Інвентаризація додатків і ідентифікаційних маркерів

Вище були розглянуті питання інвентаризації мережі і облікових записів користувачів. При цьому для досягнення необхідного результату застосовні різні засоби, вбудовані в саму операційну систему. А як щодо отримання списку додатків, встановлених на комп'ютері Nt/2000? Подібна інформація здатна значно розширити знання про досліджувану систему. Процес підключення до видалених застосувань і спостереження за результатами їх використання часто називається збором маркерів (banner grabbing) і може опинитися несподівано інформативним для зломщиків. Якщо говорити коротко, то в процесі збору маркерів можна ідентифікувати програмне забезпечення, запущене на сервері, і його версію. А це у багатьох випадках буде цілком досить, щоб почати пошук вразливих місць.

Основи процесу збору маркерів: утиліти telnet і netcat

Випробуваним і надійним інструментом інвентаризації ідентифікаційних маркерів і додатків як в світі NT, так і в світі UNIX, є утиліта telnet. Встановивши з її допомогою з'єднання з відомим портом досліджуваного сервера, натисніть кілька разів клавішу <Enter> і подивитеся отриманий результат.

C:\>telnet www.corleone.com 80
Http/1.0 400 Bad Request Server: Netscape-commerce/i.12
Your browser sent а non-http compliant message.

C:\>nc -v www.corleone.com 80 
www.corleone.com [192.168.45.7] 80 (?) open

Нттр/1.1 400 Bad Request
Server: Microsoft-iis/4.О
Date: Sat, 03 Apr 1999 08:42:40 GMT
Content-type: text/html
Content-length: 87
<html><headxtitle>error</title></headxbody>
The parameter is incorrect. </bodyx/html>

Збір ідентифікаційних маркерів Nt/2000: контрзаходи

Захист від такого роду спроб проведення інвентаризації вимагає від адміністратора деякої частки винахідливості. Проте ми не можемо визначити з достатнім ступенем визначеності, наскільки важлива для зломщиків інформація про додатки і служби, що працюють у вашій мережі.
По-перше, перевірте всі важливі застосування і спробуйте знайти спосіб, за допомогою якого можна було б запобігти наданню інформації про виробника і номер версії в ідентифікаційних маркерах. Регулярно перевіряйте свою мережу, скануючи порти і підключаючись за допомогою утиліти netcat до виявлених активних портів, щоб переконатися в тому, що з мережі не йде навіть незначна частина інформації, яка може представляти інтерес для потенційного зломщика.

Інвентаризація системного реєстру Nt/2000

Інший механізм отримання інформації про додатки Nt/2000 має на увазі отримання копії вмісту системного реєстру досліджуваного комп'ютера. Практично всі сучасні застосування, коректно встановлені на комп'ютері NT, залишають більш менш помітні "сліди" в системному реєстрі. Потрібний лише знати, де проводити пошук необхідної інформації. Крім того, зловмисник, що дістав доступ до системного реєстру, може почерпнути з нього немало відомостей про користувачів і параметри конфігурації. Запасшись неабиякою часткою терпіння, в лабіринті вуликів можна виявити відомості, які дозволять дістати доступ до потрібної інформації. На щастя, в системі Nt/2000 доступ до системного реєстру за умовчанням дозволений лише адміністраторам (щонайменше в її версії для сервера). Таким чином, описуваний нижче метод зазвичай непридатний при використанні анонімних нульових з'єднань. Проте з цього правила існує одне виключення, коли в ключі Hklm\system\current-controlset\control\securepipeserver\ Winreg\allowedpaths задані інші параметри, відкриті для доступу за допомогою нульових сеансів. В цьому випадку за умовчанням доступ дозволений до ключа Hklm\software\microsoft\windowsnt\ Currentversion.
Для виконання цього завдання можна скористатися або утилітою regdmp, що входить до складу NTRK, або вже відомою нам утилітою Dumpsec компанії Somarsoft.
Можливості утиліти regdmp вельми обмежені і, по суті справи, зводяться до отримання дампу всього системного реєстру (або окремих ключів, заданих в командному рядку). Хоча зазвичай видалений доступ до системного реєстру дозволений тільки адміністраторам, шкідливі хакери, як правило, все ж таки намагаються отримати ключі, сподіваючись, що їм повезе. Нижче приведений приклад запиту, в результаті якого можна з'ясувати, які застосування автоматично запускаються при завантаженні системи Windows. Часто хакери перешкодять в цей ключ посилання на утиліти, організуючі прихований вхід в систему, наприклад утиліту Netbus (див. розділу 5 і 14).

С:\> regdmp -m \\192.168.202.33
Hkey_local_machine\software\
Microsoft\windows\currentversion\run
Hkey_local_machine\software\microsoft\windows\
Currentversion\run
Systemtray = Systray.Exe
Browserwebcheck = loadwc.exe

Мал. 3.6. Утиліта Dumpsec дозволяє отримати інформацію про всі служби і драйвери, запушені на видаленому комп'ютері

Контрзаходи проти збору ідентифікаційних маркерів і інвентаризації системного реєстру

Переконаєтеся, що системний реєстр заблокований і до нього не можна дістати доступ з використанням видалених з'єднань. Для цього необхідно перевірити можливість видаленого доступу до ключа Hklm\system\currentcontrolset\securepipe Servers \winreg і всім пов'язаним з ним подключам. Якщо цей ключ присутній, то за умовчанням видалений доступ до реєстру дозволений лише адміністраторам. Цей ключ за умовчанням присутній тільки у версії Win Nt/2000, призначеній для сервера, але не для робочої станції. У додаткових подключах задаються певні шляхи системного реєстру, що вирішують доступ незалежно від політики забезпечення безпеки, прийнятої для ключа winreg. Докладніша інформація про це приведена в статті Q155363 бази даних компанії Microsoft, яку можна знайти за адресою http://search.support.microsoft.com. Крім того, скористайтеся яким-небудь хорошим засобом, наприклад програмою Dumpsec, і упевніться у відсутності просочування інформації.