وائرس کے تجزیہ کار اور کمپیوٹر سیکیورٹی کے محققین نئے بوٹنیٹس کے زیادہ سے زیادہ نمونے جمع کرنے کی دوڑ میں لگے ہوئے ہیں۔ وہ اپنے مقاصد کے لیے ہنی پاٹس استعمال کرتے ہیں... لیکن اگر آپ حقیقی حالات میں مالویئر کا مشاہدہ کرنا چاہتے ہیں تو کیا ہوگا؟ اپنے سرور یا روٹر کو خطرے میں ڈالیں؟ اگر کوئی مناسب آلہ نہ ہو تو کیا ہوگا؟ یہ وہ سوالات تھے جنہوں نے مجھے بھونٹر بنانے کا اشارہ کیا، جو بوٹ نیٹ نوڈس تک رسائی حاصل کرنے کا ایک ٹول ہے۔
اہم خیال
بوٹنیٹس کو پھیلانے کے لیے میلویئر پھیلانے کے بہت سے طریقے ہیں: فشنگ سے لے کر 0 دن کی کمزوریوں کا استحصال کرنے تک۔ لیکن سب سے عام طریقہ اب بھی زبردستی SSH پاس ورڈز ہے۔
خیال بہت سادہ ہے۔ اگر کچھ بوٹ نیٹ نوڈ آپ کے سرور کے پاس ورڈز کو زبردستی کرنے کی کوشش کر رہا ہے، تو زیادہ تر امکان ہے کہ یہ نوڈ خود ہی سادہ پاس ورڈز کے ذریعے زبردستی پکڑا گیا ہو۔ اس کا مطلب ہے کہ اس تک رسائی حاصل کرنے کے لیے، آپ کو صرف بدلہ لینے کی ضرورت ہے۔
بھنٹر بالکل اسی طرح کام کرتا ہے۔ پورٹ 22 (SSH سروس) کو سنتا ہے اور تمام لاگ ان اور پاس ورڈ جمع کرتا ہے جس کے ساتھ وہ اس سے جڑنے کی کوشش کرتے ہیں۔ پھر، جمع کردہ پاس ورڈز کا استعمال کرتے ہوئے، یہ حملہ آور نوڈس سے جڑنے کی کوشش کرتا ہے۔
کام الگورتھم
پروگرام کو 2 اہم حصوں میں تقسیم کیا جا سکتا ہے، جو الگ الگ تھریڈز میں کام کرتے ہیں۔ پہلا شہد کا برتن ہے۔ لاگ ان کی کوششوں پر کارروائی کرتا ہے، منفرد لاگ ان اور پاس ورڈ جمع کرتا ہے (اس صورت میں، لاگ ان + پاس ورڈ کی جوڑی کو ایک مکمل سمجھا جاتا ہے)، اور ایسے IP پتے بھی شامل کرتا ہے جنہوں نے مزید حملے کے لیے قطار سے جڑنے کی کوشش کی۔
دوسرا حصہ براہ راست حملے کا ذمہ دار ہے۔ مزید یہ کہ حملہ دو طریقوں سے کیا جاتا ہے: برسٹ اٹیک (برسٹ اٹیک) - عام فہرست سے بروٹ فورس لاگ ان اور پاس ورڈز اور سنگل شاٹ اٹیک (سنگل شاٹ اٹیک) - بروٹ فورس پاس ورڈز جو حملہ آور نوڈ کے ذریعہ استعمال کیے گئے تھے، لیکن ابھی تک نہیں ہوئے ہیں۔ عام فہرست میں شامل کیا گیا۔
لانچ کے فوراً بعد لاگ ان اور پاس ورڈ کا کم از کم کچھ ڈیٹا بیس رکھنے کے لیے، بھونٹر کو فائل /etc/bhunter/defaultLoginPairs سے ایک فہرست کے ساتھ شروع کیا جاتا ہے۔
انٹرفیس
بھنٹر لانچ کرنے کے کئی طریقے ہیں:
صرف ایک ٹیم کے طور پر
sudo bhunterاس لانچ کے ساتھ، بھنٹر کو اس کے ٹیکسٹ مینو کے ذریعے کنٹرول کرنا ممکن ہے: حملے کے لیے لاگ ان اور پاس ورڈز شامل کریں، لاگ ان اور پاس ورڈز کا ڈیٹا بیس برآمد کریں، حملے کے لیے ہدف کی وضاحت کریں۔ تمام ہیک شدہ نوڈس فائل /var/log/bhunter/hacked.log میں دیکھے جا سکتے ہیں۔
tmux استعمال کرنا
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Tmux ایک ٹرمینل ملٹی پلیکسر ہے، ایک بہت ہی آسان ٹول۔ آپ کو ایک ٹرمینل کے اندر کئی ونڈوز بنانے اور ونڈو کو پینلز میں تقسیم کرنے کی اجازت دیتا ہے۔ اس کا استعمال کرتے ہوئے، آپ ٹرمینل سے باہر نکل سکتے ہیں اور پھر چلنے والے عمل میں خلل ڈالے بغیر لاگ ان کر سکتے ہیں۔
bhunter-ts اسکرپٹ ایک tmux سیشن بناتا ہے اور ونڈو کو تین پینلز میں تقسیم کرتا ہے۔ پہلا، سب سے بڑا، ٹیکسٹ مینو پر مشتمل ہے۔ اوپری دائیں طرف ہنی پاٹ کے لاگز ہیں، یہاں آپ ہنی پاٹ میں لاگ ان کرنے کی کوششوں کے بارے میں پیغامات دیکھ سکتے ہیں۔ نیچے کا دائیں پینل بوٹ نیٹ نوڈس پر حملے کی پیشرفت اور کامیاب ہیکس کے بارے میں معلومات دکھاتا ہے۔
پہلے کے مقابلے میں اس طریقہ کار کا فائدہ یہ ہے کہ ہم ٹرمینل کو محفوظ طریقے سے بند کر سکتے ہیں اور بعد میں اس پر واپس جا سکتے ہیں، بغیر بھونٹر کے کام کو روکے۔ ان لوگوں کے لیے جو tmux سے بہت کم واقف ہیں، میں تجویز کرتا ہوں۔ .
