ دوران، مون مڪمل طور تي مختلف ڊوائيسز تائين رسائي حاصل ڪرڻ ۽ حاصل ڪرڻ جو انتظام ڪيو: راسبري پائي، روٽرز (خاص طور تي ميڪروٽڪ)، ويب سرور، ۽ هڪ ڀيرو هڪ کان کني فارم (بدقسمتي سان، ان تائين رسائي ڏينهن جي دوران هئي، تنهنڪري ڪو به دلچسپ نه هو. ڪهاڻي). هتي پروگرام جو هڪ اسڪرين شاٽ آهي، جيڪو ڪيترن ئي ڏينهن جي ڪم کان پوءِ هيڪ ٿيل نوڊس جي فهرست ڏيکاري ٿو:
بدقسمتي سان، هن اوزار جي اثرائتي منهنجي اميدن تي پهچي نه سگهيو: ڀونٽر ڪاميابيءَ کان سواءِ ڪيترن ئي ڏينهن تائين نوڊس ڏانهن پاسورڊ آزمائي سگهي ٿو، ۽ ڪجهه ڪلاڪن ۾ ڪيترن ئي هدفن کي هيڪ ڪري سگهي ٿو. پر اهو ڪافي آهي نئين بوٽنيٽ نموني جي باقاعده آمد لاءِ.
تاثير اهڙن پيرا ميٽرن تي اثرانداز ٿئي ٿي: ملڪ جنهن ۾ ڀونٽر سان گڏ سرور واقع آهي، هوسٽنگ، ۽ رينج جنهن مان IP پتو مختص ڪيو ويو آهي. منهنجي تجربي ۾، اتي هڪ ڪيس هو جڏهن مون هڪ ميزبان کان ٻه مجازي سرور ڪرائي، ۽ انهن مان هڪ تي حملو ڪيو ويو botnets پاران 2 ڀيرا وڌيڪ.
غلطيون جيڪي مون اڃا تائين درست نه ڪيون آهن
جڏهن متاثر ٿيل ميزبان تي حملو ڪيو وڃي، ڪجهه حالتن ۾ اهو ممڪن ناهي ته اهو واضح طور تي طئي ڪيو وڃي ته پاسورڊ صحيح آهي يا نه. اهڙا ڪيس /var/log/debug.log فائل ۾ لاگ ان ٿيل آهن.
Paramiko ماڊل، جيڪو SSH سان ڪم ڪرڻ لاء استعمال ڪيو ويندو آهي، ڪڏهن ڪڏهن غلط طريقي سان ڪم ڪري ٿو: اهو لامحدود طور تي ميزبان جي جواب جو انتظار ڪري ٿو جڏهن اهو ان سان ڳنڍڻ جي ڪوشش ڪندو آهي. مون ٽائمرز سان تجربا ڪيا، پر مطلوب نتيجو حاصل نه ڪيو
ٻيو ڇا ڪم ڪرڻ جي ضرورت آهي؟
سروس جو نالو
RFC-4253 جي مطابق، ڪلائنٽ ۽ سرور جي مٽاسٽا جي خدمتن جا نالا جيڪي انسٽاليشن کان اڳ SSH پروٽوڪول کي لاڳو ڪن ٿا. هي نالو "SERVICE NAME" فيلڊ ۾ موجود آهي، ٻنهي ۾ ڪلائنٽ جي طرف کان درخواست ۽ سرور جي طرف کان جواب ۾ شامل آهي. فيلڊ هڪ اسٽرنگ آهي، ۽ ان جي قيمت wireshark يا nmap استعمال ڪندي ڳولهي سگهجي ٿي. هتي OpenSSH لاء هڪ مثال آهي:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
بهرحال، Paramiko جي صورت ۾، هن فيلڊ ۾ "Paramiko Python sshd 2.4.2" وانگر هڪ اسٽرنگ شامل آهي، جيڪو botnets کي خوفزده ڪري سگهي ٿو جيڪي "بچڻ" لاء ٺهيل آهن. تنهن ڪري، مان سمجهان ٿو ته هن لائن کي وڌيڪ غير جانبدار شيء سان تبديل ڪرڻ ضروري آهي.
ٻيا ویکٹر
SSH ريموٽ انتظام جو واحد ذريعو ناهي. اتي پڻ telnet، rdp آهي. اهو انهن تي هڪ ويجهي نظر وٺڻ جي قابل آهي.
واڌ
اهو تمام سٺو ٿيندو ته مختلف ملڪن ۾ ڪيترائي جال موجود هجن ۽ انهن مان لاگ ان، پاسورڊ ۽ هيڪ ٿيل نوڊس کي مرڪزي طور تي گڏ ڪيو وڃي هڪ عام ڊيٽابيس ۾.
مان ڪٿي ڊائون لوڊ ڪري سگهان ٿو؟
لکڻ جي وقت تي، صرف هڪ آزمائشي نسخو تيار آهي، جيڪو ڊائون لوڊ ڪري سگهجي ٿو .
جو ذريعو: www.habr.com