LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Інвентаризація додатків і ідентифікаційних маркерів

Вище були розглянуті питання інвентаризації мережі і облікових записів користувачів. При цьому для досягнення необхідного результату застосовні різні засоби, вбудовані в саму операційну систему. А як щодо отримання списку додатків, встановлених на комп'ютері Nt/2000? Подібна інформація здатна значно розширити знання про досліджувану систему. Процес підключення до видалених застосувань і спостереження за результатами їх використання часто називається збором маркерів (banner grabbing) і може опинитися несподівано інформативним для зломщиків. Якщо говорити коротко, то в процесі збору маркерів можна ідентифікувати програмне забезпечення, запущене на сервері, і його версію. А це у багатьох випадках буде цілком досить, щоб почати пошук вразливих місць.

Основи процесу збору маркерів: утиліти telnet і netcat


Випробуваним і надійним інструментом інвентаризації ідентифікаційних маркерів і додатків як в світі NT, так і в світі UNIX, є утиліта telnet. Встановивши з її допомогою з'єднання з відомим портом досліджуваного сервера, натисніть кілька разів клавішу <Enter> і подивитеся отриманий результат.

C:\>telnet www.corleone.com 80
Http/1.0 400 Bad Request Server: Netscape-commerce/i.12
Your browser sent а non-http compliant message.

Цей метод спрацьовує для багатьох популярних застосувань, що використовують вказаний порт (спробуйте його для порту HTTP 80, SMTP 25 або FTP 21, який особливо інформативний при дослідженні сервера під управлінням Windows).
Якщо вам потрібний інструмент для ретельніших досліджень, спробуйте "швейцарський армійський ніж" протоколу Tcp/ip — утиліту netcat, яка спочатку була написана хакером Хоббітом (Hobbit http: //www.avian.org)а потім перенесена на платформу NT Вельдом Пондом (Weld Pond) з групи Lopht, що займається дослідженнями в області безпеки (іншими словами — це хакери, що є "хорошими хлопцями"). Утиліту netcat можна знайти за адресою http://www.10pht.com/-weld/netcat/index.html. Це ще одна утиліта, яка цілком заслуговує на місця на Алеї Слави будь-якого адміністратора NT. З іншого боку, це означає, що коли нею користується зловмисник, наслідки можуть опинитися справді руйнівними. Нижче ми розглянемо один з простих прикладів застосування утиліти netcat — підключення до TCP-порту видаленого комп'ютера. 

C:\>nc -v www.corleone.com 80 
www.corleone.com [192.168.45.7] 80 (?) open

У таких ситуаціях введення навіть невеликої кількості даних приводить до отримання відгуку з боку видаленого вузла. В даному випадку, при натисненні клавіші <Enter> ми отримаємо наступні результати.

Нттр/1.1 400 Bad Request
Server: Microsoft-iis/4.О
Date: Sat, 03 Apr 1999 08:42:40 GMT
Content-type: text/html
Content-length: 87
<html><headxtitle>error</title></headxbody>
The parameter is incorrect. </bodyx/html>

Отримана інформація здатна істотно звузити зону пошуку підходів до проникнення в досліджувану систему. Тепер, коли відомий виробник і версія програмного забезпечення Web-сервера, зломщики можуть зосередитися на методах, специфічних для даної платформи, і перебирати добре перевірені прийоми до тих пір, поки один з них не досягне мети. Таким чином, час починає працювати на зловмисника, а не на користь адміністратора. Ми ще не раз зупинимося на методах застосування утиліти netcat, у тому числі і для витягання додаткової інформації при інвентаризації UNIX. Це питання розглядатиметься в наступному розділі.

Збір ідентифікаційних маркерів Nt/2000: контрзаходи


Захист від такого роду спроб проведення інвентаризації вимагає від адміністратора деякої частки винахідливості. Проте ми не можемо визначити з достатнім ступенем визначеності, наскільки важлива для зломщиків інформація про додатки і служби, що працюють у вашій мережі.
По-перше, перевірте всі важливі застосування і спробуйте знайти спосіб, за допомогою якого можна було б запобігти наданню інформації про виробника і номер версії в ідентифікаційних маркерах. Регулярно перевіряйте свою мережу, скануючи порти і підключаючись за допомогою утиліти netcat до виявлених активних портів, щоб переконатися в тому, що з мережі не йде навіть незначна частина інформації, яка може представляти інтерес для потенційного зломщика.

Інвентаризація системного реєстру Nt/2000


Інший механізм отримання інформації про додатки Nt/2000 має на увазі отримання копії вмісту системного реєстру досліджуваного комп'ютера. Практично всі сучасні застосування, коректно встановлені на комп'ютері NT, залишають більш менш помітні "сліди" в системному реєстрі. Потрібний лише знати, де проводити пошук необхідної інформації. Крім того, зловмисник, що дістав доступ до системного реєстру, може почерпнути з нього немало відомостей про користувачів і параметри конфігурації. Запасшись неабиякою часткою терпіння, в лабіринті вуликів можна виявити відомості, які дозволять дістати доступ до потрібної інформації. На щастя, в системі Nt/2000 доступ до системного реєстру за умовчанням дозволений лише адміністраторам (щонайменше в її версії для сервера). Таким чином, описуваний нижче метод зазвичай непридатний при використанні анонімних нульових з'єднань. Проте з цього правила існує одне виключення, коли в ключі Hklm\system\current-controlset\control\securepipeserver\ Winreg\allowedpaths задані інші параметри, відкриті для доступу за допомогою нульових сеансів. В цьому випадку за умовчанням доступ дозволений до ключа Hklm\software\microsoft\windowsnt\ Currentversion.
Для виконання цього завдання можна скористатися або утилітою regdmp, що входить до складу NTRK, або вже відомою нам утилітою Dumpsec компанії Somarsoft.
Можливості утиліти regdmp вельми обмежені і, по суті справи, зводяться до отримання дампу всього системного реєстру (або окремих ключів, заданих в командному рядку). Хоча зазвичай видалений доступ до системного реєстру дозволений тільки адміністраторам, шкідливі хакери, як правило, все ж таки намагаються отримати ключі, сподіваючись, що їм повезе. Нижче приведений приклад запиту, в результаті якого можна з'ясувати, які застосування автоматично запускаються при завантаженні системи Windows. Часто хакери перешкодять в цей ключ посилання на утиліти, організуючі прихований вхід в систему, наприклад утиліту Netbus (див. розділу 5 і 14).

С:\> regdmp -m \\192.168.202.33
Hkey_local_machine\software\
Microsoft\windows\currentversion\run

Hkey_local_machine\software\microsoft\windows\
Currentversion\run
Systemtray = Systray.Exe
Browserwebcheck = loadwc.exe

Програма Dumpsec дозволяє отримати результат в привабливішій формі (мал. 3.6), проте в більшості випадків він нічим не відрізняється від результатів застосування утиліти regdmp. У звіті утиліти Dumpsec містяться відомості про всі служби і драйвери ядра Win32 видаленої системи, що як працюють, так і не працюють (відповідно до встановлених дозволів). Отримана інформація може підказати зловмисникові, в якому напрямі необхідно зосередити зусилля при плануванні вторгнення і його реалізації. Не забувайте про те, що при використанні програми Dumpsec потрібне відкриття нульового сеансу.



Мал. 3.6. Утиліта Dumpsec дозволяє отримати інформацію про всі служби і драйвери, запушені на видаленому комп'ютері

Контрзаходи проти збору ідентифікаційних маркерів і інвентаризації системного реєстру


Переконаєтеся, що системний реєстр заблокований і до нього не можна дістати доступ з використанням видалених з'єднань. Для цього необхідно перевірити можливість видаленого доступу до ключа Hklm\system\currentcontrolset\securepipe Servers \winreg і всім пов'язаним з ним подключам. Якщо цей ключ присутній, то за умовчанням видалений доступ до реєстру дозволений лише адміністраторам. Цей ключ за умовчанням присутній тільки у версії Win Nt/2000, призначеній для сервера, але не для робочої станції. У додаткових подключах задаються певні шляхи системного реєстру, що вирішують доступ незалежно від політики забезпечення безпеки, прийнятої для ключа winreg. Докладніша інформація про це приведена в статті Q155363 бази даних компанії Microsoft, яку можна знайти за адресою http://search.support.microsoft.com. Крім того, скористайтеся яким-небудь хорошим засобом, наприклад програмою Dumpsec, і упевніться у відсутності просочування інформації.




:: Реклама ::

>Страница статей


:: Посилання ::

-

https://ск.su/ | Смотрите авто на нашем сайте

:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2024