Аналитичари вируса и истраживачи рачунарске безбедности се утркују да прикупе што више узорака нових ботнета. Они користе хонеипотс за своје потребе... Али шта ако желите да посматрате малвер у стварним условима? Ставите свој сервер или рутер у опасност? Шта ако нема одговарајућег уређаја? Управо су ме ова питања подстакла да направим бхунтер, алат за приступ ботнет чворовима.
централна идеја
Постоји много начина за ширење злонамерног софтвера за проширење ботнета: од „пецања“ до искоришћавања рањивости од 0 дана. Али најчешћи метод је и даље грубо форсирање ССХ лозинки.
Идеја је врло једноставна. Ако неки ботнет чвор покушава грубо форсирати лозинке за ваш сервер, онда је највјероватније сам тај чвор заробљен грубом присилом једноставних лозинки. То значи да да бисте добили приступ њему, само треба да узвратите.
Управо тако бхунтер ради. Слуша порт 22 (ССХ сервис) и прикупља све податке за пријаву и лозинке помоћу којих покушавају да се повежу на њега. Затим, користећи прикупљене лозинке, покушава да се повеже са нападачким чворовима.
Алгоритам рада
Програм се може поделити на 2 главна дела, који раде у одвојеним нитима. Први је медени лонац. Обрађује покушаје пријављивања, прикупља јединствене пријаве и лозинке (у овом случају, пар пријава + лозинка се сматра јединственом целином), а такође додаје ИП адресе које су покушале да се повежу са редом за даљи напад.
Други део је директно одговоран за напад. Штавише, напад се спроводи у два режима: БурстАттацк (напад рафалом) - грубе пријаве и лозинке са опште листе и СинглеСхотАттацк (напад са једним ударцем) - лозинке грубом силом које је користио нападнути чвор, али још увек нису биле додат на општу листу.
Да би имао бар неку базу података за пријављивање и лозинке одмах након покретања, бхунтер се иницијализује листом из датотеке /етц/бхунтер/дефаултЛогинПаирс.
interfejs
Постоји неколико начина за покретање бхунтер-а:
Само као тим
sudo bhunterСа овим покретањем, могуће је контролисати бхунтер преко његовог текстуалног менија: додати пријаве и лозинке за напад, извести базу података за пријаву и лозинке, одредити циљ напада. Сви хаковани чворови се могу видети у датотеци /вар/лог/бхунтер/хацкед.лог
Коришћење тмук-а
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Тмук је терминални мултиплексер, веома згодан алат. Омогућава вам да креирате неколико прозора унутар једног терминала и поделите прозоре на панеле. Користећи га, можете изаћи из терминала и затим се пријавити без прекидања покренутих процеса.
Бхунтер-тс скрипта креира тмук сесију и дели прозор на три панела. Први, највећи, садржи текстуални мени. У горњем десном углу налази се хонеипот логс, овде можете видети поруке о покушајима да се пријавите у хонеипот. Доњи десни панел приказује информације о напретку напада на ботнет чворове и о успешним хаковима.
Предност ове методе у односу на прву је у томе што можемо безбедно затворити терминал и вратити се на њега касније, а да бхунтер не заустави његов рад. За оне који су мало упознати са тмуком, предлажем .
Као услуга
systemctl enable bhunter
systemctl start bhunterУ овом случају, омогућавамо бхунтер аутостарт при покретању система. У овој методи није обезбеђена интеракција са бхунтер-ом, а листа хакованих чворова се може добити са /вар/лог/бхунтер/хацкед.лог
Ефективност
Док сам радио на бхунтеру, успео сам да пронађем и добијем приступ потпуно различитим уређајима: распберри пи, рутери (посебно микротик), веб сервери, а некада и рударска фарма (нажалост, приступ јој је био током дана, тако да није било занимљивих прича). Ево снимка екрана програма који приказује листу хакованих чворова након неколико дана рада:
Нажалост, ефикасност овог алата није достигла моја очекивања: бхунтер може безуспешно испробавати лозинке за чворове неколико дана и може да хакује неколико циљева за неколико сати. Али ово је довољно за редован прилив нових узорака ботнета.
На ефикасност утичу параметри као што су: земља у којој се налази сервер са бхунтер-ом, хостинг и опсег из којег се додељује ИП адреса. По мом искуству, био је случај када сам изнајмио два виртуелна сервера од једног хостера, а један од њих је 2 пута чешће нападан ботнетима.
Грешке које још нисам исправио
Приликом напада на заражене хостове, у неким ситуацијама није могуће једнозначно утврдити да ли је лозинка тачна или не. Такви случајеви се евидентирају у датотеци /вар/лог/дебуг.лог.
Парамико модул, који се користи за рад са ССХ-ом, понекад се понаша неправилно: бескрајно чека одговор од хоста када покуша да се повеже са њим. Експериментисао сам са тајмерима, али нисам добио жељени резултат
На чему још треба порадити?
Име услуге
Према РФЦ-4253, клијент и сервер размењују имена услуга које имплементирају ССХ протокол пре инсталације. Ово име се налази у пољу „НАЗИВ УСЛУГЕ“, садржано и у захтеву са стране клијента и у одговору са стране сервера. Поље је стринг, а његова вредност се може пронаћи помоћу виресхарк-а или нмап-а. Ево примера за ОпенССХ:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
Међутим, у случају Парамико-а, ово поље садржи стринг као што је „Парамико Питхон ссхд 2.4.2“, који може да уплаши ботнете који су дизајнирани да „избегну“ замке. Зато сматрам да је потребно ову линију заменити нечим неутралнијим.
Остали вектори
ССХ није једино средство за даљинско управљање. Ту је и телнет, рдп. Вреди их пажљивије погледати.
продужетак
Било би сјајно имати неколико замки у различитим земљама и централно прикупљати пријаве, лозинке и хаковане чворове од њих у заједничку базу података
Где могу да преузмем?
У тренутку писања, спремна је само пробна верзија са које се може преузети .
Извор: ввв.хабр.цом