Analisis kamungkinan meungpeuk aplikasi pikeun kadali komputer jauh dina jaringan, nganggo conto AnyDesk

Nalika hiji dinten bos naroskeun patarosan: "Naha sababaraha urang gaduh aksés jauh kana komputer kerja, tanpa kéngingkeun idin tambahan pikeun dianggo?"
Tugas timbul pikeun "nutup" loophole nu.

Aya seueur aplikasi pikeun kadali jauh dina jaringan: desktop jauh Chrome, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control, jsb. ti jaringan sareng pangguna "ngagiling huntu" dina hiji cara atanapi anu sanés "caang" sareng admin, teras karesep seueur pikeun panggunaan pribadi - AnyDesk masih peryogi perhatian khusus, khususna upami bos nyarios "Henteu!"

Upami anjeun terang naon anu ngahalangan pakét jaringan ku eusina sareng anjeun sugema ku éta, maka bahan sésana
teu dihaja kanggo Anjeun.

Nyobian balik ti sabalikna, kanyataanna website Éta nyarioskeun naon anu kedah diidinan pikeun program éta jalan; sasuai, catetan DNS diblokir *.net.anydesk.com. Tapi AnyDesk henteu saderhana; éta henteu paduli ngeunaan ngahalangan nami domain.

Sakali kana waktosna, kuring ngarengsekeun masalah blocking "Anyplace Control", anu sumping ka kami kalayan sababaraha parangkat lunak anu diragukeun, sareng éta direngsekeun ku ngahalangan ngan sababaraha IP (kuring nyadangkeun antipirus). Masalah sareng AnyDesk, saatos kuring ngumpulkeun sacara manual langkung ti belasan alamat IP, eged kuring on meunang jauh ti kuli manual rutin.

Kapanggih ogé yén dina "C: ProgramDataAnyDesk" aya sababaraha file sareng setélan, jsb., sareng dina file. ad_svc.trace Kajadian ngeunaan sambungan sareng gagalna dikumpulkeun.

1. Observasi

Sakumaha anu parantos disebatkeun, ngahalangan *.anydesk.com henteu masihan hasil dina operasi program, éta mutuskeun pikeun nganalisis kabiasaan program dina situasi stres. TCPView ti Sysinternals dina panangan anjeun sareng angkat!

1.1. Éta tiasa katingali yén sababaraha prosés anu dipikaresep ku urang "ngagantung", sareng ngan ukur hiji anu komunikasi sareng alamat ti luar anu dipikaresep ku urang. Palabuhan anu nyambungkeunna dipilih, tina anu kuring tingali: 80, 443, 6568. 🙂 Urang pasti moal tiasa meungpeuk 80 sareng 443.

1.2. Saatos blocking alamat ngaliwatan router, alamat sejen quietly dipilih.

1.3. Konsol nyaéta GALUH urang! Kami nangtukeun PID teras kuring rada untung yén AnyDesk dipasang ku jasa éta, janten PID anu kami milarian mangrupikeun hiji-hijina.
1.4. Kami nangtukeun alamat IP tina server jasa tina prosés PID.

2. Persiapan

Kusabab program pikeun ngaidentipikasi alamat IP sigana ngan ukur tiasa dianggo dina PC kuring, kuring henteu ngagaduhan larangan dina genah sareng kedul, janten C #.

2.1. Sadaya metode pikeun ngaidentipikasi alamat IP anu diperyogikeun parantos dipikanyaho, tetep dilaksanakeun.

string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process()) 
{p.StartInfo.FileName = "cmd.exe";
 p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
 p.StartInfo.UseShellExecute = false;
 p.StartInfo.RedirectStandardOutput = true;
 p.StartInfo.CreateNoWindow = true;
 p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
 p.Start();
 string output = p.StandardOutput.ReadToEnd();
 string[] pid1 = output.Split(',');//переводим ответ в массив
 pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}

Nya kitu, urang manggihan layanan nu ngadegkeun sambungan, abdi bakal masihan ukur garis utama

p.StartInfo.Arguments = "/c " netstat  -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";

Hasilna bakal kieu:

Tina barisan, sami sareng léngkah sateuacana, nimba kolom ka-3 sareng cabut sadayana saatos ":". Hasilna, urang gaduh IP anu dipikahoyong.

2.2. Pameungpeukan IP dina Windows... Upami di Linux Upami anjeun gaduh Blackhole sareng iptables, maka aya metode pikeun meungpeuk alamat IP dina hiji baris, tanpa nganggo firewall, dina Windows ternyata teu biasa,
tapi alat naon anu aya...

route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -p

Parameter konci "lamun 1"Kirimkeun rute ka Loopback (Anjeun tiasa ningalikeun antarmuka anu sayogi ku jalan nyitak rute). JEUNG PENTING! Ayeuna programna kedah diluncurkeun. kalawan hak administrator, saprak ngarobah jalur merlukeun élévasi.

2.3. Mintonkeun sareng nyimpen alamat IP anu diidentifikasi mangrupikeun tugas anu sepele sareng henteu peryogi katerangan. Upami anjeun mikirkeun éta, anjeun tiasa ngolah file ad_svc.trace AnyDesk sorangan, tapi kuring henteu langsung mikir ngeunaan éta + panginten aya watesanana.

2.4. Paripolah program anu anéh sareng henteu rata nyaéta nalika anjeun "taskkill" prosés layanan dina Windows 10 éta bakal otomatis ngamimitian deui, dina Windows 8 réngsé, ngan ukur nyésakeun prosés konsol sareng tanpa nyambungkeun deui, sacara umum éta teu logis sareng ieu teu akurat.

Nyoplokkeun prosés nu geus disambungkeun ka server ngidinan Anjeun pikeun "maksa" reconnection ka alamat salajengna. Éta dilaksanakeun dina cara anu sami sareng paréntah sateuacana, janten kuring ngan ukur masihan:

p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";

Salaku tambahan, peluncuran program AnyDesk.

 //запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){ 
Process p1 = Process.Start(path_pro);}

2.5. Urang bakal pariksa status AnyDesk sakali menit (atawa leuwih mindeng?), Jeung lamun disambungkeun, i.e. sambungan DIBUAT - meungpeuk IP ieu, jeung deui sakuliah deui - antosan nepika nyambung, blok na antosan.

3. Serangan

Kodena "digambar" sareng diputuskeun pikeun ngabayangkeun prosésna "+"tunjukkeun IP anu kapanggih sareng diblokir, sareng"."-Malikan deui cek tanpa sambungan tatangga anu suksés ti AnyDesk.

→ Kodeu proyék

Salaku hasilna…

Program ieu tiasa dianggo dina sababaraha komputer anu béda-béda Windows OS, nganggo AnyDesk vérsi 5 sareng 6. Saatos 500 iterasi, sakitar 80 alamat dikumpulkeun. Saatos 2500, 87, sareng saterasna...

Lila-lila, jumlah IP anu diblokir ngahontal 100+.

Link ka final file téks kalayan alamat: waktu и два

Geus rengse! Kolam renang alamat IP ieu ditambahkeun kana aturan router utama ngaliwatan naskah jeung AnyDesk saukur teu bisa nyieun sambungan éksternal.

Aya titik aneh, ti log awal jelas yén alamat téh kalibet dina mindahkeun informasi boot-01.net.anydesk.comSacara umum, urang parantos meungpeuk sadaya host *.net.anydesk.com, tapi sanés éta anu anéh. Unggal urang ngalakukeun ping ti komputer anu béda, nami domain ieu mulangkeun alamat IP anu béda. Ngadaptar Linux:

host boot-01.net.anydesk.com

kawas DNSLookup aranjeunna masihan ngan hiji alamat IP, tapi alamat ieu variabel. Nalika nganalisa sambungan TCPView, kami dipulangkeun rékaman PTR ngeunaan alamat IP tina jinis éta relay-*.net.anydesk.com.

Sacara téoritis: saprak ping kadang-kadang angkat ka host anu teu diblokir anu teu dipikanyaho boot-01.net.anydesk.com Urang tiasa mendakan alamat IP ieu sareng meungpeukana. Ieu tiasa diimplementasikeun nganggo skrip biasa dina OS. Linux, teu kedah masang AnyDesk di dieu. Analisis nunjukkeun yén alamat IP ieu seringmeuntas"Kalayan anu kapanggih tina daptar urang. Panginten éta ngan host ieu anu programna nyambungkeun sateuacan ngamimitian "nyortir" IP anu dikenal. program sorangan henteu dipasang dina jaringan luar gabung sacara umum.

Abdi ngarepkeun anjeun henteu ningali nanaon anu haram di luhur, sareng panyipta AnyDesk bakal ngarawat lampah kuring sacara sportif.

sumber: www.habr.com