Analis virus sareng panaliti kaamanan komputer balap pikeun ngumpulkeun saloba conto botnet énggal. Aranjeunna nganggo honeypots pikeun tujuan sorangan ... Tapi kumaha upami anjeun hoyong niténan malware dina kaayaan nyata? Nempatkeun server anjeun atanapi router dina resiko? Kumaha upami teu aya alat anu cocog? Patarosan ieu anu nyababkeun kuring nyiptakeun bhunter, alat pikeun kéngingkeun aksés kana titik botnet.
gagasan sentral
Aya loba cara pikeun nyebarkeun malware rék dilegakeun botnets: ti phishing mun exploiting vulnerabilities 0 poé. Tapi metodeu anu paling umum nyaéta kecap konci SSH anu maksa.
Idena basajan pisan. Upami sababaraha titik botnet nyobian maksakeun kecap konci pikeun server anjeun, maka paling dipikaresep titik ieu sorangan direbut ku kecap konci anu maksa anu sederhana. Ieu ngandung harti yén pikeun meunangkeun aksés ka eta, Anjeun ngan perlu ngabales.
Ieu persis kumaha bhunter jalan. Ngadangukeun port 22 (layanan SSH) sareng ngumpulkeun sadaya login sareng kecap akses anu aranjeunna nyobian nyambung ka éta. Teras, nganggo kecap konci anu dikumpulkeun, éta nyobian nyambung ka titik anu nyerang.
Algoritma damel
Programna tiasa dibagi kana 2 bagian utama, anu dianggo dina benang anu misah. Anu kahiji nyaéta honeypot. Ngolah usaha login, ngumpulkeun logins unik sareng kecap akses (dina hal ieu, pasangan login + sandi dianggap salaku sakabeh tunggal), sarta ogé nambahkeun alamat IP nu nyoba nyambung ka antrian pikeun serangan salajengna.
Bagian kadua tanggung jawab langsung pikeun serangan. Leuwih ti éta, serangan dilaksanakeun dina dua modeu: BurstAttack (serangan burst) - brute force logins sareng kecap akses tina daptar umum sareng SingleShotAttack (single shot attack) - brute force passwords anu dianggo ku titik anu diserang, tapi henteu acan aya. ditambahkeun kana daptar umum.
Dina raraga mibanda sahenteuna sababaraha database logins sareng kecap akses langsung saatos peluncuran, bhunter ieu initialized kalawan daptar tina file /etc/bhunter/defaultLoginPairs.
interface
Aya sababaraha cara pikeun ngajalankeun bhunter:
Ngan salaku tim
sudo bhunter
Kalayan peluncuran ieu, anjeun tiasa ngontrol bhunter ngalangkungan ménu téks na: tambahkeun login sareng kecap akses pikeun serangan, ékspor database login sareng kecap akses, nangtukeun target serangan. Kabéh titik hacked bisa ditempo dina file /var/log/bhunter/hacked.log
Ngagunakeun tmux
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Tmux mangrupakeun terminal multiplexer, alat pohara merenah. Ngidinan anjeun nyiptakeun sababaraha windows dina hiji terminal, sareng ngabagi windows kana panél. Ngagunakeun éta, anjeun tiasa kaluar tina terminal lajeng asup tanpa interrupting prosés ngajalankeun.
Skrip bhunter-ts nyiptakeun sési tmux sareng ngabagi jandela kana tilu panel. Anu kahiji, panggedéna, ngandung ménu téks. Katuhu luhur ngandung log honeypot, di dieu anjeun tiasa ningali pesen ngeunaan usaha asup kana honeypot. Panel katuhu handap nembongkeun informasi ngeunaan kamajuan serangan on titik botnet sarta ngeunaan hacks suksés.
Kauntungannana metoda ieu leuwih kahiji nyaeta urang bisa aman nutup terminal sarta balik deui ka dinya engké, tanpa bhunter stopping karya na. Pikeun maranéhanana anu saeutik wawuh jeung tmux, abdi nyarankeun
Salaku jasa
systemctl enable bhunter
systemctl start bhunter
Dina hal ieu, urang ngaktifkeun bhunter autostart dina ngamimitian sistem. Dina metoda ieu, interaksi jeung bhunter teu disadiakeun, sarta daptar titik hacked tiasa didapet tina /var/log/bhunter/hacked.log
éféktivitas
Nalika damel di bhunter, kuring tiasa mendakan sareng kéngingkeun aksés kana alat anu béda-béda: raspberry pi, routers (utamina mikrotik), server wéb, sareng sakali kebon pertambangan (hanjakalna, aksés ka éta siang, janten henteu aya anu pikaresepeun. carita). Ieu mangrupikeun potret layar program, anu nunjukkeun daptar titik anu diretas saatos sababaraha dinten damel:
Hanjakalna, efektivitas alat ieu henteu ngahontal ekspektasi kuring: bhunter tiasa nyobian kecap konci pikeun node salami sababaraha dinten tanpa hasil, sareng tiasa hack sababaraha target dina sababaraha jam. Tapi ieu cukup pikeun panyaluran biasa sampel botnet anyar.
Éféktivitasna dipangaruhan ku parameter sapertos: nagara dimana server sareng bhunter aya, hosting, sareng kisaran dimana alamat IP dialokasikeun. Dina pangalaman kuring, aya kasus nalika kuring nyéwa dua server virtual tina hiji hoster, sareng salah sahijina diserang ku botnet 2 kali langkung sering.
Bug anu teu acan dibereskeun
Nalika nyerang host anu kainféksi, dina sababaraha kaayaan teu mungkin pikeun sacara jelas nangtukeun naha kecap aksesna leres atanapi henteu. Kasus sapertos kitu dilebetkeun kana file /var/log/debug.log.
modul Paramiko, nu dipaké pikeun digawekeun ku SSH, kadang behaves leres: eta endlessly ngantosan respon ti host nalika nyoba nyambung ka dinya. Kuring experimented kalawan timers, tapi teu meunang hasil nu dipikahoyong
Naon deui anu kedah digarap?
Ngaran ladénan
Numutkeun kana RFC-4253, klien sareng server tukeur nami jasa anu ngalaksanakeun protokol SSH sateuacan dipasang. Ngaran ieu dikandung dina widang "SERVICE NAME", ngandung duanana dina pamundut ti sisi klien tur dina respon ti sisi server. Widangna mangrupikeun senar, sareng nilaina tiasa dipendakan nganggo wireshark atanapi nmap. Ieu conto pikeun OpenSSH:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
Sanajan kitu, dina kasus Paramiko, widang ieu ngandung string kawas "Paramiko Python sshd 2.4.2", nu bisa nyingsieunan kaluar botnets nu dirancang pikeun "nyingkahan" sarap. Ku alatan éta, Jigana perlu ngaganti garis ieu kalawan hal nu leuwih nétral.
Vektor séjén
SSH sanes hiji-hijina sarana manajemén jauh. Aya ogé telnet, rdp. Éta patut nyandak katingal ngadeukeutan di aranjeunna.
ngahadean
Éta hadé pikeun gaduh sababaraha perangkap di nagara-nagara anu béda-béda sareng ngumpulkeun pusat login, kecap akses sareng titik anu diretas tina aranjeunna kana pangkalan data umum.
Dimana kuring tiasa ngaunduh?
Dina waktos nyerat, ngan ukur versi tés anu siap, anu tiasa diunduh tina
sumber: www.habr.com