بطور خدمت
systemctl enable bhunter
systemctl start bhunterاس صورت میں، ہم سسٹم کے آغاز پر بھونٹر آٹو اسٹارٹ کو فعال کرتے ہیں۔ اس طریقہ میں، بھنٹر کے ساتھ تعامل فراہم نہیں کیا گیا ہے، اور ہیک شدہ نوڈس کی فہرست /var/log/bhunter/hacked.log سے حاصل کی جا سکتی ہے۔
اثر انداز
بھونٹر پر کام کرتے ہوئے، میں مکمل طور پر مختلف آلات تلاش کرنے اور ان تک رسائی حاصل کرنے میں کامیاب رہا: راسبیری پائی، راؤٹرز (خاص طور پر میکروٹک)، ویب سرورز، اور ایک بار مائننگ فارم (بدقسمتی سے، اس تک رسائی دن کے وقت تھی، اس لیے وہاں کوئی دلچسپ بات نہیں تھی۔ کہانی ). یہاں پروگرام کا اسکرین شاٹ ہے، جو کئی دنوں کے کام کے بعد ہیک شدہ نوڈس کی فہرست دکھاتا ہے:
بدقسمتی سے، اس ٹول کی تاثیر میری توقعات تک نہیں پہنچ سکی: بھونٹر بغیر کامیابی کے کئی دنوں تک نوڈس پر پاس ورڈ آزما سکتا ہے، اور چند گھنٹوں میں کئی اہداف کو ہیک کر سکتا ہے۔ لیکن یہ نئے بوٹ نیٹ نمونوں کی باقاعدہ آمد کے لیے کافی ہے۔
تاثیر اس طرح کے پیرامیٹرز سے متاثر ہوتی ہے جیسے: وہ ملک جس میں بھونٹر والا سرور واقع ہے، ہوسٹنگ، اور وہ رینج جہاں سے IP ایڈریس مختص کیا گیا ہے۔ میرے تجربے میں، ایک ایسا معاملہ تھا جب میں نے ایک ہوسٹر سے دو ورچوئل سرور کرایہ پر لیے تھے، اور ان میں سے ایک پر بوٹنیٹس نے 2 بار زیادہ حملہ کیا تھا۔
کیڑے جو میں نے ابھی تک ٹھیک نہیں کیے ہیں۔
متاثرہ میزبانوں پر حملہ کرتے وقت، بعض حالات میں یہ واضح طور پر تعین کرنا ممکن نہیں ہوتا کہ پاس ورڈ درست ہے یا نہیں۔ اس طرح کے معاملات /var/log/debug.log فائل میں لاگ ان ہوتے ہیں۔
Paramiko ماڈیول، جو SSH کے ساتھ کام کرنے کے لیے استعمال ہوتا ہے، بعض اوقات غلط برتاؤ کرتا ہے: جب وہ اس سے رابطہ قائم کرنے کی کوشش کرتا ہے تو یہ میزبان کے جواب کا لامتناہی انتظار کرتا ہے۔ میں نے ٹائمرز کے ساتھ تجربہ کیا، لیکن مطلوبہ نتیجہ نہیں ملا
اور کیا کام کرنے کی ضرورت ہے؟
سروس کا نام
RFC-4253 کے مطابق، کلائنٹ اور سرور ان سروسز کے ناموں کا تبادلہ کرتے ہیں جو انسٹالیشن سے پہلے SSH پروٹوکول کو نافذ کرتی ہیں۔ یہ نام "SERVICE NAME" فیلڈ میں موجود ہے، جو کلائنٹ کی طرف سے درخواست اور سرور کی طرف سے جواب دونوں میں شامل ہے۔ فیلڈ ایک سٹرنگ ہے، اور اس کی قدر وائر شارک یا nmap کا استعمال کرتے ہوئے تلاش کی جا سکتی ہے۔ یہاں OpenSSH کے لئے ایک مثال ہے:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
تاہم، Paramiko کے معاملے میں، اس فیلڈ میں "Paramiko Python sshd 2.4.2" جیسی سٹرنگ ہے، جو بوٹنیٹس کو خوفزدہ کر سکتی ہے جو کہ جال سے بچنے کے لیے بنائے گئے ہیں۔ اس لیے میں سمجھتا ہوں کہ اس لائن کو کچھ زیادہ غیر جانبدار سے بدلنا ضروری ہے۔
دوسرے ویکٹر
ایس ایس ایچ ریموٹ مینجمنٹ کا واحد ذریعہ نہیں ہے۔ ٹیل نیٹ، آر ڈی پی بھی ہے۔ یہ ان پر ایک قریبی نظر لینے کے قابل ہے.
توسیع
یہ بہت اچھا ہوگا کہ مختلف ممالک میں متعدد ٹریپس ہوں اور مرکزی طور پر لاگ ان، پاس ورڈز اور ہیک نوڈس کو ان سے ایک مشترکہ ڈیٹا بیس میں جمع کریں۔
میں کہاں ڈاؤن لوڈ کر سکتا ہوں؟
لکھنے کے وقت، صرف ایک ٹیسٹ ورژن تیار ہے، جس سے ڈاؤن لوڈ کیا جا سکتا ہے۔ .
ماخذ: www.habr.com