На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Предварительный сбор данных

Переход к интерактивному режиму рабогы Cj Несанкционированное получение данных Jr Расширение сферы влияния Сокрытие следов
Кнастоящему моменту мы рассмотрели достаточное количество различных видов электронных атак, которые проводятся хакерами через сеть, и почти не уделили внимания атакам со стороны злоумышленников, имеющих неограниченный физический доступ к системе семейства Windows NT. В этой главе будет показано, как злоумышленник может получить важную информацию из системы Windows, воспользовавшись физическим доступом ксистеме. Обычно это загрузка альтернативной операционной системы и изменение параметров локальной системы.
Замена хранителя экрана
Мы начнем изучение темы физических атак с рассмотрения простой, но потенциально опасной хитрости — копирования командного интерпретатора (%systemraot%\system32\cmd. ехе) поверх хранителя экрана (%systemroot%\system32Mogon.scr). Это можно проделать даже без загрузки операционной системы, используя средство загрузки, которое позволяет смонтировать раздел системы (например NTFSDOS от Wintemats Software, ссылки содержатся в разделе "Дополнительная литература и ссылки" в конце этой главы).
Как ни элементарно это звучит, подобная хитрость срабатывает в системах Windows 2000: как только запускается хранитель экрана, появляется командная строка, запущенная в контексте учетной записи SYSTEM. Теперь можно ввести команду explorer, чтобы запустить графический командный интерпретатор или просто начать работу с данными через командную строку. Единственным недостатком с точки зрения злоумышленника является время ожидания до запуска хранителя экрана.
Как только получен доступ к командному интерпретатору с правами SYSTEM, атаки на систему становятся элементарными (они были подробно рассмотрены в главе Я, "Расширение сферы влияния").
Защита от подмены хранителя экрана
Здесь все просто — нужно обновить систему до Windows Server 2003, хотя это не остановит атаку, но позволит ограничить предоставляемые привилегии до уровня учетной записи Local Service (см. главу 2, "Архитектура системы безопасности Windows Server 2003").
Локальные атаки на базу данных SAM
Физические атаки против систем под управлением Windows 2000 сложнее, чем против Предыдущих версий Windows, поскольку в Windows 2000 реализован механизм защиты от таких хитростей. Использование подобных методов для Windows 9х или NT достаточно тривиально, но с появлением в Windows 2000 зашифрованной файловой системы (EFS, Encrypting File System), наконец стало понятно, что физический взлом системы больше нельзя приравнивать к получению информации, которая в ней хранится. Файловая система EFS будет подробно описана в главе 16, "Возможности и средства защиты в. системах Windows", а если кратко, то она разрешает шифрование данных на диске, так что их практически невозможно прочитать (при условии правильной настройки системы).
К сожалению, как будет видно из этой главы, обход системы EFS при атаке локальной системы также Прост, как и обход самой операционной системы классическими методами. Такая ситуация возникает по причине очень тесной связи между данным учетной записи пользователя в Windows 2000 (и более поздними версиями ОС) и криптографическими ключами, которые используются для доступа в систему EFS. Это классический недостаток методов криптографии — хотя алгоритмы и реализация файловой системы EFS на бумаге ылгляяят
достаточно надежно, в конечном счете, система оказывается уязвимой, поскольку в ее основе безопасности лежит пара слов, состоящая из имени пользователя и пароли.
Мы уже упоминали один тип атак на локальную систему при описании взлома пароля в главе 8, "Расширение сферы влияния". Взлом пароля обычно основан на взломе записи из базы данных паролей Windows NT/2000, файла базы данных SAM (Security Access Manager — диспетчер учетных записей безопасности). Содержимое базы данных SAM можно также получить и при локальном доступе к системе, если загрузить другую операционную систему и скопировать файл SAM на съемный носитель информации или в область файловой системы, которая предоставлена в совместное использование через сеть.
Сначала мы опишем некоторые классические методы атак локальных пользователей, затем проведем анализ применения этих атак по отношению к файловой системе EFS. И в завершение, будет описана модель атаки системы EFS, при Которой не требуется локального (offline) доступа к системе.
НА ЗАМЕТКУ
Триведенный в этой главе материал, предполагает понимание основ архитек-гуры системы EFS, которая подробно описана в главе 16, "Возможности и средства защиты в системах Windows".
Сброс пароля администратора путем удаления базы данных SAM
Популярность
Простота
Опасность 10
Степень риска

25июля 1999гола Джеймс Дж. Грейс (James J.Grace) и Томас СВ. БартлеттШ (Thomas S.V. Bartlett Ш) выпустили ошеломляющую статью, в которой было описано обнуление пароля учетной записи администратора путем загрузки альтернативной операционной системы и удале­ния файла SAM. Это звучит невероятно просто, но после удаления файла SAM локальной системы и перезагрузки можно войти в систему под именем администратора с пустым паролем. При этой атаке также будут удалены существующие пользовательские пароли на атакуемой системе, но если их значение для злоумышленника находится на втором месте после информации, которая хранится на диске, то это его не очень озаботит.
Такую атаку можно реализовать несколькими способами, но самый простой — создать загрузочную системную дискету DOS и скопировать на нес программу ntf sdospro производства компании Winternals Software, Тогда с этого диска можно загрузить DOS на атакуемой системе. Если в атакуемой системе используется файловая система FAT или FAT32, то файл SAM можно удалить с помощью следующей команды.
A:\idel c:\wlnnt\syBtem32\cozifig\BaJn
Предполагается, что для каталогов системы использованы имена по умолчанию. Для проверки имен каталогов сначала воспользуйтесь командой dir. Если в атакуемой системе используется файловая система NTFS, то для монтирования тома NTFS в DOS необходимо за­пустить программу ntf sdospro, и тогда файл базы данных SAM можно будет удалить с помощью приведенной выше команды.
При следующей загрузке система Windows 2000 заново создаст файл SAM, в котором будут сохранена учетная запись Administrator с пустым паролем. Чтобы получить полный контроль над системой, осталось лишь ввести эти данные при подключении.
Здесь важно отметить, что контроллеры доменов под управлением Windows 2000 неуязвимы для такой атаки, поскольку они не хранят хешированных паролей в базе данных SAM, Однако Грейс и Бартлетт в своей статье описали механизм получения того же результата для контроллеров домена путем установки второй копии Windows 2000.
Hft ЗАМЕТКУ
Меры противодействия такой атаке будут описаны в разделе "Меры противодействия локальным атакам".
1 Ъ гл b,V'<
Внедрение хеш-функций в файл SAM с помощью программы chntpw
Популярность
8

Простота
10

Опасность
10

Степень риска
9

Злоумышленники, которым нужен более тонкий механизм атаки, который не приводит к удалению всех учетных записей, могут добавить хешированный пароль В файл базы данных SAM локальной системы, воспользовавшись для этого загрузочной дискетой Linux и про­граммой chntpw Питера Нордал-Хагена (Petter Nordahl-Hagen).
Совершенно верно, вы правильно поняли: можно изменить пароль любой учетной записи системы, дажедля записи Administrator, даже если она была переименована.
Затаите дыхание — вас ждет еше более хитрый трюк: внедрение работает, даже если е системе используется утилита SYSKEY, даже если включена функция защиты утилиты SYSKEY паролем, или если SYSKEY хранится на дискете.
"Секундочку", — скажет кто-то. "Утилита SYSKEY применяет второй цикл шифрования хешированных паролей с помощью уникального 128-битового ключа, который хранится либо в реестре, возможно, защищенный паролем, либо на гибком диске (см. главу 2, "Архитектура системы безопасности Windows Server2003"). Как же кто-то может внедрять поддельные хешированные пароли, не зная системного ключадля их создания?"
Питер вьшенил, как можно отключить использование ключа SYSKEY. И что еще хуже, он обнаружил, что злоумышленнику даже не нужно этого делать — хешированные пароли, которые использовались до появления ключа SYSKEY, автоматически преобразуются в хешированные пароли syskey после перезагрузки. Стоит полюбоваться таким методом обмана системы.
Вот, что сделал Питер для отключения syskey (хотя этого можно было и не делать).
1. Значение параметра реестра HKLM\system\CurrentControlSetAControl\IiSa\ SecureBoot необходимо установить в 0, чтобы отключить шифрование с помощью SYSKEY (возможные значения этого параметра: 0 — отключен; 1 — ключ хранится в реестре незащищенным; 2 — ключ хранится в реестре, защищенный паролем; 3 — ключ хранится на гибком диске).
2. Измените флаг из структуры HKLM\SAM\Domains\Account\F на то же значение, которое было использовано для параметра SecureBoot. В запущенной системе этот ключ недоступен.
3. Только в Windows 2000 также потребуется изменить значение параметра реестра HKLMXsecurityXPolicyXPolsecretEncryptionKeyV <default> в то же значение, которое было использовано в двух предыдущих пунктах.
Поданным Питера, изменение только одного из первых двух значений в NT4 в версиях до версии SP6 приводит к появлению сообщения о несоответствии между файлом SAM и системными настойками после завершения ззгрузки системы, и программа SYSKEY опять акти­вируется. В Windows 2000, вероятно, при несоответствии между этими двумя параметрами происходит установка наиболее вероятного значения.
И снова напоминаем о том, что этот метод не будет работать на контроллерах доменов Windows 2000, поскольку здесь используется только файл SAM. Повторим, что на контроллерах доменов хешированные пароли хранятся в службе Active Directory, а не в базе данных SAM.
ВНИМАНИЕ
Использование описанного здесь метода может привести к повреждению срайла SAM и другим неприятным результатам. В частности, не нужно выбирать опцию Disable SYSKEY в программе chntpw для систем Windows 2000 (и более поздних версий Windows). По имеющейся информации, это приводит к опасным последствиям, может даже потребоваться полная переустановка системы.
Доступно множество удобных в использовании программ, предназначенных для восстановления системы при утраченном пароле администратора, например ERD Commander от Winternals (см. ссыпку в разделе "Дополнительная литература и ссылки").

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика