వైరస్ విశ్లేషకులు మరియు కంప్యూటర్ భద్రతా పరిశోధకులు వీలైనంత ఎక్కువ కొత్త బోట్నెట్ల నమూనాలను సేకరించేందుకు పోటీ పడుతున్నారు. వారు తమ సొంత ప్రయోజనాల కోసం హనీపాట్లను ఉపయోగిస్తారు... అయితే మీరు వాస్తవ పరిస్థితులలో మాల్వేర్ను గమనించాలనుకుంటే? మీ సర్వర్ లేదా రూటర్ను ప్రమాదంలో ఉంచాలా? తగిన పరికరం లేకపోతే ఏమి చేయాలి? బోట్నెట్ నోడ్లకు ప్రాప్యతను పొందే సాధనం అయిన భుంటర్ని సృష్టించడానికి ఈ ప్రశ్నలే నన్ను ప్రేరేపించాయి.
ప్రధానమైన ఆలోచన
బోట్నెట్లను విస్తరించడానికి మాల్వేర్ను వ్యాప్తి చేయడానికి అనేక మార్గాలు ఉన్నాయి: ఫిషింగ్ నుండి 0-రోజుల దుర్బలత్వాలను ఉపయోగించడం వరకు. కానీ అత్యంత సాధారణ పద్ధతి ఇప్పటికీ SSH పాస్వర్డ్లను బ్రూట్-ఫోర్స్ చేయడం.
ఆలోచన చాలా సులభం. కొన్ని బోట్నెట్ నోడ్ మీ సర్వర్ కోసం బ్రూట్-ఫోర్స్ పాస్వర్డ్లను ప్రయత్నించినట్లయితే, చాలా మటుకు ఈ నోడ్ కూడా బ్రూట్-ఫోర్స్సింగ్ సాధారణ పాస్వర్డ్ల ద్వారా సంగ్రహించబడుతుంది. దీనర్థం దీనికి ప్రాప్యత పొందడానికి, మీరు పరస్పరం చెల్లించవలసి ఉంటుంది.
భంటర్ సరిగ్గా ఇలాగే పనిచేస్తుంది. పోర్ట్ 22 (SSH సేవ)ని వింటుంది మరియు వారు దానికి కనెక్ట్ చేయడానికి ప్రయత్నించే అన్ని లాగిన్లు మరియు పాస్వర్డ్లను సేకరిస్తుంది. అప్పుడు, సేకరించిన పాస్వర్డ్లను ఉపయోగించి, ఇది దాడి చేసే నోడ్లకు కనెక్ట్ చేయడానికి ప్రయత్నిస్తుంది.
పని అల్గోరిథం
ప్రోగ్రామ్ను 2 ప్రధాన భాగాలుగా విభజించవచ్చు, ఇవి ప్రత్యేక థ్రెడ్లలో పనిచేస్తాయి. మొదటిది హనీపాట్. లాగిన్ ప్రయత్నాలను ప్రాసెస్ చేస్తుంది, ప్రత్యేకమైన లాగిన్లు మరియు పాస్వర్డ్లను సేకరిస్తుంది (ఈ సందర్భంలో, లాగిన్ + పాస్వర్డ్ జత ఒకే మొత్తంగా పరిగణించబడుతుంది), మరియు తదుపరి దాడి కోసం క్యూకి కనెక్ట్ చేయడానికి ప్రయత్నించిన IP చిరునామాలను కూడా జోడిస్తుంది.
రెండవ భాగం దాడికి నేరుగా బాధ్యత వహిస్తుంది. అంతేకాకుండా, దాడి రెండు మోడ్లలో జరుగుతుంది: BurstAttack (బర్స్ట్ అటాక్) - సాధారణ జాబితా నుండి బ్రూట్ ఫోర్స్ లాగిన్లు మరియు పాస్వర్డ్లు మరియు SingleShotAttack (సింగిల్ షాట్ అటాక్) - దాడి చేయబడిన నోడ్ ద్వారా ఉపయోగించబడిన బ్రూట్ ఫోర్స్ పాస్వర్డ్లు, కానీ ఇంకా ఉపయోగించబడలేదు. సాధారణ జాబితాకు జోడించబడింది.
ప్రారంభించిన వెంటనే లాగిన్లు మరియు పాస్వర్డ్ల యొక్క కనీసం కొంత డేటాబేస్ కలిగి ఉండటానికి, భుంటర్ ఫైల్ /etc/bhunter/defaultLoginPairs నుండి జాబితాతో ప్రారంభించబడుతుంది.
