На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Из порта в порт

Вероятно, самым тяжелым последствием от получения хакером доступа к определенной
гим системам. Основной интерес злоумышленника в том, что он может создать долговремен­ный плацдарм для проведения практически анонимных атак на другие узлы.
Атака на системы с двумя сетевыми адаптерами


Популярность

8

 

Простота

8

 

Опасность

...... 7

 

Степень риска

8

 

После того как взлом системы дошел до описанной выше стадии, злоумышленник может создать на ней свой плацдарм для дальнейшей работы, загрузив на нее набор средств для взлома (rootk.it). В наш набор средств для взлома входят следующие программы (и не только они).
azpr.exe Communities.txt CONN.SAT cut.exe CYGWTN.DLL datview.exe DUMPACL.EXE DUKPACL. HLP Dumpacl-Key DupRipper.exe epdump.exe findstr.exe FINGER.EXE FINGER.TXT Getmac.exe GLOBAL.EXE 1ks.reg iks.sys Local,exe lsadump.dll lsadurap.exe NAT.EXE NAT_DOC . TXT NBTSTAT.EXE nc.exe NET.EXE NETCOM.EXE NETNAME.EXE NLTEST.EXE NOW.EXE NTSCAN.EXE NTUSER. EXE omnithread_rt.dl per1.exe perlCore.dll PerlcRT.dll
PKUNZIP.EXE PKZIP.EXE ports.txt PULIST.EXE PWDUMP. EXE pwdump2.exe PWLVIEW.EXE RASTJSERS . EXE REG.EXE REGDMP.EXE REGINI.EXE REMOTE.EXE RMTEXE.EXE sam<aump.dll SAMDUMP. EXE scan.exe SCLI5T.EXE sid2user.exe SMBGRIND.EXE snmpmib.exe SNMPUTIL.EXE sort.exe SRVCHECK.EXE SRVTNFO.EXE strings.exe tcpdwnp.exe tee.exe touch.exe tr.exe trace.bat uniq.exe UMIX2D0S.EXE UNZIP.EXE uset2sid.exe VNCHOOKS.DLL WINVNC.EXE
1
Конечно, хакеры не копируют на взломанную систему каждый файл. Обычно хакер соби­рает все файлы в один архивный файл, а затем запускает ЕХЕ-файл, который способен само­стоятельно распаковываться. Если, конечно, он не хочет заниматься архивированием и раз-архивированием необходимых файлов.
С помощью перечисленных выше программ можно взламывать другие системы и "воровать" из них важную информацию. Обычно это справедливо для узлов с двумя сетевыми адаптерами. Каждый из этих двух сетевых адаптеров находится в отдельной сети. Получив удаленный доступ к такой системе, можно получить доступ ко всей внутренней сети.
Перечислим типичные действия для взлома остальной части сети (с точки зрения хакера к при условии, что доступна командная строка на удаленной системе).
1. Необходимо проверить, кто подключен к системе, оценить возможность установки со­единений. Для этой цели используется команда агр.
С:\?агр -я
Interface: 10.1.1.2 on Interface ОхЮООООЗ
Internet Address Physical Address Type
10.1.1-5 00-50-56-93-02-12 dynamic
10.1.1.22 00-50-56-9 6-01-09 dynamic
192.168.1.5 00-50-56-93-02-12 dynamic
192.168.1.1 00-50-56-91-03-09 dynamic
2. Как видите, к системе подключились несколько человек, в том числе и из другой подсети (192.168.1.0), используя одинаковый NWC-адрес (00-50-56-93-02-12). Это значит, что через ту же линию связи доступна другая сеть. Рассмотрим отчет программы ipconf ig.
С:\>ipconfIff
Windows 2000 IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix    . :
IP Address............ : 10.1.1.5
Subnet Mask ........... : 255.255.255.0
Default Gateway ......... : 10.1.1.1
Ethernet adapter Local Area Connection 2:
Connect!on-specific DNS Suffix    . :
IP Address............ : 192.168.1.5
Subnet Mask ........... : 255.255.255.0
Default Gateway ......... : 192.16B.1.1
3. Теперь мы знаем, в какую сеть мы можем попасть. Попробуем инвентаризовать ее с помощью программы scanline.
C:\>Bcanliae -а 192.169.0.1-254
ScanLine 1.00 - Copyright 2002  (с) Foundstone, Inc.
- http://www.foundstone.com Confidential and Proprietary
Scan Of 5 IPs started at ThU Jul 31 11:31:44 2003
192 .16B.0 .1 Responded in 0 ms. 1 hop away
Responds with ICMP unreachable: Ho
192-168.0.2 Responded in 0 ms. 0 hops away
Responds with ICMP unreachable: No
192 .168.0.3 Responded in 0 ms. 0 hops away


