వైరస్ విశ్లేషకులు మరియు కంప్యూటర్ భద్రతా పరిశోధకులు వీలైనంత ఎక్కువ కొత్త బోట్‌నెట్‌ల నమూనాలను సేకరించేందుకు పోటీ పడుతున్నారు. వారు తమ సొంత ప్రయోజనాల కోసం హనీపాట్‌లను ఉపయోగిస్తారు... అయితే మీరు వాస్తవ పరిస్థితులలో మాల్‌వేర్‌ను గమనించాలనుకుంటే? మీ సర్వర్ లేదా రూటర్‌ను ప్రమాదంలో ఉంచాలా? తగిన పరికరం లేకపోతే ఏమి చేయాలి? బోట్‌నెట్ నోడ్‌లకు ప్రాప్యతను పొందే సాధనం అయిన భుంటర్‌ని సృష్టించడానికి ఈ ప్రశ్నలే నన్ను ప్రేరేపించాయి.

ప్రధానమైన ఆలోచన

బోట్‌నెట్‌లను విస్తరించడానికి మాల్వేర్‌ను వ్యాప్తి చేయడానికి అనేక మార్గాలు ఉన్నాయి: ఫిషింగ్ నుండి 0-రోజుల దుర్బలత్వాలను ఉపయోగించడం వరకు. కానీ అత్యంత సాధారణ పద్ధతి ఇప్పటికీ SSH పాస్‌వర్డ్‌లను బ్రూట్-ఫోర్స్ చేయడం.

ఆలోచన చాలా సులభం. కొన్ని బోట్‌నెట్ నోడ్ మీ సర్వర్ కోసం బ్రూట్-ఫోర్స్ పాస్‌వర్డ్‌లను ప్రయత్నించినట్లయితే, చాలా మటుకు ఈ నోడ్ కూడా బ్రూట్-ఫోర్స్సింగ్ సాధారణ పాస్‌వర్డ్‌ల ద్వారా సంగ్రహించబడుతుంది. దీనర్థం దీనికి ప్రాప్యత పొందడానికి, మీరు పరస్పరం చెల్లించవలసి ఉంటుంది.

భంటర్ సరిగ్గా ఇలాగే పనిచేస్తుంది. పోర్ట్ 22 (SSH సేవ)ని వింటుంది మరియు వారు దానికి కనెక్ట్ చేయడానికి ప్రయత్నించే అన్ని లాగిన్‌లు మరియు పాస్‌వర్డ్‌లను సేకరిస్తుంది. అప్పుడు, సేకరించిన పాస్‌వర్డ్‌లను ఉపయోగించి, ఇది దాడి చేసే నోడ్‌లకు కనెక్ట్ చేయడానికి ప్రయత్నిస్తుంది.

పని అల్గోరిథం

ప్రోగ్రామ్‌ను 2 ప్రధాన భాగాలుగా విభజించవచ్చు, ఇవి ప్రత్యేక థ్రెడ్‌లలో పనిచేస్తాయి. మొదటిది హనీపాట్. లాగిన్ ప్రయత్నాలను ప్రాసెస్ చేస్తుంది, ప్రత్యేకమైన లాగిన్‌లు మరియు పాస్‌వర్డ్‌లను సేకరిస్తుంది (ఈ సందర్భంలో, లాగిన్ + పాస్‌వర్డ్ జత ఒకే మొత్తంగా పరిగణించబడుతుంది), మరియు తదుపరి దాడి కోసం క్యూకి కనెక్ట్ చేయడానికి ప్రయత్నించిన IP చిరునామాలను కూడా జోడిస్తుంది.

రెండవ భాగం దాడికి నేరుగా బాధ్యత వహిస్తుంది. అంతేకాకుండా, దాడి రెండు మోడ్‌లలో జరుగుతుంది: BurstAttack (బర్స్ట్ అటాక్) - సాధారణ జాబితా నుండి బ్రూట్ ఫోర్స్ లాగిన్‌లు మరియు పాస్‌వర్డ్‌లు మరియు SingleShotAttack (సింగిల్ షాట్ అటాక్) - దాడి చేయబడిన నోడ్ ద్వారా ఉపయోగించబడిన బ్రూట్ ఫోర్స్ పాస్‌వర్డ్‌లు, కానీ ఇంకా ఉపయోగించబడలేదు. సాధారణ జాబితాకు జోడించబడింది.

ప్రారంభించిన వెంటనే లాగిన్‌లు మరియు పాస్‌వర్డ్‌ల యొక్క కనీసం కొంత డేటాబేస్ కలిగి ఉండటానికి, భుంటర్ ఫైల్ /etc/bhunter/defaultLoginPairs నుండి జాబితాతో ప్రారంభించబడుతుంది.

ఇంటర్ఫేస్

బంటర్‌ను ప్రారంభించేందుకు అనేక మార్గాలు ఉన్నాయి:

కేవలం ఒక జట్టుగా

sudo bhunter

ఈ ప్రయోగంతో, భంటర్‌ను దాని టెక్స్ట్ మెను ద్వారా నియంత్రించడం సాధ్యమవుతుంది: దాడి కోసం లాగిన్‌లు మరియు పాస్‌వర్డ్‌లను జోడించండి, లాగిన్‌లు మరియు పాస్‌వర్డ్‌ల డేటాబేస్‌ను ఎగుమతి చేయండి, దాడికి లక్ష్యాన్ని పేర్కొనండి. హ్యాక్ చేయబడిన అన్ని నోడ్‌లను ఫైల్ /var/log/bhunter/hacked.logలో చూడవచ్చు

tmux ఉపయోగించి

sudo bhunter-ts # команда запуска bhunter через tmux  
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter

Tmux టెర్మినల్ మల్టీప్లెక్సర్, ఇది చాలా అనుకూలమైన సాధనం. ఒక టెర్మినల్‌లో అనేక విండోలను సృష్టించడానికి మరియు విండోలను ప్యానెల్‌లుగా విభజించడానికి మిమ్మల్ని అనుమతిస్తుంది. దీన్ని ఉపయోగించి, మీరు టెర్మినల్ నుండి నిష్క్రమించవచ్చు మరియు నడుస్తున్న ప్రక్రియలకు అంతరాయం కలగకుండా లాగిన్ అవ్వవచ్చు.

bhunter-ts స్క్రిప్ట్ tmux సెషన్‌ను సృష్టిస్తుంది మరియు విండోను మూడు ప్యానెల్‌లుగా విభజిస్తుంది. మొదటిది, అతిపెద్దది, టెక్స్ట్ మెనుని కలిగి ఉంది. ఎగువ కుడి వైపున హనీపాట్ లాగ్‌లు ఉన్నాయి, ఇక్కడ మీరు హనీపాట్‌లోకి లాగిన్ చేయడానికి చేసిన ప్రయత్నాల గురించి సందేశాలను చూడవచ్చు. దిగువ కుడి పానెల్ బోట్‌నెట్ నోడ్‌లపై దాడి పురోగతి మరియు విజయవంతమైన హ్యాక్‌ల గురించి సమాచారాన్ని ప్రదర్శిస్తుంది.

మొదటిదాని కంటే ఈ పద్ధతి యొక్క ప్రయోజనం ఏమిటంటే, మేము టెర్మినల్‌ను సురక్షితంగా మూసివేసి, భుంటర్ దాని పనిని ఆపకుండా తర్వాత దానికి తిరిగి రావచ్చు. tmux గురించి పెద్దగా పరిచయం లేని వారికి, నేను సూచిస్తున్నాను ఈ చీట్ షీట్.

సేవగా

systemctl enable bhunter
systemctl start bhunter

ఈ సందర్భంలో, మేము సిస్టమ్ ప్రారంభంలో బంటర్ ఆటోస్టార్ట్‌ని ప్రారంభిస్తాము. ఈ పద్ధతిలో, భుంటర్‌తో పరస్పర చర్య అందించబడదు మరియు హ్యాక్ చేయబడిన నోడ్‌ల జాబితాను /var/log/bhunter/hacked.log నుండి పొందవచ్చు

ప్రభావం

భుంటర్‌లో పని చేస్తున్నప్పుడు, నేను పూర్తిగా భిన్నమైన పరికరాలను కనుగొని యాక్సెస్‌ను పొందగలిగాను: రాస్ప్బెర్రీ పై, రౌటర్లు (ముఖ్యంగా మైక్రోటిక్), వెబ్ సర్వర్లు మరియు ఒకప్పుడు మైనింగ్ ఫామ్ (దురదృష్టవశాత్తు, దీనికి ప్రాప్యత పగటిపూట ఉంది, కాబట్టి ఆసక్తికరమైనది లేదు. కథ). ప్రోగ్రామ్ యొక్క స్క్రీన్ షాట్ ఇక్కడ ఉంది, ఇది చాలా రోజుల పని తర్వాత హ్యాక్ చేయబడిన నోడ్‌ల జాబితాను చూపుతుంది:

దురదృష్టవశాత్తూ, ఈ సాధనం యొక్క ప్రభావం నా అంచనాలను చేరుకోలేదు: భుంటర్ నోడ్‌లకు పాస్‌వర్డ్‌లను చాలా రోజులు విజయవంతం చేయకుండా ప్రయత్నించవచ్చు మరియు కొన్ని గంటల్లో అనేక లక్ష్యాలను హ్యాక్ చేయవచ్చు. కానీ కొత్త బోట్‌నెట్ నమూనాల సాధారణ ప్రవాహానికి ఇది సరిపోతుంది.

ప్రభావం అటువంటి పారామితుల ద్వారా ప్రభావితమవుతుంది: బంటర్‌తో సర్వర్ ఉన్న దేశం, హోస్టింగ్ మరియు IP చిరునామా కేటాయించబడిన పరిధి. నా అనుభవంలో, నేను ఒక హోస్టర్ నుండి రెండు వర్చువల్ సర్వర్‌లను అద్దెకు తీసుకున్నప్పుడు ఒక సందర్భం ఉంది మరియు వాటిలో ఒకటి బోట్‌నెట్‌లచే 2 రెట్లు ఎక్కువగా దాడి చేయబడింది.

నేను ఇంకా పరిష్కరించని బగ్‌లు

సోకిన హోస్ట్‌లపై దాడి చేసినప్పుడు, కొన్ని సందర్భాల్లో పాస్‌వర్డ్ సరైనదా కాదా అని నిస్సందేహంగా గుర్తించడం సాధ్యం కాదు. అటువంటి సందర్భాలు /var/log/debug.log ఫైల్‌లో లాగిన్ చేయబడ్డాయి.

SSHతో పని చేయడానికి ఉపయోగించే Paramiko మాడ్యూల్, కొన్నిసార్లు తప్పుగా ప్రవర్తిస్తుంది: దానికి కనెక్ట్ చేయడానికి ప్రయత్నించినప్పుడు హోస్ట్ నుండి ప్రతిస్పందన కోసం ఇది అనంతంగా వేచి ఉంటుంది. నేను టైమర్‌లతో ప్రయోగాలు చేసాను, కానీ ఆశించిన ఫలితం రాలేదు

ఇంకా ఏమి పని చేయాలి?

సేవ పేరు

RFC-4253 ప్రకారం, క్లయింట్ మరియు సర్వర్ ఇన్‌స్టాలేషన్‌కు ముందు SSH ప్రోటోకాల్‌ను అమలు చేసే సేవల పేర్లను మార్పిడి చేసుకుంటాయి. ఈ పేరు "SERVICE NAME" ఫీల్డ్‌లో ఉంది, ఇది క్లయింట్ వైపు నుండి వచ్చిన అభ్యర్థనలో మరియు సర్వర్ వైపు నుండి వచ్చిన ప్రతిస్పందనలో ఉంది. ఫీల్డ్ ఒక స్ట్రింగ్ మరియు దాని విలువను వైర్‌షార్క్ లేదా nmap ఉపయోగించి కనుగొనవచ్చు. OpenSSH కోసం ఇక్కడ ఒక ఉదాహరణ:

$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT   STATE SERVICE VERSION
22/tcp open  ssh     <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

అయితే, Paramiko విషయంలో, ఈ ఫీల్డ్ “Paramiko Python sshd 2.4.2” వంటి స్ట్రింగ్‌ను కలిగి ఉంది, ఇది ట్రాప్‌లను “నివారించడానికి” రూపొందించబడిన బోట్‌నెట్‌లను భయపెట్టగలదు. అందువల్ల, ఈ పంక్తిని మరింత తటస్థంగా మార్చడం అవసరమని నేను భావిస్తున్నాను.

ఇతర వెక్టర్స్

రిమోట్ నిర్వహణకు SSH మాత్రమే సాధనం కాదు. టెల్‌నెట్, ఆర్‌డిపి కూడా ఉంది. వాటిని నిశితంగా పరిశీలించడం విలువ.

పొడిగింపు

వివిధ దేశాలలో అనేక ట్రాప్‌లను కలిగి ఉండటం మరియు వాటి నుండి లాగిన్‌లు, పాస్‌వర్డ్‌లు మరియు హ్యాక్ చేయబడిన నోడ్‌లను ఒక సాధారణ డేటాబేస్‌లోకి కేంద్రంగా సేకరించడం చాలా బాగుంది.

నేను ఎక్కడ డౌన్‌లోడ్ చేయగలను?

వ్రాసే సమయంలో, పరీక్ష వెర్షన్ మాత్రమే సిద్ధంగా ఉంది, దాని నుండి డౌన్‌లోడ్ చేసుకోవచ్చు గితుబ్‌లో రిపోజిటరీ.

మూలం: www.habr.com