ఇంటర్ఫేస్
బంటర్ను ప్రారంభించేందుకు అనేక మార్గాలు ఉన్నాయి:
కేవలం ఒక జట్టుగా
sudo bhunter
ఈ ప్రయోగంతో, భంటర్ను దాని టెక్స్ట్ మెను ద్వారా నియంత్రించడం సాధ్యమవుతుంది: దాడి కోసం లాగిన్లు మరియు పాస్వర్డ్లను జోడించండి, లాగిన్లు మరియు పాస్వర్డ్ల డేటాబేస్ను ఎగుమతి చేయండి, దాడికి లక్ష్యాన్ని పేర్కొనండి. హ్యాక్ చేయబడిన అన్ని నోడ్లను ఫైల్ /var/log/bhunter/hacked.logలో చూడవచ్చు
tmux ఉపయోగించి
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Tmux టెర్మినల్ మల్టీప్లెక్సర్, ఇది చాలా అనుకూలమైన సాధనం. ఒక టెర్మినల్లో అనేక విండోలను సృష్టించడానికి మరియు విండోలను ప్యానెల్లుగా విభజించడానికి మిమ్మల్ని అనుమతిస్తుంది. దీన్ని ఉపయోగించి, మీరు టెర్మినల్ నుండి నిష్క్రమించవచ్చు మరియు నడుస్తున్న ప్రక్రియలకు అంతరాయం కలగకుండా లాగిన్ అవ్వవచ్చు.
bhunter-ts స్క్రిప్ట్ tmux సెషన్ను సృష్టిస్తుంది మరియు విండోను మూడు ప్యానెల్లుగా విభజిస్తుంది. మొదటిది, అతిపెద్దది, టెక్స్ట్ మెనుని కలిగి ఉంది. ఎగువ కుడి వైపున హనీపాట్ లాగ్లు ఉన్నాయి, ఇక్కడ మీరు హనీపాట్లోకి లాగిన్ చేయడానికి చేసిన ప్రయత్నాల గురించి సందేశాలను చూడవచ్చు. దిగువ కుడి పానెల్ బోట్నెట్ నోడ్లపై దాడి పురోగతి మరియు విజయవంతమైన హ్యాక్ల గురించి సమాచారాన్ని ప్రదర్శిస్తుంది.
మొదటిదాని కంటే ఈ పద్ధతి యొక్క ప్రయోజనం ఏమిటంటే, మేము టెర్మినల్ను సురక్షితంగా మూసివేసి, భుంటర్ దాని పనిని ఆపకుండా తర్వాత దానికి తిరిగి రావచ్చు. tmux గురించి పెద్దగా పరిచయం లేని వారికి, నేను సూచిస్తున్నాను
సేవగా
systemctl enable bhunter
systemctl start bhunter
ఈ సందర్భంలో, మేము సిస్టమ్ ప్రారంభంలో బంటర్ ఆటోస్టార్ట్ని ప్రారంభిస్తాము. ఈ పద్ధతిలో, భుంటర్తో పరస్పర చర్య అందించబడదు మరియు హ్యాక్ చేయబడిన నోడ్ల జాబితాను /var/log/bhunter/hacked.log నుండి పొందవచ్చు
ప్రభావం
భుంటర్లో పని చేస్తున్నప్పుడు, నేను పూర్తిగా భిన్నమైన పరికరాలను కనుగొని యాక్సెస్ను పొందగలిగాను: రాస్ప్బెర్రీ పై, రౌటర్లు (ముఖ్యంగా మైక్రోటిక్), వెబ్ సర్వర్లు మరియు ఒకప్పుడు మైనింగ్ ఫామ్ (దురదృష్టవశాత్తు, దీనికి ప్రాప్యత పగటిపూట ఉంది, కాబట్టి ఆసక్తికరమైనది లేదు. కథ). ప్రోగ్రామ్ యొక్క స్క్రీన్ షాట్ ఇక్కడ ఉంది, ఇది చాలా రోజుల పని తర్వాత హ్యాక్ చేయబడిన నోడ్ల జాబితాను చూపుతుంది:
దురదృష్టవశాత్తూ, ఈ సాధనం యొక్క ప్రభావం నా అంచనాలను చేరుకోలేదు: భుంటర్ నోడ్లకు పాస్వర్డ్లను చాలా రోజులు విజయవంతం చేయకుండా ప్రయత్నించవచ్చు మరియు కొన్ని గంటల్లో అనేక లక్ష్యాలను హ్యాక్ చేయవచ్చు. కానీ కొత్త బోట్నెట్ నమూనాల సాధారణ ప్రవాహానికి ఇది సరిపోతుంది.
ప్రభావం అటువంటి పారామితుల ద్వారా ప్రభావితమవుతుంది: బంటర్తో సర్వర్ ఉన్న దేశం, హోస్టింగ్ మరియు IP చిరునామా కేటాయించబడిన పరిధి. నా అనుభవంలో, నేను ఒక హోస్టర్ నుండి రెండు వర్చువల్ సర్వర్లను అద్దెకు తీసుకున్నప్పుడు ఒక సందర్భం ఉంది మరియు వాటిలో ఒకటి బోట్నెట్లచే 2 రెట్లు ఎక్కువగా దాడి చేయబడింది.
నేను ఇంకా పరిష్కరించని బగ్లు
సోకిన హోస్ట్లపై దాడి చేసినప్పుడు, కొన్ని సందర్భాల్లో పాస్వర్డ్ సరైనదా కాదా అని నిస్సందేహంగా గుర్తించడం సాధ్యం కాదు. అటువంటి సందర్భాలు /var/log/debug.log ఫైల్లో లాగిన్ చేయబడ్డాయి.
SSHతో పని చేయడానికి ఉపయోగించే Paramiko మాడ్యూల్, కొన్నిసార్లు తప్పుగా ప్రవర్తిస్తుంది: దానికి కనెక్ట్ చేయడానికి ప్రయత్నించినప్పుడు హోస్ట్ నుండి ప్రతిస్పందన కోసం ఇది అనంతంగా వేచి ఉంటుంది. నేను టైమర్లతో ప్రయోగాలు చేసాను, కానీ ఆశించిన ఫలితం రాలేదు
ఇంకా ఏమి పని చేయాలి?
సేవ పేరు
RFC-4253 ప్రకారం, క్లయింట్ మరియు సర్వర్ ఇన్స్టాలేషన్కు ముందు SSH ప్రోటోకాల్ను అమలు చేసే సేవల పేర్లను మార్పిడి చేసుకుంటాయి. ఈ పేరు "SERVICE NAME" ఫీల్డ్లో ఉంది, ఇది క్లయింట్ వైపు నుండి వచ్చిన అభ్యర్థనలో మరియు సర్వర్ వైపు నుండి వచ్చిన ప్రతిస్పందనలో ఉంది. ఫీల్డ్ ఒక స్ట్రింగ్ మరియు దాని విలువను వైర్షార్క్ లేదా nmap ఉపయోగించి కనుగొనవచ్చు. OpenSSH కోసం ఇక్కడ ఒక ఉదాహరణ:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
అయితే, Paramiko విషయంలో, ఈ ఫీల్డ్ “Paramiko Python sshd 2.4.2” వంటి స్ట్రింగ్ను కలిగి ఉంది, ఇది ట్రాప్లను “నివారించడానికి” రూపొందించబడిన బోట్నెట్లను భయపెట్టగలదు. అందువల్ల, ఈ పంక్తిని మరింత తటస్థంగా మార్చడం అవసరమని నేను భావిస్తున్నాను.
ఇతర వెక్టర్స్
రిమోట్ నిర్వహణకు SSH మాత్రమే సాధనం కాదు. టెల్నెట్, ఆర్డిపి కూడా ఉంది. వాటిని నిశితంగా పరిశీలించడం విలువ.
పొడిగింపు
వివిధ దేశాలలో అనేక ట్రాప్లను కలిగి ఉండటం మరియు వాటి నుండి లాగిన్లు, పాస్వర్డ్లు మరియు హ్యాక్ చేయబడిన నోడ్లను ఒక సాధారణ డేటాబేస్లోకి కేంద్రంగా సేకరించడం చాలా బాగుంది.
నేను ఎక్కడ డౌన్లోడ్ చేయగలను?
వ్రాసే సమయంలో, పరీక్ష వెర్షన్ మాత్రమే సిద్ధంగా ఉంది, దాని నుండి డౌన్లోడ్ చేసుకోవచ్చు
మూలం: www.habr.com