Resoonds with ICMP unreachable: No

 

 

192.168.0.4

 

 

 

Responded in 10 ms. 0 nops away

 

 

 

 

 

nesponas wicn iu№ unreachable: ио

 

Scan finished at Thu

Jul  31  11:31:46 2003

 

-wm      ijun  ■»r«**xm»1   114 'iFiiiiin  fiifiJK AVVij Н11И    1>f 1 UL|-v rtfJ J " IIV  v_ I* y, |W|4H«   1 1 ±tV ivi        Л U ГТ fl pu РЦП
их портов.
ScanLine 1.00 - Copyright 2002  (c)  Foundstone, Inc. - http://www.foundstone.com

Confidential and Proprietary
Scan of 5 IPs started at Thu Jul 31 11:34:13 2003
192.16B.0.1 Responded in 0 ms. 1 hop away
Responds with ICMP unreachable: No TCP ports: 80 UDP ports:
192.168.0.2 Responded in 0 ms. 0 hops away
Responds with ICMP unreachable: Yes TCP ports: 80 UDP ports: 137
192.168.0.3 Responded in 0 ms. 0 hops away
Responds with ICMP unreachable: Yes TCP ports:
UDP ports:   123 137  138 445 500  1027 1900
-
192.168.0.4 Responded in 0 ms. 0 hops away Responds with ICMP unreachable: Yes TCP ports:
UDP ports:   135 137  138 445 500
Scan finished at Thu Jul 31 11:35:12 2003
4 IPs and 1052 ports scanned in 0 hours 0 mins 58.63 sees 4»  [17.94 ports/sec)
5. Как видите, система защиты проверенных устройств состоит практически из одних уязвимых мест. Такие открытые порты, как 135, 139, 445 и 80, дают хакеру надежду на дальнейшее исследование. Несколько паролей мы узнали, воспользовавшись утилита­ми pwdump2 и lsadump2; возможно, стоит попробовать их для портов NetBIOS (139).
C:\>aet иве  W192.168.Х.бЛ1рс$ 2happy4m /и:administrator
The command completed successfully.
Итак, злоумышленник без труда получил доступ с правами администратора к узлу с IP-адресом 192.168.1.6. При этом организатором атаки была не система взломщика, а скомпрометированная ранее система с двумя сетевыми адаптерами (10.1.1.5). Теперь вы понимаете, почему никогда нельзя использовать одни и те же пароли в разных системах?
6. Теперь можно удаленно подключиться к этой системе и Посмотреть, нельзя ли через нее лопасть в другую сеть, причем все это делается анонимно.
Защита от распространения атаки


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

И еще раз повторим — не позволяйте злоумышленнику получить права администратора в системе. Необходимо использовать трудно угадываемые пароли с непечатаемыми символа-
ми таблицы ASCII (например alt-255), поскольку их не смогут получить многие программы для перехвата и взлома паролей, а также регистраторы нажатий клавиш.
Перенаправление портов
Мы обсудили несколько способов получения доступа к командной строке удаленной сис­темы. Но все они основаны на использовании прямых соединений. Есть несколько приме­ров, когда установить прямое соединение просто невозможно, а значит, необходимо приду­мать что-то другое. Для этой цели и предназначены программы для перенаправления портов.
После того как злоумышленник скомпрометировал избранную систему, он может вос­пользоваться утилитами перенаправления портов для того, чтобы передавать пакеты в опре­деленную точку назначения за брандмауэром. По существу, этот метод превращает брандмау­эр в "ограничитель открывания двери" (то есть брандмауэр по сути ничего не защищает). Программы для перенаправления портов переносят операции с одного порта на другой. Рас­смотрим пример. Пусть брандмауэр позволяет работать в атакуемой сети с портами вы­ше 1024, но блокирует порты 139 и 445 Windows-систем (как раз те, которые нам нужны). Тогда, если система за брандмауэром была взломана с помощью уязвимого места в Web-службе или ошибки в Solaris, можно установить программу для перенаправления портов и пе­ренаправить данные с одного порта, скажем, под номером 2000, на нужный нам порт. Пусть это будет порт 139 (2).
Порт 139
Данн ые п ро н и ка ют через брандмауэр
Система, которая должна быть взломана с использованием перенаправления портов
Трафик, перенаправленный с порта 2000 на порт 139
Система хакера
Перенаправление портов \        Т Порт2000->Порт139
Взломанная система (с помощью трафика на порт 80)
Рис. S.2. Вшам с помощью перенаправлении портов
Атаки этого типа позволяют хакеру получить доступ к любой системе за брандмауэром.
Программа rinetd


Популярность

5

Простота

9

Опасность

10

Степень риска

8

■ ■
век
Одна из лучших программ для перенаправления портов в системах Windows —rinetd, "сервер перенаправления Internet" от Томаса Бутелла (Thomas Boutell). Эта программа перенаправляет со­единения по протоколу TCP с одного IP-адреса и порта на другой. Она проста в использовании и позволяет выполнять почти любой тип перенаправления. Сначала необходимо создать конфигу­рационный файл и добавить в него правила в таком формате. ■
локальяый_адрес локальный_порт удяленный_адрес удаленный_порт
Если нужно перенаправлять данные, которые приходят в нашу систему 10.1.1.20 из ТСР-порта 2000, на ТСР-порт 445 удаленной системы 10.1.1.251, то в конфигурацион­ном файле (пусть это будет файл config. txt) должна быть следующая строка. 10.1.1.20 2000 10.1.1.251 445
Чтобы программа rinetd использовала эту запись, сделанную в заданном пользователем конфигурационном файле, необходимо выполнить следующую команду. C:\>rinetd -с config.txt
f pipe
Программа fpipe от компании Foundstone служит для перенаправления TCP-портов. Ра­бота этой программы во многом похожа на работу программы rinetd, но с одним сущест­венным отличием: она позволяет задать номер порта отправителя. Настройка порта отправи­теля позволяет статически задать номер порта, трафик из которого разрешен для пропуска брандмауэром атакуемой системы. Например, может оказаться, что брандмауэр пропускает данные, исходящие из ТСР-порта 20. Это может сработать на многих брандмауэрах, поскольку порт 20 используется для исходящих данных протокола FTP.
Запустив программу fpipe, вы увидите список допустимых параметров.
FPipe v2.01 - TCP/UDP port redirector. Copyright 2000 (с) by Foundstone, Inc. http://www.foundstone.com
FPipe  [-hvu?]   [-Irs <port>]
tTI IP] IP -?/-h - shows this help text
-c - maximum allowed simultaneous TCP connections. Default is 32 -i - listening interface IP address
- listening port number
- remote pore number
- outbound connection source port number
-1 -r -s
-u - UDP mode
- verbose mode
Example:
fpipe -1 53  -s 53  -r 80 192.16B.1.101
на заметку
Для использования статического порта (опция -s) может потребоваться по­вторное соединение с завершением ранее установленного соединения. Про­грамма fpipe не сможет установить новое соединение до истечения перио­дов времени тср time_wait и close_wait.
наздметну
Применение программы fpipe для обхода фильтров IPSec в Windows 2003 описано в главе 16, "Возможности и средства защиты в системах Windows".
Защита от перенаправления портов
Единственной мерой противодействия от атак этого вида может стать запрещение переда­чи данных для непривилегированных портов (номера 1024—65535) или конкретных приви­легированных портов (номера 1—1024) в локальную сеть через брандмауэр. Это правило ши­роко используется среди производителей брандмауэров.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика