Awọn atunnkanka ọlọjẹ ati awọn oniwadi aabo kọnputa n sare lati gba ọpọlọpọ awọn apẹẹrẹ ti awọn botnets tuntun bi o ti ṣee. Wọn lo awọn ikoko oyin fun awọn idi tiwọn ... Ṣugbọn kini ti o ba fẹ lati ṣe akiyesi malware ni awọn ipo gidi? Fi olupin rẹ tabi olulana sinu ewu? Kini ti ko ba si ẹrọ to dara? Awọn ibeere wọnyi ni o jẹ ki n ṣẹda bhunter, ohun elo fun nini iraye si awọn apa botnet.
Ero akọkọ
Awọn ọna pupọ lo wa lati tan malware lati faagun awọn botnets: lati aṣiri-ararẹ si ilokulo awọn ailagbara ọjọ-0. Ṣugbọn ọna ti o wọpọ julọ tun jẹ fipa mu awọn ọrọ igbaniwọle SSH.
Ero naa rọrun pupọ. Ti diẹ ninu awọn ipade botnet n gbiyanju lati kọ awọn ọrọ igbaniwọle ipa-ipa fun olupin rẹ, lẹhinna o ṣeese julọ ipade yii funrararẹ ni a mu nipasẹ awọn ọrọ igbaniwọle ti o rọrun. Eyi tumọ si pe lati le ni iraye si, o kan nilo lati san pada.
Eyi ni pato bi bhunter ṣe n ṣiṣẹ. Tẹtisi ibudo 22 (iṣẹ SSH) ati gba gbogbo awọn iwọle ati awọn ọrọ igbaniwọle pẹlu eyiti wọn gbiyanju lati sopọ si rẹ. Lẹhinna, ni lilo awọn ọrọ igbaniwọle ti a gba, o gbiyanju lati sopọ si awọn apa ikọlu.
Algoridimu iṣẹ
Eto naa le pin si awọn ẹya akọkọ 2, eyiti o ṣiṣẹ ni awọn okun lọtọ. Akọkọ jẹ ikoko oyin. Ṣiṣe awọn igbiyanju iwọle, gba awọn iwọle alailẹgbẹ ati awọn ọrọ igbaniwọle (ni idi eyi, iwọle + ọrọ igbaniwọle meji ni a gba bi odidi kan), ati pe o tun ṣafikun awọn adirẹsi IP ti o gbiyanju lati sopọ si isinyi fun ikọlu siwaju.
Apa keji jẹ iduro taara fun ikọlu naa. Pẹlupẹlu, ikọlu naa ni a gbejade ni awọn ipo meji: BurstAttack (kolu ikọlu) - awọn iwọle ipa agbara ati awọn ọrọ igbaniwọle lati atokọ gbogbogbo ati SingleShotAttack (kolu ikọlu ẹyọkan) - awọn ọrọ igbaniwọle agbara irokuro ti o lo nipasẹ ipade ikọlu, ṣugbọn ko tii sibẹsibẹ. kun si awọn gbogboogbo akojọ.
Lati le ni o kere ju diẹ ninu data awọn wiwọle ati awọn ọrọ igbaniwọle lẹsẹkẹsẹ lẹhin ifilọlẹ, bhunter ti wa ni ipilẹṣẹ pẹlu atokọ kan lati faili /etc/bhunter/defaultLoginPairs.
ni wiwo
Awọn ọna pupọ lo wa lati ṣe ifilọlẹ bhunter:
Gẹgẹ bi ẹgbẹ kan
sudo bhunterPẹlu ifilọlẹ yii, o ṣee ṣe lati ṣakoso bhunter nipasẹ atokọ ọrọ rẹ: ṣafikun awọn iwọle ati awọn ọrọ igbaniwọle fun ikọlu kan, okeere data data ti awọn wiwọle ati awọn ọrọ igbaniwọle, pato ibi-afẹde kan fun ikọlu kan. Gbogbo awọn apa gige ni a le rii ninu faili /var/log/bhunter/hacked.log
Lilo tmux
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Tmux jẹ multiplexer ebute, irinṣẹ irọrun pupọ. Gba ọ laaye lati ṣẹda awọn window pupọ laarin ebute kan, ati pin awọn window si awọn panẹli. Lilo rẹ, o le jade kuro ni ebute naa lẹhinna wọle laisi idilọwọ awọn ilana ṣiṣe.
Iwe afọwọkọ bhunter-ts ṣẹda igba tmux ati pin window si awọn panẹli mẹta. Ni akọkọ, ti o tobi julọ, ni akojọ aṣayan ọrọ ninu. Oke apa ọtun ni awọn iwe ipamọ oyin, nibi o ti le rii awọn ifiranṣẹ nipa awọn igbiyanju lati wọle sinu ikoko oyin. Apa ọtun isalẹ n ṣafihan alaye nipa ilọsiwaju ti ikọlu lori awọn apa botnet ati nipa awọn gige aṣeyọri.
