На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Проникновение в систему

Проникновение в систему начинается с использования учетной записи, выяв­ленной на предыдущем этапе инвентаризации. Для определения нужной учет­ной записи хакер мог воспользоваться командой nbtstat или браузером MIB,
или какими-либо хакерскими утилитами, в изобилии представленными в Интер­нете. Выявив учетную запись, хакер может попробовать подсоединится к атакуемому компьютеру, используя ее для вход­ной аутентификации. Он может сделать это из командной строки, введя такую команду.
D:\>net use\\1.0.0.1\IPC$/u:Administrator
Символ в строке команды указывает, что для подключения к удаленному ресурсу IPC$ нужно ввести пароль для учетной записи Administrator. В ответ на
ввод команды отобразится сообщение:
Type password for
Ввод корректного пароля приводит к установлению авторизованного подключе­ния. Таким образом, мы получаем инструмент для подбора паролей входа в
компьютер - генерируя случайные комбинации символов или перебирая содер-
жимое словарей, можно, в конце концов, натолкнуться на нужное сочетание символов пароля. Для упрощения подбора существуют утилиты, которые авто­матически делают все эти операции, например, SMBGrind, входящая в коммер­ческий пакет CyberCop Scanner компании Network Associates. Еще один метод -создание пакетного файла с циклическим перебором паролей.
Однако удаленный подбор паролей - далеко не самое мощное орудие взлома. Все современные серверы, как правило, снабжены защитой от многократных по­пыток входа со сменой пароля, интерпретируя их как атаку на сервер. Для взлома системы защиты Windows NT/2000/XP чаще используется более мощное средст­во, состоящее в извлечении паролей базы данных SAM (Security Account Man­ager - Диспетчер учетных данных системы защиты). База данных SAM содержит шифрованные (или, как говорят, хешированные) коды паролей учетных записей, и они могут быть извлечены, в том числе удаленно, с помощью специальных утилит. Далее эти пароли дешифруются с помощью утилиты дешифрования,
использующей какой-либо метод взлома, например, «грубой силой», либо сло­варной атакой, путем перебора слов из словаря.
Наиболее известной утилитой дешифрования, применяемой для взлома паролей SAM, является программа LC4 (сокращение от названия LOphtcrack, новейшая версия - LC4) (http://www.atstake.com/research/redirect.html), которая дейст­вует в паре с такими утилитами.
• Samdump - извлечениехешироваиных паролей из базы данных SAM.
• Pwdump - извлечение хешированных паролей из системного реестра ком­пьютера, включая удаленные системы. Эта утилита не поддерживает усилен­ное шифрование Syskey базы SAM (подробнее о Syskey 2).
• Pwdump2 - извлечение хешированных паролей из системного реестра, в ко­тором применено шифрование Syskey. Эта утилита поддерживает работу
только с локальными системами.
• Pwdump3 - то же, что и Pwdump2, но с поддержкой удаленных систем.
Что такое шифрование Syskey, мы подробно обсудили в Главе 2; здесь укажем, что это средство усиленного шифрования базы SAM, которое устанавливается в
системах Windows 2000/XP по умолчанию, а для систем Windows NT должно
быть установлено как дополнительная возможность.
В Главе 2 было описано, как следует извлекать пароли из локального системно­го реестра, сейчас же рассмотрим, как эта операция выполняется удаленно. Для извлечения хешированных паролей из компьютера Sword-2000 применим утилиту Pwdimp3, запустив ее из командной строки:
C:\>pwdump3 sword-2000 > password, psw
Здесь в командной строке указан целевой компьютер Sword-2000, а далее задано перенаправление вывода извлеченных данных в файл с именем password.psw. Содержимое полученного в результате файла представлено в окне приложения Блокнот (Notepad) (5).
Как видим, в файле password.psw содержится учетная запись Administrator, которую мы нашли на этапе инвентаризации. Чтобы расшифровать пароли, сле­дует применить программу LC4, и, хотя пробная версия этой программы под­держивает только дешифрование паролей методом словарной атаки, мы все же
сможем взломать пароли компьютера Sword-2000 (6).
Для этого потребовалось всего несколько секунд работы компьютера с процес­сором Celeron 1000 МГц, поскольку пароль 007 состоит всего из трех цифр и очень слаб. Применение более сложных паролей значительно повышает криптостойкость системы, и их взлом может потребовать неприемлемого увеличения времени работы приложения LC4.
Таким образом, хакер, имея одну небольшую зацепку - возможность создания нулевых сеансов подключения NetBIOS к компьютеру - в принципе, сможет по­лучить пароли учетных записей компьютера, включая администратора системы. Если же ему не удастся сразу получить пароль учетной записи с большими пра­вами, хакер постарается расширить свои права доступа.
facumpeHue прав доступа и реализация атаки
Для расширения прав доступа к системе взломщики используют самые разнооб­разные методы, но основное их отличие - необходимость внедрения в компью­тер специальной программы, позволяющей выполнять удаленное управление системой, в том числе регистрацию действий пользователя. Цель - овладение
учетной записью, позволяющей получить максимально широкий доступ к ре­сурсам компьютера. Для этого на атакуемый компьютер могут быть внедрены так называемые клавиатурные шпионы - программы, регистрирующие нажатия клавиш. Все полученные данные записываются в отдельный файл, который да­лее может быть отослан на компьютер взломщика по сети.
В качестве примера клавиатурного шпиона можно назвать популярный регист­ратор Invisible Key Logger Stealth (IKS) (http://www.amecisco.com/iksnt.htm),
который был описан в Главе 3 этой книги. Кейлоггер IKS - пример пассивного трояна, который работает сам по себе и не обеспечивает своему хозяину средств удаленного управления.
Другой вариант действий хакера - помещение в систему активного трояна, т.е., например, популярного троянского коня (http://www.netbus.org) или
ВО2К (Back Orifice 2000) (http://www.bo2k.com), которые обеспечивают средства скрытого удаленного управления и мониторинга за атакованным компьютером.
Утилиты NetBus и ВО2К позволяют реализовать одну из важнейших целей ха-керской атаки - создание в удаленной системе потайных ходов [3]. Прорвавшись один раз в компьютер жертвы, хакер создает в нем множество дополнительных «потайных» ходов. Расчет строится на том, что пока хозяин компьютера ищет и находит один ход, хакер с помощью пока еще открытых ходов создает новые по­тайные ходы, и так далее. Потайные ходы - крайне неприятная вещь, избавиться от них практически невозможно, и с их помощью взломщик получает возмож­ность делать на атакованном компьютере что угодно - следить за деятельностью пользователя, изменять настройки системы, а также делать ему всякие гадости типа насильственной перезагрузки системы или форматирования жестких дисков.
В качестве примера троянского коня рассмотрим работу старого, заслуженного
троянского коня NetBus, разработанного группой хакеров cDc (Cult of the Dead
Cow - Культ мертвой коровы).
Приложение Nelflus
Приложение NetBus относится к числу клиент-серверных программ, т.е. одна его часть, серверная, устанавливается на атакуемом компьютере, а другая часть, клиентская, на компьютере хакера. Инсталляция приложения, выполняемая на локальном компьютере, не вызывает проблем. В диалоге мастера установки сле­дует указать требуемый компонент - серверный или клиентский, после чего происходит его загрузка на компьютер. Скрытая, удаленная, установка сервера на атакованном компьютере и запуск серверной програм­мы - это задача посложнее, и мы ее отложим. Вначале рассмотрим работу приложения NetBus на примере двух наших  сетевых  компьютеров:   клиента   - компьютер
1.0.0.1), и сервера - компьютер А1ех-3 (IP-адрес 1.0.0.5).
Для успешной работы троянского коня NetBus на атакуе­мом компьютере вначале требуется запустить серверный компонент приложения, называемый NBSvr (настоящие хакеры должны ухитриться сделать это удаленно). При     рис. 10.7.Диалог запуске программы NBSvr отображается диалог, пред-      сервера NetBm ставленный на 7.
Перед использованием сервера NetBus утилиту NBSvr необходимо настроить.
Для этого выполните такую процедуру.
В диалоге NB Server (Сервер щелкните на кнопке Settings (Параметры). На экране появится диалог Server Setup (Параметры сервера), представлен­ный на 8.
