Nalika hiji dinten bos naroskeun patarosan: "Naha sababaraha urang gaduh aksés jauh kana komputer kerja, tanpa kéngingkeun idin tambahan pikeun dianggo?"
Tugas timbul pikeun "nutup" loophole nu.
Aya seueur aplikasi pikeun kadali jauh dina jaringan: desktop jauh Chrome, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control, jsb. ti jaringan sareng pangguna "ngagiling huntu" dina hiji cara atanapi anu sanés "caang" sareng admin, teras karesep seueur pikeun panggunaan pribadi - AnyDesk masih peryogi perhatian khusus, khususna upami bos nyarios "Henteu!"
Upami anjeun terang naon anu ngahalangan pakét jaringan ku eusina sareng anjeun sugema ku éta, maka bahan sésana
teu dihaja kanggo Anjeun.
Nyobian balik ti sabalikna, kanyataanna Éta nyarioskeun naon anu kedah diidinan pikeun program éta jalan; sasuai, catetan DNS diblokir *.net.anydesk.com. Tapi AnyDesk henteu saderhana; éta henteu paduli ngeunaan ngahalangan nami domain.
Sakali kana waktosna, kuring ngarengsekeun masalah blocking "Anyplace Control", anu sumping ka kami kalayan sababaraha parangkat lunak anu diragukeun, sareng éta direngsekeun ku ngahalangan ngan sababaraha IP (kuring nyadangkeun antipirus). Masalah sareng AnyDesk, saatos kuring ngumpulkeun sacara manual langkung ti belasan alamat IP, eged kuring on meunang jauh ti kuli manual rutin.
Kapanggih ogé yén dina "C: ProgramDataAnyDesk" aya sababaraha file sareng setélan, jsb., sareng dina file. ad_svc.trace Kajadian ngeunaan sambungan sareng gagalna dikumpulkeun.
1. Observasi
Sakumaha anu parantos disebatkeun, ngahalangan *.anydesk.com henteu masihan hasil dina operasi program, éta mutuskeun pikeun nganalisis kabiasaan program dina situasi stres. TCPView ti Sysinternals dina panangan anjeun sareng angkat!
1.1. Éta tiasa katingali yén sababaraha prosés anu dipikaresep ku urang "ngagantung", sareng ngan ukur hiji anu komunikasi sareng alamat ti luar anu dipikaresep ku urang. Palabuhan anu nyambungkeunna dipilih, tina anu kuring tingali: 80, 443, 6568. 🙂 Urang pasti moal tiasa meungpeuk 80 sareng 443.
1.2. Saatos blocking alamat ngaliwatan router, alamat sejen quietly dipilih.
1.3. Konsol nyaéta GALUH urang! Kami nangtukeun PID teras kuring rada untung yén AnyDesk dipasang ku jasa éta, janten PID anu kami milarian mangrupikeun hiji-hijina.
1.4. Kami nangtukeun alamat IP tina server jasa tina prosés PID.
2. Persiapan
Kusabab program pikeun ngaidentipikasi alamat IP sigana ngan ukur tiasa dianggo dina PC kuring, kuring henteu ngagaduhan larangan dina genah sareng kedul, janten C #.
2.1. Sadaya metode pikeun ngaidentipikasi alamat IP anu diperyogikeun parantos dipikanyaho, tetep dilaksanakeun.
string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//переводим ответ в массив
pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}Nya kitu, urang manggihan layanan nu ngadegkeun sambungan, abdi bakal masihan ukur garis utama
p.StartInfo.Arguments = "/c " netstat -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";Hasilna bakal kieu:
Tina barisan, sami sareng léngkah sateuacana, nimba kolom ka-3 sareng cabut sadayana saatos ":". Hasilna, urang gaduh IP anu dipikahoyong.
2.2. Pameungpeuk IP dina Windows. Upami Linux ngagaduhan Blackhole sareng iptables, maka metode meungpeuk alamat IP dina hiji jalur, tanpa nganggo firewall, dina Windows tétéla teu biasa,
tapi alat naon anu aya...
route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -pParameter konci "lamun 1"Kirimkeun rute ka Loopback (Anjeun tiasa ningalikeun antarmuka anu sayogi ku jalan nyitak rute). JEUNG PENTING! Ayeuna programna kedah diluncurkeun. kalawan hak administrator, saprak ngarobah jalur merlukeun élévasi.
2.3. Mintonkeun sareng nyimpen alamat IP anu diidentifikasi mangrupikeun tugas anu sepele sareng henteu peryogi katerangan. Upami anjeun mikirkeun éta, anjeun tiasa ngolah file ad_svc.trace AnyDesk sorangan, tapi kuring henteu langsung mikir ngeunaan éta + panginten aya watesanana.
2.4. Paripolah henteu rata aneh tina program nyaéta nalika "taskkilling" prosés jasa dina Windows 10, éta otomatis dibalikan deui, dina Windows 8 éta mungkas, ngan ukur nyésakeun prosés konsol sareng tanpa nyambungkeun deui, sacara umum éta henteu logis sareng ieu henteu akurat.
Nyoplokkeun prosés nu geus disambungkeun ka server ngidinan Anjeun pikeun "maksa" reconnection ka alamat salajengna. Éta dilaksanakeun dina cara anu sami sareng paréntah sateuacana, janten kuring ngan ukur masihan:
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";Salaku tambahan, peluncuran program AnyDesk.
//запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5. Urang bakal pariksa status AnyDesk sakali menit (atawa leuwih mindeng?), Jeung lamun disambungkeun, i.e. sambungan DIBUAT - meungpeuk IP ieu, jeung deui sakuliah deui - antosan nepika nyambung, blok na antosan.
3. Serangan
Kodena "digambar" sareng diputuskeun pikeun ngabayangkeun prosésna "+"tunjukkeun IP anu kapanggih sareng diblokir, sareng"."-Malikan deui cek tanpa sambungan tatangga anu suksés ti AnyDesk.
→
Salaku hasilna…
Program ieu digarap sababaraha komputer sareng OS Windows anu béda, kalayan versi AnyDesk 5 sareng 6. Langkung ti 500 iterasi, kira-kira 80 alamat dikumpulkeun. Pikeun 2500 - 87 sareng saterasna ...
Lila-lila, jumlah IP anu diblokir ngahontal 100+.
Link ka final file téks kalayan alamat: и
Geus rengse! Kolam renang alamat IP ieu ditambahkeun kana aturan router utama ngaliwatan naskah jeung AnyDesk saukur teu bisa nyieun sambungan éksternal.
Aya titik aneh, ti log awal jelas yén alamat téh kalibet dina mindahkeun informasi boot-01.net.anydesk.com. Tangtosna, urang meungpeuk sadayana *.net.anydesk.com host salaku aturan umum, tapi éta sanés hal anu anéh. Unggal waktos nganggo ping normal tina komputer anu béda, nami domain ieu masihan IP anu béda. Pariksa dina Linux:
host boot-01.net.anydesk.com
kawas DNSLookup aranjeunna masihan ngan hiji alamat IP, tapi alamat ieu variabel. Nalika nganalisa sambungan TCPView, kami dipulangkeun rékaman PTR ngeunaan alamat IP tina jinis éta relay-*.net.anydesk.com.
Sacara téoritis: saprak ping kadang-kadang angkat ka host anu teu diblokir anu teu dipikanyaho boot-01.net.anydesk.com urang tiasa mendakan ips ieu sareng meungpeuk aranjeunna, ngajantenkeun palaksanaan ieu naskah biasa dina Linux OS, di dieu henteu kedah pasang AnyDesk. Analisis nunjukkeun yén IP ieu sering "meuntas"Kalayan anu kapanggih tina daptar urang. Panginten éta ngan host ieu anu programna nyambungkeun sateuacan ngamimitian "nyortir" IP anu dikenal. program sorangan henteu dipasang dina jaringan luar gabung sacara umum.
Abdi ngarepkeun anjeun henteu ningali nanaon anu haram di luhur, sareng panyipta AnyDesk bakal ngarawat lampah kuring sacara sportif.
sumber: www.habr.com