Anfani ti ọna yii lori akọkọ ni pe a le lailewu pa ebute naa ki o pada si ọdọ rẹ nigbamii, laisi bhunter da iṣẹ rẹ duro. Fun awọn ti o faramọ pẹlu tmux, Mo daba .
Bi iṣẹ kan
systemctl enable bhunter
systemctl start bhunterNi idi eyi, a mu bhunter autostart ṣiṣẹ ni ibẹrẹ eto. Ni ọna yii, ibaraenisepo pẹlu bhunter ko pese, ati pe atokọ ti awọn apa gige le ṣee gba lati /var/log/bhunter/hacked.log
Imọlẹ
Lakoko ti o n ṣiṣẹ lori bhunter, Mo ṣakoso lati wa ati ni iraye si awọn ẹrọ ti o yatọ patapata: rasipibẹri pi, awọn olulana (paapaa mikrotik), awọn olupin wẹẹbu, ati ni kete ti oko iwakusa (laanu, iwọle si o wa lakoko ọjọ, nitorinaa ko si ohun ti o nifẹ si. itan). Eyi ni sikirinifoto ti eto naa, eyiti o ṣafihan atokọ ti awọn apa gige lẹhin awọn ọjọ pupọ ti iṣẹ:
Laanu, imunadoko ọpa yii ko de awọn ireti mi: bhunter le gbiyanju awọn ọrọ igbaniwọle si awọn apa fun ọpọlọpọ awọn ọjọ laisi aṣeyọri, ati pe o le gige ọpọlọpọ awọn ibi-afẹde ni awọn wakati meji kan. Ṣugbọn eyi to fun ṣiṣan deede ti awọn ayẹwo botnet tuntun.
Imudara naa ni ipa nipasẹ iru awọn aye bi: orilẹ-ede ninu eyiti olupin pẹlu bhunter wa, alejo gbigba, ati ibiti o ti pin adiresi IP naa. Ninu iriri mi, ọran kan wa nigbati Mo ya awọn olupin foju meji lati ọdọ alejo gbigba kan, ati pe ọkan ninu wọn ti kọlu nipasẹ awọn botnets ni igba 2 nigbagbogbo.
Awọn idun ti Emi ko ṣe atunṣe sibẹsibẹ
Nigbati o ba kọlu awọn ọmọ ogun ti o ni ikolu, ni awọn ipo kan ko ṣee ṣe lati pinnu laiseaniani boya ọrọ igbaniwọle tọ tabi rara. Iru awọn ọran bẹẹ wa ni ibuwolu wọle sinu faili /var/log/debug.log.
Module Paramiko, eyiti o lo lati ṣiṣẹ pẹlu SSH, nigbakan huwa ti ko tọ: o duro lainidii fun esi lati ọdọ agbalejo nigbati o gbiyanju lati sopọ si rẹ. Mo ṣe idanwo pẹlu awọn aago, ṣugbọn ko gba abajade ti o fẹ
Kini ohun miiran nilo lati ṣiṣẹ lori?
Orukọ iṣẹ
Gẹgẹbi RFC-4253, alabara ati olupin paṣipaarọ awọn orukọ ti awọn iṣẹ ti o ṣe ilana Ilana SSH ṣaaju fifi sori ẹrọ. Orukọ yii wa ninu aaye “ORUKO Iṣẹ”, ti o wa ninu mejeeji ninu ibeere lati ẹgbẹ alabara ati ninu idahun lati ẹgbẹ olupin naa. Aaye naa jẹ okun kan, ati pe iye rẹ le rii ni lilo wireshark tabi nmap. Eyi ni apẹẹrẹ fun OpenSSH:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
Sibẹsibẹ, ninu ọran ti Paramiko, aaye yii ni okun bi "Paramiko Python sshd 2.4.2", eyi ti o le dẹruba awọn botnets ti a ṣe lati "yago fun" awọn ẹgẹ. Nitorinaa, Mo ro pe o jẹ dandan lati paarọ laini yii pẹlu nkan didoju diẹ sii.
Miiran fekito
SSH kii ṣe ọna nikan ti iṣakoso latọna jijin. Telnet tun wa, rdp. O tọ lati wo wọn ni pẹkipẹki.
Imugboroosi
Yoo jẹ ohun nla lati ni ọpọlọpọ awọn ẹgẹ ni awọn orilẹ-ede oriṣiriṣi ati gba aarin awọn iwọle, awọn ọrọ igbaniwọle ati awọn apa ti gepa lati ọdọ wọn sinu ibi ipamọ data ti o wọpọ.
Nibo ni MO ti le gba lati ayelujara?
Ni akoko kikọ, ẹya idanwo nikan ti ṣetan, eyiti o le ṣe igbasilẹ lati .
orisun: www.habr.com