В поле Password (Пароль) введите пароль доступа к серверу NetBus.
> Из открывающегося списка Visibility of server (Видимость сервера) выберите пункт Full visible (Полная видимость), что позволит наблюдать за работой сервера NetBus (но для работы лучше выбрать полную невидимость).
> В поле Access mode (Режим доступа) выберите Full access (Полный дос­туп), что позволит делать на компьютере все возможные опера­ции удаленного управления.
Установите флажок Autostart every Windows session (Автозагрузка при ка­ждом сеансе работы с Windows), чтобы сервер автоматически загружался при входе в систему.
Щелкните мышью на кнопке ОК. Сервер готов к работе. Теперь настроим работу клиента - утилиту NetBus.exe.
> Запустите утилиту NetBus.exe, после чего отобразится окно NetBus 2.0 Pro, представленное на 9.
Выберите команду меню Host Neighborhood Local (Хост Соседний хост • Локальный). Отобразится диалог Network (Сеть), представленный на 10.
> Щелкните на пункте Сеть Microsoft Windows (Microsoft Windows Network) и откройте список сетевых хостов (11).
Выберите компьютер с установленным сервером NetBus, в нашем случае Sword-2000, и щелкните на кнопке Add (Добавить). На экране появится диа^ лог Add Host (Добавить хост), представленный на 12.
> В поле Host (Имя хоста/IP) введите IP-адрес серверного хоста 1.0,0.1.
В поле User name (Имя пользователя) введите имя взломанной учетной запи­си Administrator, а в поле Password (Пароль) - дешифрованный утилитой LC4 пароль 007.
Щелкните на кнопке ОК. На экране отобразится диалог Network (Сеть).
Закройте диалог Network (Сеть), щелкнув на кнопке Close (Закрыть). На экране отобразится окно NetBus 2.0 Pro с записью добавленного хоста (13).
.   Чтобы подсоединиться к хосту Sword-2000. щелкните правой кнопкой мыши
на пункте списка Sword-2000 и из отобразившегося контекстного меню вы­берите команду Connect (Подсоединить). В случае успеха в строке состояния окна NetBus 2.0 Pro отобразится сообщение Connected to 1.0.0.1 (v.2.0) (Подключен к 1.0.0.1 (v.2.0)).
После успешного соединения с серверным компонентом NetBus хакер, исполь­зуя инструменты клиента NetBus, может сделать с атакованным компьютером все что угодно. Практически ему будут доступны те же возможности, что и у локального пользователя Administrator. На 14 представлен список инст­рументов клиента NetBus, отображенный в меню Control (Управление).
Среди этих инструментов отметим средства, собранные в подменю Spy functions (Средства шпионажа) и содержащие такие полезные инструменты, как клавиа­турный шпион, перехватчики экранных изображений и информации, получае­мой с видеокамеры, а также средства записи звуков. Таким образом, проникший в ваш компьютер хакер может подглядывать, подслушивать и прочитывать все, что вы видите, говорите или вводите с клавиатуры компьютера. И это еще не
все! Хакер может модифицировать системный реестр компьютера Sword-2000. запускать любые приложения и перезагружать удаленную систему Windows, не говоря уж о возможностях просмотра и копирования любых документов и файлов.
Как уже упоминалось, описанная в этом разделе утилита сервера NetBus, так же как и описанный в предыдущем разделе клавиатурный шпион IKS, требуют предварительного запуска на атакуемом компьютере. Последняя задача состав­ляет целую отдельную область хакинга и заключается в поиске открытых по не­досмотру каталогов информационного сервера IIS (8), а также в ис­пользовании методов «социальной инженерии», применяемых для внедрения
в компьютер троянских коней или вирусов. (Подробнее методы «социальной
инженерии» рассматриваются на протяжении всей книги).
Сокрытие следов
Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал ре­гистрации и/или отключить аудит системы перед началом «работы».
Для отключения аудита хакеры могут открыть консоль ММС и отключить поли­тику аудита, воспользовавшись средствами операционной системы. Другим, более мощным средством, является утилита auditpol.exe комплекта инструмен­тов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из командной строки ввести такую команду.
C:\Auditpol>auditpol \\sword-2000/disable
На экране появятся результаты работы:
Running-Audit information changed successfully on \\sword-2000... New audit policy on \\sword-2000... (0) Audit Disabled
System = No
Logon = No
Object Access = No
Privilege Use = No
Process Tracking = Success and Failure
Policy Change = No
Account Management = No Directory Service Access      = No
Account Logon = No
Параметр команды - это имя удаленного компьютера, а ключ /disable
задает отключение аудита на этом компьютере. Утилита auditpol.exe - весьма эффективное средство, созданное для управления сетевыми ресурсами, но также, как видим, весьма удобный инструмент хакинга. Чтобы познакомиться с ее возможностями, достаточно ввести команду auditpol /?, после чего на экране отобразится справочная информация по применению утилиты. В частности, эта
утилита позволяет включать/отключать аудит базы данных SAM, что является
предпосылкой использования утилиты pwdump3.exe для извлечения паролей из базы SAM.
Очистку журналов безопасности можно выполнить либо с помощью утилиты просмотра журналов Windows 2000/XP, либо с помощью специальных утилит (как правило, используемых хакерами). В первом случае следует выполнить
следующие действия.
> Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка ♦ Панель управления (Settings ♦ Control Panel).
В отобразившейся панели управления откройте папку Администрирование (Administrative Tools).
> Дважды щелкните на аплете Управление компьютером (Computer Manage­ment). На экране появится диалог консоли ММС.
> Последовательно откройте папки Служебные программы     Просмотр со­бытий (System Tools ♦ Event Viewer).
Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.
Выберите команду контекстного меню Стереть все события (Clear all Events). На экране появится диалог Просмотр событий (Event Viewer) с предложением сохранить журнальные события в файле.
> Щелкните на кнопке Нет (No), если вам больше не требуются зафиксирован­ные в журнале события. Журнал будет очищен.
При выполнении операции очистки журнала безопасности обратите на характер­ную особенность. При очистке журнала безопасности из него удаляются все со­бытия, но сразу устанавливается новое событие - только что выполненная очистка журнала аудита! Таким образом, хакер все же оставит свой след - пустой журнал
с зафиксированным событием очистки журнала. Посмотрим, не помогут ли нам в
таком случае хакерские утилиты.
Попробуем применить рекомендованную в [3] утилиту очистки журнала собы­тий elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Эта утилита предназначена в первую очередь для очистки журналов Windows NT 4, но ее по-
следняя версия работает и с системой Windows 2000. Вот как она запускается из
командной строки.
C:\els004>elsave -s \\sword-2000 -С
Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события жур­нала в файл. (Ввод команды elsave /? приводит к отображению справки, и вы
можете сами испытать эффективность всех предлагаемых возможностей).
Проверка показывает, что отмеченный выше недостаток остался - применение
утилиты elsave.exe регистрируется в журнале безопасности как событие очистки
журнала, подобно применению команды очистки журнала средствами аплета Управление компьютером (Computer Management).
Как защититься от всех этих утилит? Следует убрать из компьютера (или замас­кировать) все утилиты комплекта W2RK, установить аудит базы данных SAM, системного реестра и всех важных ресурсов системы. После этого следует регу­лярно просматривать журнал безопасности. Выявление непонятных событий
очистки журнала безопасности или доступа к защищенным ресурсам поможет навести на след хакера.
Зключеиие
Сетевой хакинг компьютеров - это очень распространенное занятие хакеров. Однако, как мы видим, занятие это весьма трудоемкое, и при желании выявить такого рода манипуляции достаточно просто. Для этого достаточно воспользо­ваться шаблонами безопасности Windows и загрузить шаблон защиты сервера. Другие меры пассивной оборо­ны состоят в настройке системы защиты Windows, брандмауэров и систем IDS.
В особых случаях антихакер может также прибегнуть к выявлению хакера его же методами, поскольку системы IDS, как правило, способны выявлять IP-адрес
нарушителя (например, это делает программа BlacklCE Defender). Однако анти­хакеру следует учесть, что проникая в компьютер хакера, он сам уподобляется противнику, так что нелишней мерой будет использование прокси-серверов и других средств

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика