Upload
ana-morena-vujovic
View
82
Download
2
Embed Size (px)
DESCRIPTION
Napadi i zaštita od napada
Citation preview
FAKULTET ZA INFORMACIONE TEHNOLOGIJE
UNIVERZITET MEDITERAN
PROJEKAT
NAPADI NA WINDOWS SISTEM
Student: Mentor:
Ana Vujović 03/10 Doc. Dr Srđan Jovanovski
U Podgorici, 2013.
Napadi na Windows sistem Ana Vujović
2
Sadržaj UVOD ....................................................................................................................................................... 4
MICROSOFT WINDOWS ...................................................................................................................... 5
Kratak osvrt kroz vrijeme ..................................................................................................................... 5
TERMINOLOGIJA ................................................................................................................................ 13
HAKOVANJE - FAZE ....................................................................................................................... 15
1. Izviđanje ............................................................................................................................... 15
2. Skeniranje ............................................................................................................................. 15
3. Dobijanje pristupa ................................................................................................................. 16
4. Održavanje pristupa .............................................................................................................. 17
5. Prikrivanje tragova ................................................................................................................ 17
NAPADI I ZAŠTITA OD NAPADA ..................................................................................................... 18
1. IZVIĐANJE .................................................................................................................................... 18
FOOTPRINTING................................................................................................................................ 18
Prisluškivanje razmjene šifara na mreži (sniffing) ................................................................... 18
ZAŠTITA - Prisluškivanje razmjene šifara na mreži (sniffing) ............................................... 19
2. SKENIRANJE ................................................................................................................................ 19
Skeniranje portova .................................................................................................................... 19
ZAŠTITA – Skeniranje portova ............................................................................................... 21
Aktivna identifikacija operativnog sistema .............................................................................. 22
Pasivna identifikacija operativnog sistema .............................................................................. 24
ZAŠTITA – Aktivna / Pasivna Identifikacija operativnog sistema ......................................... 25
3. DOBIJANJE PRISTUPA ................................................................................................................ 25
Preuzimanje privilegija ................................................................................................................ 25
ZAŠTITA - Preuzimanje privilegija ........................................................................................... 26
Probijanje šifara ........................................................................................................................... 26
ZAŠTITA - Probijanje šifara ....................................................................................................... 28
DoS NAPADI ..................................................................................................................................... 28
Smurf napad ............................................................................................................................. 29
ZAŠTITA – Smurf napad ......................................................................................................... 29
Preplavljivanje mreže SYN paketima .......................................................................................... 30
ZAŠTITA - Preplavljivanje mreže SYN paketima ...................................................................... 31
Napadi na Windows sistem Ana Vujović
3
4. ODRŽAVANJE PRISTUPA .......................................................................................................... 31
Daljinsko upravljanje i zadnja vrata(remote control, back doors) ............................................... 31
Komandno linijsko orjentisani alati za daljinsko upravljanje .................................................. 31
Grafičko daljinsko upravljanje ................................................................................................. 33
5. PRIKRIVANJE TRAGOVA .......................................................................................................... 34
Onesposobljavanje provjera ......................................................................................................... 34
Čišćenje Event Log-a ................................................................................................................... 34
Sakrivanje fajlova ........................................................................................................................ 35
Probijanje administratorske šifre uz pomoć CMD-a ............................................................................... 36
................................................................................................................................................................. 37
LITERATURA........................................................................................................................................ 39
Napadi na Windows sistem Ana Vujović
4
UVOD
Iz dana u dan susrećemo se sa brzim razvojem tehnologija, ali u korak sa tim ide i razvoj interneta.
Obzirom na situaciju koja trenutno vlada na internetu, nailazimo na veliki broj virusa i malicioznih
programa. Kao što znamo, virusi kao i maliciozni programi, pisani su za sve vrste operativnih sistema,
kako za računare, tako i za mobilne telefone i tablete. Međutim, najveći broj njih, pisan je za računare na
kojima je instaliran Microsoft Windows operativni sistem.
Zašto napadanje na Microsoft-ov Windows operativni sistem ?
Prvi odgovor, i jedan od najrealnijih, jeste zbog toga što je Windows najzastupljeniji i najpopularniji
operativni sistem, i da pisanjem virusa za jedan ovakav sistem postoji velika mogućnost da se „zarazi“
veliki broj neiskusnih i nezaštićenih korisnika.
Drugi odgovor na ovo pitanje je kompleksnost samog sistema. Sa razvojem interneta i tehnologija,
razvijao se i Windows, i iz verzije u verziju povećavala se količina izvornog koda (engl. source code).
Promjene koje su nastajale u sistemu uticale su na to da se kroz svaku verziju provuče po neki propust,
što je sa većim napretkom, uzrokovalo više sitnijih propusta.
U nastavku ćemo se prisjetiti najpopularnijeg operativnog sistema, od nastanka do danas, i detaljnije ga
analizirati, počevši od njegovih slabosti, koje su uslovile česte napade, pa sve do ispravljanja istih i
prevencije od novih napada.
Napadi na Windows sistem Ana Vujović
5
MICROSOFT WINDOWS
Microsoft Windows predstavlja porodicu operativnih sistema pisanih za personalne računare i servere,
kompanije Microsoft.
Kao odgovor na povećanje interesovanja za grafički korisnički interfejs (engl. graphical user interface),
Microsoft je 20.novembra.1985. godine predstavio svoju prvu verziju operativnog sistema - Windows
koji je imao grafički orjentisan operativni sistem.
Kratak osvrt kroz vrijeme
Windows 1.0
Jezgro prve verzije je činio MS-DOS - ov izvršni program. (engl. MS-DOS Executive). Komponente koje
su bile uključene su:
Digitron,
Kalendar,
Komponenta za upravljanje
informacijama
Komponenta za pregled ekrana
Sat,
Kontrolnu tabla,
Komponenta za crtanje,
Terminal,
2 programa za obradu teksta (engl.
Write, Notepad)
Slika 1. Windows 1.0, prva verzija - 1985.
Windows 3.0 i 3.1
Ovo je druga važna verzija koju je predstavio Microsoft 1990. godine.
Poboljšan je dizajn, najviše zbog virtuelne memorije i virtuelnih upravljačkih programa za uređaje, koji
su omogućavali proizvoljno dijeljenje uređaja između DOS aplikacija zasnovanih na multitaskingu.(engl.
multi - task – više aplikacija). Takođe, aplikacije ovog sistema su imale mogućnost rada u zaštićenom
modu (isti adresni prodtor, ali segmentirana memorija omogućava stepen bezbjednosti) , što je značilo
Napadi na Windows sistem Ana Vujović
6
da mogu raspolagati sa određenim brojem megabajta iz memorije, bez ulaska u memorijsku šemu, koja
bi inače dijelila memoriju po potrebama aplikacija.
Slika 2. Windows 3.0 (1990)
Windows 3.1 je predstavljen 1992. godine, dok je 1993.godine d za potrebe radnih grupa - Workgroups,
sa integrisanim „svako sa svakim“ umrežavanjem ( engl. peer – to – peer networking - P2P )
Windows 9x
Sledeća verzija koja se razvijena je Windows 95 –
1995. godine. Windows 95 kao inovacije predstavlja
podršku za njihove 32-bitne aplikacije, “priključi i
pokreni” (engl. plug and play) hardver, preventivni
multitasking, duga imena fajlova, do 255 karaktera i
obezbjeđuje veću stabilnost u odnosu na svoje
prethodnike. Takođe, Windows 95 predstavlja
redizajniran, objektno – orjentisan korisnički
interfejs, koji zamjenjuje prethodnu aplikaciju za
upravljanje programima (engl. Program Manager)
sa Start meni-jem (engl. Start menu) i trakom
zadataka (engl. taskbar). Slika 3. Windows 95 (1995)
Napadi na Windows sistem Ana Vujović
7
Verzija koja predstavlja nadogradnju Windows 95 je Windows 98 koji je predstavljen 1998. godine.
Windows 98 je uveo Windows Driver Model, podršku za USB kompozitne uređaje, podršku za ACPI
(engl. Advanced Configuration and Power Interface), hibernacije, podršku za multi- monitorsku
konfiguraciju. Takođe je uključio integraciju sa Internet Explorer-om 4 kroz Active Desktop i drugim
aspektima Windows Desktop Update-a (Niz poboljšanja u Explorer jezgru)
Windows 98 SE (engl. Second Edition) se pojavljuje 1999. godine i u ovoj verziji, pored ostalih
nadgradnji, dodat je i Internet Exolorer 5.0 i Windows Media Player 6.2.
Poslednja verzija koja se oslanjala na DOS je Windows ME (engl. Millenium Edition), koja je objavljena
2000.godine. Windows ME poprima grefički intefejs od Windows-a 2000, dok je sam operativni sistem
namjenjen širokom potrošačkom tržištu (radne grupe - Workgroups). Nove mogućnosti koje dolaze sa
ovim operativnim sistemom su:
Zaštita sistemskih fajlova
Podrška za ADSL i kablovske modeme
Dijeljenje internet konekcije
Podrška UPnP1 standardu
Internet Explorer 5.5
Windows Movie Maker
Windows Media Player 7
MSN Messanger
Automatsko ažuriranje
Poboljšana podrška novih uređaja
Automatsko prepoznavanje novih
uređaja priključenih preko USB sa
mogućnošću bezbjednog isključivanja
istih
Slika 4. Windows Millenium Edition
1 UPnP – Universal Plug and Play
Napadi na Windows sistem Ana Vujović
8
Windows NT
Windows NT (engl. New Technologies) je zajedničko ime za porodicu operativnih sistema novih
tehnologija čija je prva verzija bila razvijena 1993.godine.
Operativni sistem je radio razvojni tim Microsoft-a u saradnji sa članovima Digital Equipment
Corporation-a. Razvili su sistem nazvan NT OS/2 , koji je nastao iz prerađene verzije IBM-a i Microsoft-
ovog operativnog sistema OS/2.
NT OS/2 je dizajniran da bude moćan i siguran sistem, zasnovan na jezicima visokog nivoa, nezavisan
od procesora, da podržava rad sa više procesora i istovremeno opslužuje proizvoljan broj korisnika, tj.
da bude dopuna svim Windows sistemima razvijenim do tada.
Nakon uspješnog izdanja Windows-a 3.0, NT razvojni sistem je odlučio da preradi projekat koristeći
32-bitni port Windows API2, poznat kao Win32 , umjesto portova OS/2. Win32 je omogućavao da
postojeće Windows aplikacije budu sprovedene na platformu, i podržavao je mogućnosti postojećeg NT
jezgra.
Windows NT je prva potpuno 32- bitna verzija Windows-a, dok su njegovi prethodnici, orjentisani na
kućne korisnike 3, 95, 98 bili 16-bitni ili 32-bitni hibridni sistem.
Prva verzija Windows-a koji je pripadao NT porodici pojavila se 1993. godine i to je bio Windows NT
3.1 ( Oslanjao se na verziju Windows 3.1), koji je bio dostupan za klijentske i serverske računare.
Sledeća verzija je Windows NT 3.5 koja se pojavila 1994.godine, sa poboljšanjem performansi i
podrškom za NetWare3. Windows NT 5.51 se javlja 1995. godine sa dodatnim poboljšanjima i podršku
za PowerPC4 arhitekturu.
Windows NT 4.0 se pojavljuje 1996. godine i predstavlja redizajniran interfejs Windows-a 95.
Windows 2000 se pojavljuje 2000. godine kao najuspješnija verzija Windows NT 4.0 verzije.
2 WinAPI - Application Programming Interface - Windows-ovo jezgro 3 NetWare – computer network operating system – podrška za umrežavanje 4 PowerPC – Performance Optimization With Enhanced RISC – Performance Computing
Napadi na Windows sistem Ana Vujović
9
Windows XP (eXPerience)
Ovaj operativni sistem se pojavljuje 2001. godine. Postoje 2 glavna izdanja ovog operativnog sistema:
Home Edition - za kućne korisnike i Professional – za poslovne korisnike. Professional edicija nudi
neke povlastice koje se ne mogu naći kod Home edicije, kao što su Remote Desktop (omogućava
upravljanje drugim Windows XP računarom u LAN mreži) , podršku za više procesora, itd.
Poboljšanja koja donosi ova verzija operativnog sistema su:
Brže podizanje i hibernacija sistema
Mogućnost povratka hardverskih drajvera na starije verzije (Driver rollback)
Novi korisnički interfejs
Adresiranje do maksimalno 3,6 GB RAM-a, (Windows XP x64 adresira 128 GB RAM-a)
Grafički interfejs (engl. Graphical User Interface - GUI)
Grafički interfejs ovog operativnog sistema je nazvan Luna. Redizajniran je start meni i pretraga. Dodate
su nove vidljive promjene:
Poluprazni plavi kvadrat koji se pojavljuje pri
označavanju datoteka u Windows Explorer-u
Sjenke ispod ikona na radnoj površini
Traka na lijevoj stani Windows Explorer-a
Grupisanje istih prozora na taskbar5-u
Mogućnost zaključavanja taskbar-a
Označavanje novo instaliranih programa u
Start meniju
Slika 5. Windows XP
Servise Pack 1 (2002.) - podrška za USB 2.0 i Set Program Access and Defaults utility.
Service Pack 2 – podrška za Wi-Fi, Bluetooth i pop-up bloker za Internet Explorer.vOd programa su
dodati Windows SecurityCenter, Windows Update i novi Windows Firewall i Windows Movie Maker2
Service Pack 3 (2008) – donosi brojne sigurnosne nadogradnje
5 Taskbar – linije zadataka, tj. linija koja se nalazi u dnu prozora koja pokazuje sve otvorene aplikacije
Napadi na Windows sistem Ana Vujović
10
Windows Vista, 7, 8
Windows Vista je izašla 2006. godine i predstavlja
liniju grafički orjentisanih operativnih sistema
namjenjenih za personalne računare (kućne,
profesionalne, tablet verzije).
U ovoj verziji nailazimo na mnoštvo novih
poboljšanja od kojih su najveća: grafički korisnički
interfejs (Windows Areo), novi multimedijalni alati
(Windows DVD Maker) i kompletan redizajn
mrežnih, audio, printerskih i grafičkih podsitema.
Vista pokušava povećati nivo komunikacije između
uređaja u kućnoj mreži koristeći peer-to-peer
tehnologiju, zatim lakšu razmjenu podataka između
računara i uređaja. Slika 6. Windows Vista
Poboljšanja u ovoj verziji:
Windows Aero
Windows Shell
Brza pretraga (Instant Search
Windows Sidebar
Windows Internet Explorer 7
Windows Media Player 11
Backup and Restore Center.
Windows Mail
Windows Calendar
Windows Photo Gallery
Windows DVD Maker
Windows Media Center
Igre i Games Explorer
Windows Mobility Center
Windows Meeting Space
Shadow Copy
Windows Update
Parental controls
Glasovno upravljanje (Speech
recognition)
Novi fontovi
Problem Reports and Solutions
Poboljšana kontrola zvuka
Podaci o performansama (System
Performance Assessment)
Windows Ultimate Extras
Ugrađeni alat za uravljanje particijama
(Built-in hard drive partition
management)
Windows 7 predstavlja znatno poboljšanu verziju od Viste, koji se pojavio 2009. godine. Windows 7 se
može naći u 2 verzije : 32-bitnoj i 64-bitnoj. (koje označavaju arhitekturu računara)
Noviteti koji se javljaju kod Win 7 su: unaprijeđeni sistemi za upravljanje dodirom i prepoznavanje
rukopisa, podrška za virtuelne hard diskove, poboljšanje performansi na višejezgarnim procesorima,
poboljšane performanse u dizajnu sistema, podrška za korišćenje više grafičkih kartica različitih
proizvođača. Takođe, novi su i Windows Media Center, Gadget za Windows Media Center, poboljšane
multimedijalne sposobnosti, XPS čitač, ugrađen Windows PowerShell, redizajnirani digitron sa novim
modovima Programer i Statistika, i sposobnost pretvaranja mjernih jedinica. Windows Security Center iz
ranijih verzija preimenovan je u Windows Action Center.
Slika 7. Windows 7
Window 7 posjeduje više podjela po edicijama operativnih sistema u zavisnosti od mogućnosti koje svaka
pruža, pa imamo:
Windows 7 Starter – omogućava najjednostavnije korišćenje računara, uz prisutnost samo
najjednostavnijih funkcija koje su potrebne za upravljanje sistemom.
Windows 7 Home Premium – omogućava kreiranje kućne mreže o dijeljenje omiljenih slika,
video-zapisa i muzike. Može se čak gledati, zaustavljati, premotavati i snimati televizijski
program.
Windows 7 Professional – pomaže u radu na poslu. Ima razvijene opcije za zaštitu podataka. Dosta
složeniji od prethodne dvije edicije.
Windows 7 Ultimate – najsnažnije izdanje Windows 7. Najnaprednija edicija, najsloženija. Laka
za upravljanje. Posjeduje najviše mogućnosti za rad na računaru, počevši od stvari za posao i
raznih mogućnosti za zaštitu i lakše obavljenje posla, do nekih jednostavnijih stvari, kao što je
slušanje muzike i pregled video zapisa.
Napadi na Windows sistem Ana Vujović
12
Windows 8 se pojavio 2012. godine. Baziran na dizajnerskom jeziku Metro i predstavljen s novim
"Windows 8-style software". Windows 8 dolazi i sa novim početnim ekranom, Internet Explorerom 10,
podrškom za USB 3.0, novim antivirusnim programom Windows Defender, Windows To Go i podrškom
za UEFI SecureBoot.
Postoje 4 glavne edicije: Windows 8, Windows 8 Pro,
Windows 8 Enterprise i Windows RT. Prva tri imaju
skoro iste hardverske zahtjeve kao i Windows 7.
Poslijednji je namijenjen pokretanju na tablet uređajima.
Windows 8 Enterprise i Windows RT nisu dostupni u
slobodnoj prodaji na optičkom disku; Windows RT je
dostupan samo kao instaliran na tablet uređajima, koji se
mogu naći u slobodnoj prodaji.
Slika 8. Windows 8
Napadi na Windows sistem Ana Vujović
13
TERMINOLOGIJA
Haker (engl. hacker) - informatički „zaljubljenik“, koji želi istražiti sve nove mogućnosti internet
tehnologije, pa zalazeći i u kriminalnu sferu. On upada u tuđe sisteme iz čiste želje da nauči nešto novo,
bez namjere da nanese štetu.
Hakovanje (engl. hacking) – vješto pisanje preciznih kompjuterskih programa, obično sa namjerom
dobijanja nezakonitog ili zlonamjernog pristupa.
Kraker (engl. cracker) je osoba koja ima visok stepen kompjuterskog znanja i koja se svjesno bavi
nelegalnim kompjuterskim aktivnostima, npr. upad u tuđi računar sa namjerom da mu se nanese šteta
(unos zloćudnih programa, neovlašćeno kopiranje, mijenjanje ili brisanje postojećih podataka), ili da se
izvuku lični podaci o kotisniku (brojevi računa i kreditnih kartica, matični broj,..) kako bi ih upotrijebio
za neke nezakonite radnje.
Krakeri se mogu podjeliti na 3 glavne grupe:
Bijele (engl. white hats) - osobe koje svojw znanja koriste u cilju poboljšanja programa
Crne (engl. black hats) - osobe koje namjerno uništavaju sisteme
Sive (engl. grey hats) – kombinacija bijelih i crnih - npr. špijuni
Etički haker (engl. ethical hacker) – osoba koja radi za određenu kompaniju, i “napada” sigurnosni
sistem kompanije sa namjerom da otkrije njegove slabosti koje bi mogli iskoristiti hakeri za maliciozne
napade.
Prijetnja (engl. threat)– radnja ili događaj koji može negativno da utiče na bezbjednost sistema. Prijetnje
su prioritet u procesu bezbjednosne analize.
Ranjivost (engl. vulnerability) – postojanje slabosti, ili implementacione greške, koja može neočekivano
dovesti sigurnost sistema u kompromitujuću situaciju.
Cilj evaluacije (engl. target of evaluation) – IT sistem, proizvod ili komponenta definisani kao oni koji
zahtjeva procjenu njihove bezbjednosti.
Napadi na Windows sistem Ana Vujović
14
Principi zaštite sistema – C.A.I.A
C – engl. Confidentiality – Povjervljivost – štiti informacije i resurse od neovlašćenog pristupa.
A – engl. Authentication – Autentičnost – omogućava identifikacija i kontrola pristupa računarskim
sistemima.
I – engl. Integrity – Integritet – obezbjeđuje da podaci ili resursi ostaju nepromjenjeni od predajnog do
prijemnog računara.
A – engl. Availability – Raspoloživost – omogućava stalnu raspoloživost informacijama i resursima.
Tehnologije koje se koriste za hakovanje mreže ili sistema su sledeće:
Trojanci (engl. Trojans)
Sniferi (engl. Sniffers)
Prekoračeneje bafera (engl. Buffer overflows )
Backdoors
Rootkits
Exploits
SQL injection
Hakerski napadi su podjeljeni na: pasivne i aktivne, i isto tako postoje unutrašnji i spoljašnji napadi.
Pasivni napadi predstavljaju napad na povjerljivost, jer je njihov cilj samo dolaženje do informacija.
Aktivni napadi predstavljaju napad na raspoloživost, autentičnost i integritet sistema, sa namjerom da
naprave promjene na sistemu ili mreži.
Spoljašnji i unutrašnji napadi se vezuju za mjesto napada, tačnije, unutrašnji predstavljaju napade
izazvane od strane nekog od članova kompanije - insajder (engl. insider), dok spoljašnji predstavljaju
napade izazvane izvan granica kompanije.
Napadi na Windows sistem Ana Vujović
15
HAKOVANJE - FAZE
1. Izviđanje (engl. Reconnaissance)
2. Skeniranje (engl. Scanning)
3. Dobijanje pristupa (engl. Gaining Access)
4. Održavanje pristupa (engl. Maintaining Access)
5. Prikrivanje tragova (engl. Covering Tracks)
1. Izviđanje
Ovo je pripremna faza koja se fokusira na prikupljanju informacija. U ovoj fazi se teži da se otkriju
slabosti sistema vezane za lakoću upada u sistem. Aktivnosti mogu biti spoljašnje i unutrašnje.
Spoljašnje metode izviđanja su:
Prismotra (engl. Suveillance)
Socijalni inženjering (engl, Social engineering)
Internet pretrage (engl. Internet searches)
Unutrašnje metode izviđanja su:
Snifovanje - (engl. Sniffing the network) – pasivna
“Ratting the doorknobs” – aktivna
Aktivne metode izviđanja omogućavaju da se detektuju:
Računari priključeni na mrežu
Otvorene portove
Lokacije rutera
Detalji o operativnom sistemu i servisima
2. Skeniranje
„Prednapadna“ faza u kojoj se mreža skenira upotrebom informacija dobijenih izviđanjem. U ovoj fazi
pokušavaju da se definišu “visoki” poslovni rizici.
Kada se utvrde slabosti sistema, visoke rizike predstavljaju pojedinačne tačke upada u sistem radi napada
i eksplatacije.
Napadi na Windows sistem Ana Vujović
16
Primjena:
Birači (engl. Dialers)
Port skeneri (engl. Port scanners)
Mrežno mapiranje (engl. Network mapping)
Čišćenje (engl. Sweeping)
Skeneri ranjivosti (engl. Vulnerability scanners)
3. Dobijanje pristupa
Faza napda. Slabosti su iskorišćene. Namjena je: dobijanje pristupa ili „osvajanje“ sistema.
Vrste konekcije za eksploataciju sistema su:
Lokalna mreža (engl. Local Area Network - LAN)
Wireless konekcija (engl. Wireless Connection)
Direktan pristup računaru
Internet
Offline
Iskorišćavanje mrežnih servisa (engl. exploit) se može shvatiti kao prevara ili krađa, i uključuje:
Prekoračenje bafera (engl. buffer overloads)
Odbijanje servisa (engl. Denial of service - DoS)
Filtriranje pasvorda (engl. password filtering)
Otmice sesija (engl. Session hijacking)
Faktori koji mogu uticati na situaciju:
Arhitektura ciljnog sistema
Konfiguracija ciljnog sistema
Nivo vještina počinioca
Početni nivo dobijenog pristupa
Identifikacija “najvećih” poslovnih rizika
Najveći rizici predstavljaju neovlašćen pristup operativnom sistemu, aplikaciji ili mreži.
Napadi na Windows sistem Ana Vujović
17
4. Održavanje pristupa
Fokusira se na zadržavanju “vlasništva” nad sistemom. Slabosti su iskorišćene i sistem može biti
izmjenjen i kompromitovan.
Siguran pristup sistemu je obezbjeđen upotrebom:
Backdoors
RootKits
Trojans
Trojans Horse Backdoors
Podaci, aplikacije i konfiguracije se mogu uploadovati, skidati i može se manipulisati njima.
“Osvojeni” sistemi se ponekad nazivaju “zombi” sistemima.
5. Prikrivanje tragova
Fokusira se na hakovanju bez mogućnosti otkrivanja.
Namjena prikrivanja:
Produžetak boravka u sistemu
Nastavak korišćenja resursa
Uklanjanje dokaza
Izbjegavanje kontra mjera
Izbjegavanje pravnog postupka
Metode za prikrivanje tragova:
Steganografija (engl. Steganography)
Tunelovanje (engl. Tunneling)
Izmjena u log fajlovima (engl. Alteration of log files)
Napadi na Windows sistem Ana Vujović
18
NAPADI I ZAŠTITA OD NAPADA
1. IZVIĐANJE
FOOTPRINTING
Footprinting (engl. footprinting – praćenje tragova) predstavlja tehniku prikupljanja informacija o
računarskim sistemima (domenska imena, mrežni blokovi, pojedinačne IP adrese direkno povezane na
Internet,..) u cilju kreiranja cjelokupne sigurnosne slike o sistemu.
Pripada izviđajnoj fazi. Informacije se prikupljaju upotrebom skeniranja mreže bez autentifikacije.
Prisluškivanje razmjene šifara na mreži (sniffing)
Postoje tri vrste napada prisluškivanjem protiv Windows-a:
LM (engl. Lan Manager)
NTLM (engl. NT LAN Manager)
Kerberos
Napadi protiv LanManager-a (LM), koji je autentifikacioni protokol, koriste slabosti u Windows
zahtjev/odgovor implementaciji koja omogućava da se pogadja originalni LM hash credential (on je
ekvivalent šifre koja se može ponoviti ili krekovati da bi se otkrila prava šifra-plain text password). Alati
koji napadaju LM su Cain i L0pthcrack. Najsposobniji program je Cain, koji u sebi integriše
prisluškivanje šifara (sniffing) i krekovanje svih mogućih Windows dijalekata (uključujući LM, NTLM i
Kerberos) koristeći napade sirovom silom(brute force), napade rječnikom i Rainbow tehnike za
krekovanje (međutim za upotrebu ove tehnike se mora koristiti plaćeni nalog). Napadači mogu izvesti
razne vrste ARP spoofing tehnika za preusmjeravanje saobraćaja prema samom napadaču i tako sniffovati
cijeli saobraćaj. Takođe, napadači mogu i privući žrtve da se autentifikuju na njihovim lažnim serverima
i tako dobiti njihove šifre.U Cain programu je takodje uključen i MSKerb5-PreAuth sniffer paketa
Windows Kerberos autentifikacionog servera, snifovanje Kerberos paketa se odvija na sledeći način -
kada Kerberos pošalje preautentifikacioni paket koji sadrži poznati obični tekst (plaintext, timestamp)
koji je šifrovan sa ključem koji potiče iz šifre korisnika,napadom sirovom silom i rječnikom može se
dešifrovati taj paket i zatim otkriti struktura koja na kraju otkriva šifru korisnika.
Napadi na Windows sistem Ana Vujović
19
ZAŠTITA - Prisluškivanje razmjene šifara na mreži (sniffing)
Jedna od ključnih stvari za suzbijanje LM napada je onemogućavanje LM autentifikacije. S obzirom da
je LM odgovor ključan za probijanje šifara korišćenjem Cain alata, ako se može spriječiti LM odgovor
kroz mrežu onda se ovakva vrsta napada može spriječiti u potpunosti. NTLM ne posjeduje nedostatke
LM i zbog toga ga je mnogo teže probiti i to ga čini nedostojnim za dalje pokušaje.Za napade na Kerberos
ne postoji prava protivmjera osim odabira snažnih šifara. Preduslov je da se šifra sastoji od najmanje 8
karaktera i da sadrži i mala i velika slova,takodje i brojeve i znakove.
Dodatne vrste protivmjera su korišćenje PKINIT autentifikacione metode koja koristi javne ključeve i
korišćenje Windows IPSec protokola za autentifikaciju i šifrovanje saobraćaja.
2. SKENIRANJE
Pripada drugoj fazi – Skeniranje – u procesu hakovanja na sistem, sa ciljem primjene prikupljenih
informacija i definisanja rizika.
Skeniranje portova
Skeniranje portova je proces povezivanja na TCP i UDP portove željenog sistema sa namjerom da se
otkrije koji su servisi aktivni ili su u stanju “OSLUŠKIVANJA” .( engl. LISTENING state).
Otkrivanje listening portova je ključno za otkrivanje operativnog sistema i aplikacija koje se koriste.
Aktivni servisi koji osluškuju mogu dozvoliti neovalšćenenom korisniku da pristupi sistemu koristeći
verziju softvera za koju zna da ima sigurnosnih propusta. Alatka koja se koristi za skeniranje portova je:
CurrPorts.
Postoje određeni ciljevi koji bi se trebali ispuniti:
Identifikacija TCP i UDP servisa koji se izvršavaju na željenom sistemu
Identifikacija tipa operativnog sistema na željenom sistemu
Identifikacija određene aplikcije ili verzije određenog servisa
Napadi na Windows sistem Ana Vujović
20
Tabela 1. Portovi i servisi koji se izvršavaju na njima
Port Service
TCP 25 SMTP
TCP 21 FTP
TCP/UDP 53 DNS
TCP 80 WWW
TCP/UDP 88 Kerberos
TCP 135 RPC/DCE Endpoint mapper
UDP 137 NetBIOS Name Service
UDP 138 NetBIOS Datagram Service
TCP 139 NetBIOS Session Service
TCP/UDP 389 LDAP
TCP 443 HTTP over SSL/TLS
TCP/UDP 445 Microsoft SMB/CIFS
TCP/UDP 464 Kerberos kpasswd
UDP 500 Internet Key Exchange, IKE (IPSec)
TCP 593 HTTP RPC Endpoint mapper
TCP 636 LDAP over SSL/TLS
TCP 3268 AD Global Catalog
TCP 3269 AD Global Catalog over SSL
TCP 3389 Windows Terminal Server
Tipovi skeniranja:
Skeniranje uspostavljanja TCP konekcije (engl. TCP connection scan) – Ovaj tip skeniranja se
povezuje na željeni port i izvršava uspostavljanje TCP konekcije u 3 koraka (engl. three-way
handshake – SYN, SYN/ACK i ACK)
Slika 9. Uspostavljanje TCP konekcije u 3 koraka
Napadi na Windows sistem Ana Vujović
21
Skeniranje TCP SYN (engl. TCP SYN scan) – naziva se još i polu-otvoreno skeniranje jer nije
ostvarena cjelokupna TCP konekcija. Tačnije, SYN paket je poslat na željeni port. Ako SYN/ACK
stigne na željeni port, možemo reći da je tada taj port u stanju osluškivanja (engl. LISTENING
state). Ako RST/ACK stigne, to obično najavljuje da port ne osluškuje. Ovaj paket će poslati
sistem skenirajući port, tako da nikada neće biti uspostavljena cijela TCP konekcija.
Skeniranje TCP FIN (engl. TCP FIN scan) – Ovom tehnikom se šalje FIN paket na željeni port.
Željeni sistem bi trebao da pošalje RST paket za sve zatvorene portove.
Skeniranje TCP Xmas Tree (engl. TCP Xmas Tree scan) – ovom tehnikom se šalju FIN, URG
i PUSH paketi na željeni port. Željeni sistem bi trebao da pošalje RST paket za sve zatvorene
portove.
Skeniranje TCP Null (engl. TCP Null scan) – Ovom tehnikom se gase svi flegovi za pakete.
Željeni sistem bi trebao da pošalje RST paket za sve zatvorene portove.
Skeniranje TCP ACK (engl. TCP ACK scan) – Ova tehnika se koristi za mapiranje pravila
fajervola (engl. filewall). To može pomoći da se odredi da li fajervol filtrira proste pakete
omogućavajući samo uspostavljenje konekcije (konekcija sa setom ACK bitova) ili unaprijed
obavlja filtriranje paketa.
Skeniranje Windows TCP (engl. TCP Windows scan) – Ovom tehnikom se detektuju otvoreni,
(ne)filtrirani portovi nekog sistema.
Skeniranje TCP RPC (engl. TCP RPC scan) – Ova tehnika je zastupljena kod UNIX sistma i
koristi se za detektovanje i identifikaciju RPC (engl. Remote Procedure Call) na portovima i njima
sličnih programa.
Skeniranje UDP (engl. UDP scan) – Ovom tehnikom se šalju UDP paketi na željeni port. Ukoliko
port odgovori sa porukom “ICMP port je nedostupan” (engl. ICMP port unreachable), znači da
je taj port zatvoren, a ukoliko ne dobijemo tu poruku, možemo zaključiti da je port otvoren.
ZAŠTITA – Skeniranje portova
Iako je teško spriječiti nekoga da pokrene skeniranje portova našeg sistema, možemo smanjiti svoju
izloženost isključivanjem svih nepotrebnih usluga. Novije verzije Windowsa sa sobom nose veći broj
funkcionalnosti. Možemo onemogućiti neke usluge unutar Control Panel / Services
Zaštita od skeniranja TCP portova upotrebom traceroute alata:
Konfigurisati rutere da ne odgovaraju na TTL EXPIRED poruke, paket čiji je TTL 0 ili 1
Konfigurisati mrežne barijere i granične rutere da ne odgovaraju na TTL istekle pakete
Napadi na Windows sistem Ana Vujović
22
Aktivna identifikacija operativnog sistema
Da se podsjetimo. U prethodnom dijelu smo se fokusirali na skeniranje portova kako bismo došli do
listening TCP i UDP portova željenog sistema. Naš sledeći cilj jeste da se utvrdi tip operativnog sistema
koji smo skenirali. Specifične informacije operativnog sistema će biti korisne u fazi mapiranja ranjivosti
sistema. Važno je da se potrudimo da budemo što precizniji u određivanju slabosti željenog sistema.
Najjednostavniji način dobijanja informacija o operativnom sistemu i servisima koji su pokrenuti jeste
koristeći jednostavne tehnike za prikupljanje informacija, kao što su: FTP, telnet, SMTP, HTTP, POP i
drugi. Osim ovoga, postoji poseban alat, nmap, koji posjeduju stek fingerprinting mogućnosti.
Fingerprinting stek je izuzetno moćna tehnologija koja nam omogućava da sa velikom vjerovatnoćom i
izuzetno brzo utvrdimo operativni sistem svakog hosta. U suštini, postoje mnoge nijanse između IP steka
jednog proizvođača, u odnosu na drugog.
Pogledajmo vrste uzoraka koji se mogu poslati kako bismo razlikovali dva operativna sistema:
FIN uzorak (engl. FIN probe) – FIN paket se šalje otvorenom portu. Većina stek implementacija
će odgovoriti sa FIN/ACK paketom.
Uzorak sa lažnom oznakom (engl. Bogus Flag probe) – Nedefinisana TCP oznaka se postavlja
u TCP zaglavlje SYN paketa.
Uzorak sa početnim brojem sekvence (engl. Initial Sequence Number(ISN) sampling) – Osnovni
zadatak je da se pronađe model u početnoj sekvenci koji bira TCP pri reagovanju na zahtjev za
konekciju.
Praćenje “ne fragmentiraj bit” (engl. “Don’t fragment bit” monitoring) – Neki perativni sistemi
će postaviti “Don’t fragment bit” zbog poboljšanja performansi. Isto tako, ovaj bit se može pratiti
kako bi se utvrdilo kod kojih operativnih sistema se javlja problem.
TCP početna veličina prozora (engl. TCP initial window size) – inicijalna veličina prozora na
vraćenim paketima se prati. U nekim stek implementacijama, ova veličina je jedinstvena i može
u velikoj mjeri doprinjeti tačnosti fingerprinting mehanizma.
Vrijednost ACK (engl. ACK value) - IP stak razlikuje u sekvenci vrijednosti koje koristi za ACK
polje, tako da će neke stek implementacije vratiti broj sekvence koji smo poslali, a neki broj
sekvence + 1.
Napadi na Windows sistem Ana Vujović
23
ICMP poruka o gešci gašenja (engl. ICMP error message quenching) – Operativni sistemi se
mogu voditi određenim RFC odlukama i ograničiti brzinu slanja poruka. Slanjem UDP paketa
nekim slučajnim visoko-numerisanim portovima, moguće je izračunati broj nedostižnih poruka
primljenih u određenom vremenskom periodu.
ICMP navodeća poruka (engl. ICMP message quoting) - Operativni sistemi kada naiđe na
ICMP grešku, u mnoštvu informacija razlikuje navodeću poruku. Ispitivanjem navedene poruke,
može se doći do neke pretpostavke o željenom operativnom sistemu.
ICMP eho poruka o grešci – sa integriterom (engl. ICMP error message – echoimg integrity)
– Neke stek implementacije imaju mogućnosti da prave izmjene unutar IP zaglavlja kada se šalju
ICMP poruke o greškama. Ispitivanjem promjena koje su napravljene u zaglavlju može se doči
do nekih informacija o željenom operativnom sistemu.
Tip servisa (engl. Type of service - TOS) – Za “ICMP port je nedostižan” poruke, TOS se ispituje.
Većina stek implementacija koristi 0, ali to može da varira.
Upravljanje fragmentacijom (engl. fragmentation handling) – Kod nekih stek implementacija,
stari podaci će se zamjeniti novima, dok su kod fragmenta sastavljeni. Razmatrajući načine na
koji su uzorci paketa sastavljeni, možemo doći do nekih zaključaka o željenom operativnom
sistemu.
TCP opcije (engl. TCP options) – Slanjem paketa na više opcija, kao što su set prestanka rada,
maksimalna veličina segmenta, i dr., moguće je izvući neke pretpostavke o željenom operativnom
sistemu.
Mogućnosti nmap alata:
1. Intence scan (nmap -T4 -A -v IP address)
2. Intence scan + UDP (nmap -sS -sU -T4 -A -v IP address )
3. Intence scan, all TCP ports (nmap -p 1-65535 -T4 -A -v IP address )
4. Intence scan, no ping (nmap -T4 -A -v -Pn IP address )
5. Ping scan (nmap -sn IP address)
6. Quick scan (nmap -T4 –F IP address)
7. Quick scan plus (nmap -sV -T4 -O -F --version-light IP address)
8. Quick traceroute (nmap -sn –traceroute IP address)
9. Regular scan (nmap IP address)
10. Show comprehensive scan (nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125
-PY -g 53 --script "default or (discovery and safe)" IP address)
Napadi na Windows sistem Ana Vujović
24
Slika 10. Upotreba nmap alata (nmap –O ipaddress)
Pasivna identifikacija operativnog sistema
Kada govorimo o pasivnoj identifikaciji, u stvari govorimo o pasivnom fingerprinting steku. Princip na
kome radi pasivni fingerprinting stek je sličan aktivnom, s tim da umjesto slanja paketa na željeni sistem,
napadač samo pasivno posmatra mrežni saobraćaj kako bi utvrdio o kom operativnom sistemu je riječ.
Tako, praćenjem mrežnog saobraćaja između različitih sistema, možemo utvrditi koji su operativni
sistemi na mreži.
PASIVNI POTPISI
Postoje razni potpisi koji se mogu iskoristiti za identifikaciju operativnog sistema, međutim, mićemo se
ograničiti na par atributa koji su u relaciji sa TCP/IP sesijom.
TTL (engl. Time-to-Live) – Šta operativni sistem postavlja za vrijednosti TTL-a na
izlaznim paketima?
Veličina prozora (engl. Windows Size) – Šta operativni sistem postavlja za veličinu
prozora?
DF (engl. Don't Fragment bit) - Da li operativni sistem postavlja DF?
TOS (engl. type of service) – Da li operativni sistem postavlja TOS? Ako da, šta
postavlja za tu vrijednost?
Napadi na Windows sistem Ana Vujović
25
Pasivnom analizom svakog atributa i upoređivanjem rezultata sa vrijednostima iz dobro poznate baze
atributa, može se zaključiti o kom operativnom sistemu se radi. Ova metoda ne daje uvijek ispravne
odgovore, tako da se atributi kombinuju kako bi se došlo do pouzdanih rezultata.
ZAŠTITA – Aktivna / Pasivna Identifikacija operativnog sistema
Kada govorimo o zaštiti od ovakve vrste napada, nije jednostavno zaštititi se. Moguće je hakovati izvorni
kod operativnog sistema kako bi se promijenio jedinstveni fingerprinting stek karaktera. To može loše
uticati na funkcionalnosti operativnog sistema. Najbolja zaštita od ovakvih napada su dobri antivirusni i
sigurnosni alati i fajervoli.
3. DOBIJANJE PRISTUPA
Preuzimanje privilegija
Kada napadači zadobiju korisnički nalog na Windows sistemu, sledeći korak im je preuzimanje
Administrator ili SYSTEM privilegija. Jedan od najvećih hakova svih vremena u Windows-u je bio
takozvani getadmin exploit .Getadmin je bio prvi ozbiljni napad eskalacije privilegija protiv Windows
NT4 i iako je ovakva vrsta napada zakrpljena, tehnika preko koje radi(DLL injekcija) i dalje se veoma
efikasno koristi.
Moć getadmin-a je smanjena činjenicom da se mora izvršiti od strane interaktivnog korisnika ciljanog
sistema, kao što i mora svaki napad eskalacijom privilegija. Zato što većina korisnika ne može da se
loguje interaktivno na Windows Server po default-u, jedino je korisno skrivenim članovima raznih
Operator grupa (Account, Backup, Server itd.) i default-nom Internet server nalogu, IUSR_machinename,
i oni imaju ovu privilegiju. Pojavom Windows Terminal Servisa interaktivno logovanje se proširilo. Na
kraju treba napomenuti da preuzimanje Administrator naloga tehnički nije najveća moguća privilegija
koja se može dobiti na Windows sistemu.To je SYSTEM nalog (poznat i kao Local System, ili NT
AUTHORITY/SYSTEM nalog). Postoji nekoliko trikova preko kojih administratori mogu zadobiti
SYSTEM privilegije, jedan od njih je korišćenje command shell iz Windows Scheduler servisa:
C:\>at 14:53 /INTERACTIVE cmd.exe
Može se koristiti i besplatni alat psexec sa Sysinternals.com.
Napadi na Windows sistem Ana Vujović
26
ZAŠTITA - Preuzimanje privilegija
Za sprječavanje eskalacije privilegija mogu se koristiti Security Policy pravila, koja se nalaze unutar
Local Policies/User Rights Assignment i zatim na Log On Locally iskoristiti pravilo Deny Logon Locally.
Probijanje šifara
Kada napadač dođe do hash-ova šifara njegov sledeći korak je naravno otkrivanje algoritma hash-ovanja
i probijanje same šifre. Kada se otkrije algoritam hash-ovanja, može se iskoristiti da se izračuna hash i da
se uporedi sa listom mogućih vrijednosti za šifre i zatim da se uporede rezultati sa hash-ovanom šifrom
koja je preuzeta sa alatom kao što je pwdump. Ako je rezultat dobar, može se reći da je šifra uspješno
"pogođena" ili krekovana. Ovaj proces se obično odvija offline tako da dok se šifra pogađa ne može se
desiti da dođe do zaključavanja naloga. Pogađanje šifara se uglavnom svodi na ciljanje slabih hash
algoritama, pametno pogađanje, na dobre alate i vrijeme procesuiranja.
Slabi hash algoritmi – LanManager (LM) hash algoritam se veoma lako i brzo krekuje: šifra se dijeli u
dvije polovine od 7 karaktera i sva slova se mijenjaju u velika i tako se smanjuje 284 mogućih alfa-
numeričkih šifara od 14 karaktera na samo 237 različitih hash-ova. LM hash se može krekovati u roku od
nekoliko sekundi i zato je Windows eliminisao LM hash algoritme iz upotrebe.
Noviji NTLM hash ne pati od slabosti LM i zbog toga ga je mnogo teže probiti. Ako se prate čvrste
selekcije šifara (tj.ako je minimalno dužina šifre prikladna i ako se koristi default-na polisa za
kompleksnost šifara) NTLM hash-ovi su praktično nemogući za probiti sa krekovanjem sirovom silom.
Svi Windows hash-ovi pate od jedne slabosti, a to je nedostatak salt-a. Svi ostali operativni sistemi dodaju
nasumičnu vrijednost koja se naziva salt šifri prije hash-ovanja. Salt se čuva zajedno sa hash-om, tako da
se šifra kasnije može verifikovati da je jednaka odgovarajućem hash-u. Zato što svaki sistem kreira
nasumični salt za svaku šifru, nemoguće je unaprijed izračunati hash tabele koje umnogome ubrzavaju
krekovanje. Windows nije izabrao ovakvu metodu za svoje hash algoritme, već je samo ojačao postojeće
algoritme.
Pametno pogađanje
Postoje dva načina da se krekuju šifre: napad rječnikom i sirovom silom.
Od skoro se unaprijed izračunavaju hash tabele da bi se dobilo na brzini i vremenu krekovanja.
Napadi na Windows sistem Ana Vujović
27
Napad rječnikom je najjednostavniji pristup za krekovanje. Iz liste jezičkih termina se uzima jedan po
jedan se upoređuje sa vrijednostima iz pridobijenih hash-ova. Ovaj pristup je limitiran zato što može naći
samo one šifre koje se nalaze u rječniku koji napadač koristi. Međutim, može veoma brzo naći šifru ako
ona postoji u rječniku nebitno koliko je velik i jak hash-ing algoritam.
Napad sirovom silom je uglavnom pogađanje nasumičnih stringova koji se generišu iz odgovarajućeg
skupa karaktera. Može potrošiti mnogo vremena za krekovanje ako uzmemo u obzir veliki napor koji je
potreban da se hashiraju sve moguće nasumične vrijednosti unutar nekog određenog prostora karaktera
(npr. postoji preko 267 mogućih velikih engleskih alfabetičkih stringova od 7 ili manje karaktera ili preko
8 biliona hash-ova).
Najbolje rješenje se nalazi između napada sirovom silom i napada rječnikom gdje se dodaju slova i brojevi
riječima, uobičajena kombinacija šifre koju često biraju korisnici je npr. "password123". Popularni alat
L0pthcrack pruža kombinaciju ili takozvani hibrid rječnik/sirova sila.
Alati - U CMD okruženju postoje mnogo alata za krekovanje kao što su lmbf i ntbf, John the Ripper i
MDcrack. Primjer ntbf koji krekuje NTLM šifre u modu rječnika:
U GUI okruženju postoje alati LCP,Cain i Ophcrack. Cain može da izvršava sledeće pristupe krekovanja:
Napadi rječnikom i sirovom silom
LM hash-ovi
NTLM hash-ovi
Sniffovanje pošiljke/odziva (uključujući LM, NTLM i NTLM Session Security)
Rainbow krekovanje (preko Ophcrack-a, RainbowCrack-a ili winrtgen tabela)
D:\test>ntbf.exe hashes.txt cracked.txt dictionary.txt 14 ntbf v0.6.6, (C)2004 [email protected] -------------------------------------- input file: 5 lines read checking against ntbf.dat... finished trying empty password... not found trying password = username... 0 hashes found starting dictionary mode (# = 1000,000) 5 passwords tried. 1 hashes found D:\test>type cracked.txt Administrator:P@55w0rd
Napadi na Windows sistem Ana Vujović
28
ZAŠTITA - Probijanje šifara
Sve moderne Windows verzije su default-no konfigurisane sa Security Policy. Ona zahtijeva da sve
korisničke šifre, kada se kreiraju ili mijenjaju, moraju da se pridržavaju određenih pravila:
Ne mogu da sadrže cijelo ime korisnika ili djelove imena korisnika koji prevazilaze dva
uzastopna karaktera
Moraju biti najmanje šest karaktera po dužini
Moraju sadržati karaktere iz tri od navedene četiri kategorije:
Engleska velika slova (od A do Z)
Engleska mala slova (od a do z)
Osnovnih 10 cifara (od 0 do 9)
Specijalne karaktere (npr. !,$,#,%)
Takođe se preporučuje povećanje minimalne dužine šifre sa 6 na 8 karaktera i postavljanje roka trajanja
šifara. I za kraj treba onemogućiti korišćenje slabog LM hash-a u Security Policy opcijom "Network
Security: Do Not Store LAN Manager Hash Value On Next Passwords Change", default-no je postavljeno
na "Enabled".
DoS NAPADI
DoS (engl. Denial of Serveces) – su obično uspješni napadi koji se izvode protiv pojedinačnih sistema ili
cijele mreže, i onemogućavaju pružanje usluge pravim korisnicima. Čini sistem neupotrebljivim ili
znatno usporenim.
Tipovi DoS napada:
DoS – jedan sistem upućuje napad jednom ciljnom sistemu.
DDoS (engl. Distributed Denial of Services) – više sistema upućuje napad jednom ciljnom sistemu
Napadi mogu da:
Preplave mrežu saobraćajem
Poremete konekciju između dva računara
Spriječe pojedinca da pristupi servisima
Poremete servise specifičnog sistema ili osobe
Napadi na Windows sistem Ana Vujović
29
Smurf napad
Smurf6 predstavlja DoS-ov napad u kome se veliki broj
ICMP (engl. Internet Control Message Protocol) paketa sa
skrivenim izvorišnim IP namjenjen žrtvi šalje na pojačanu
računarsku mrežu7, koristeći IP broadcast adresu. Po default-
u na većini uređaja na mreži podešeno da odgovaraju na
ovakve pakete slanjem odgovora na izvorišnu IP adresu; i
ukoliko je broj računara na mreži koji su primili i odgovorili
na ovaj paket veoma veliki, računar žrtve će biti poplavljen
saobraćajem. Ovo može dovesti računar žrtve do
neupotrebljivosti. Slika 11. Prikaz Smurf napada
Fraggle napad
Fraggle napad je varijacija Smurf napada u kome napadač šalje veliki broj UDP paketa (umjesto ICMP)
na mrežu, tačnije na port 7 (echo). Svaki računar na mreži kome je echo omogućen će odgovoriti na paket,
šaljući odgovor na računar žrtve, čime će napraviti veliku količinu saobraćaja i onemogućiti rad tog
računara. U slučaju da port 7 nije omogućen, generisaće se ICMP poruke da je port nedostupan, čto će
takođe zauzeti opseg.
ZAŠTITA – Smurf napad
Konfigurisati ivične rutere da ne prosleđuju pakete upućene na broadcast adresu
Za Cisco rutere: Router(config-if)# no ip directed-broadcast
Konfigurisati pojedinačne hostove i rutere da ne odgovaraju na ICMP zahtjeve i broadcast-e
Koristiti mrežno ulazno filtriranje (engl. Network Ingress Filtering) kojim se odbacuju paketi
napadača na osnovu lažne izvorišne IP adrese
6 Smurf - ime potiče od fajla smurf.c koji predstavlja izvorni kod programa za napad 7 Pojačivač smurf napada (engl. Smurf amplifier) – pojačava smurf napad, generiše veliki br ICMP paketa
Napadi na Windows sistem Ana Vujović
30
Preplavljivanje mreže SYN paketima
Ovaj napad takođe pripada grupi DoS napada, koji je prije pojavljivanja Smurf napada bio razarajući
napad. SYN flood8 je napad u kome napadač šalje više SYN paketa ciljnom sistemu sa namjerom da mu
zauzme toliko serverskih resursa kako bi onesposobio sistem za legitimni saobraćaj.
Uspostavljanje TCP konekcije (engl. Three-way handshake):
1. Klijent zahtjeva konekciju šaljući SYN (synchronize)
paket serveru
2. Server šalje potvrdu o uspostavljanju konekcije šaljući
SYN-ACK
3. Klijent odgovara šaljući ACK, nakon čega je konekcija
uspostavljena
Slika 12. Uspostavljanje TCP konekcije
Sada kada smo objasnili proces uspostavljanja konekcije, možemo objasniti na koji način se odvija napad
preplavljivanja mreže SYN paketima. Kao što smo naveli, da bi došlo do ostvarivanja konekcije,
klijentski računar mora poslati serveri ACK paket. Upravo to predstavlja suštinu ovog napada – ne slanje
ACK paketa.
Da objasnimo to po fazama:
Napadač šalje istovremeno više SYN paketa
Server odgovara na to, standardnim SYN –ACK paketom
Napadač NE šalje ACK paket, i na taj način zauzima resurse
servera i onemogućava usluge pravim korisnicima
Osim ovoga, može se izvršiti na još jedan način. Ukoliko korisnik sa
lažne IP adrese pošalje SYN paket serveru, i server odgovori SYN-
ACK paketom ka toj adresi, napadač je siguran da sa te adrese neće stići
ACK odgovor, pa je opet zadržavanje resursa servera i onemogućavanje
njegovog pravilnog rada uspješno. Slika 12. SYN flood napad
8 Preplavljivanje mreže SYN paketima – engl. SYN flood
Napadi na Windows sistem Ana Vujović
31
ZAŠTITA - Preplavljivanje mreže SYN paketima
Da bismo utvrdili da li smo možda usred ovog napada, možemo unutar CMD-a kucati komandu netstat.
Ukoliko nam se kao rezultat pojavi puno konekcija sa naznačenim stanjem SYN_RECV, to može značiti
da je u toku napad preplavljivanja mreže SYN paketima.
Povećanje veličine reda konekcije – pošto se IP stek različitih proizvođača vrlo malo
razlikuju, moguće je podesiti veličinu reda konekcije kako bi se ublažili efekti SYN flood
napada. Korisno je, ali ne i optimalno rješenje jer koristi dodatne resurse sistema i može da
utiče na performanse.
Smanjenje timeout perioda za uspostavljanje konekcije – Ova mogućnost takođe može
uticati na smanjenje posljedica SYN flood napada, ali i dalje to nije optimalno rješenje.
Koristiti softverske pečeve proizvođača kako bi se detektovali i zaobišli potencijalni SYN
napadi
Koristiti zaštitni zid (engl. firewall) i proxy servere
Povećanje back-logova
4. ODRŽAVANJE PRISTUPA
Daljinsko upravljanje i zadnja vrata(remote control, back doors)
Komandno linijsko orjentisani alati za daljinsko upravljanje
Jedan od najjednostavnijih back door pristupa je korišćenje netcat. Netcat se može konfigurisati da sluša
određeni port i da lansira izvršni kod kada se daljinski sistem konektuje na taj port. Okidajući netcat
listener da lansira Windows command shell, shell se može prikazati i u daljinskom sistemu. Sintaksa za
pokretanje netcat-a da sluša port:
C:\TEMP\NC11Windows>nc –L –d –e cmd.exe –p 8080
Napadi na Windows sistem Ana Vujović
32
-L omogućava da listener ostane perzistentan kroz mnoge prekide konekcije;
-d pokreće netcat u tajnom modu;
-e specificira program koji treba da se pokrene(u ovom slucaju,cmd.exe).I na kraju,
-p označava port koji se sluša. Ovaj kod će vratiti command shell svakom uljezu koji se konektuje
na port 8080.
U sledećoj sekvenci, koristi se netcat na daljinskom sistemu da se konektuje na listening port na mašini
IP adrese 192.168.202.44 i da primi daljinski command shell.:
D:\> nc 192.168.202.44 8080 Microsoft(R) Windows(TM) (C) Copyright 1985-1996 Microsoft Corp. C:\TEMP\NC11Windows> C:\TEMP\NC11Windows>ipconfig ipconfig Windows IP Configuration Ethernet adapter FEM5561: IP Address. . . . . .. . . : 192.168.202.44 Subnet Mask . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . : C:\TEMP\NC11Windows>exit
Kao što se može i vidjeti, daljinski korisnici sada mogu da izvršavaju komandu i da pokreću fajlove.
Limitirani su samo sa svojim znanjem Windows konzole.
Ako imate pristup SMB-u (TCP 139 ili 445) najbolji alat je psexec. Ovaj alat izvršava komandu na
daljinskoj mašini sledećom sintaksom:
C:\>psexec \\server-name-or-ip -u admin_username -p admin_password command
Primjer tipične komande:
C:\>psexec \\10.1.1.1 -u Administrator -p password -s cmd.exe
Napadi na Windows sistem Ana Vujović
33
Grafičko daljinsko upravljanje
Ako imate pristup Terminal Services, možda imate i pristup najboljoj daljinskoj kontroli koju Windows
može da pruži. Ako nemate pristup TS, može se koristiti alat kao što je Virtual Network Computing
(VNC). Prvi korak u VNC instalaciji je da se iskopiraju svi izvršni i potrebni fajlovi
(WINVNC.EXE,VNCHooks.DLL i OMNITHREAD_RT.DLL) na ciljni server. Može u bilo koji
direktorijum, ali se najteže pronalazi u %systemroot%. Kada se WINVNC.EXE iskopira, mora se
namjestiti VNC šifra. Kada se WINVNC servis startuje, grafički dialog će zahtijevati da se unese šifra
prije propuštanja dolazećih konekcija. Takođe, moramo i da kažemo WINVNC da sluša dolazeće
konekcije, i to se može postići putem GUI-ja. Mora se kreirati fajl koji se zove WINVNC.INI i u njemu
unijeti specifične Registry promjene koje nam trebaju. One se unose direktno u daljinski Registry
korišćenjem regini.exe. Neke vrijednosti iz lokalne instalacije WINVNC unijete u text fajl korišćenjem
Resource Kit regdmp (Binarna šifra prikazana je "secret"):
HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3 SocketConnect = REG_DWORD 0x00000001 Password = REG_BINARY 0x00000008 0x57bf2d2e 0x9e6cb06e
Sledeći korak je da se ove vrijednosti unesu u daljinski Registry tako što ćemo regini alatu dati ime fajla
koji sadrži ove podatke (WINVNC.INI):
C:\> regini -m \\192.168.202.33 winvnc.ini HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3 SocketConnect = REG_DWORD 0x00000001 Password = REG_BINARY 0x00000008 0x57bf2d2e 0x9e6cb06e
I na kraju, WINVNC se instalira kao servis i startuje se. Sledeća sintaksa označava ovaj korak (napomena,
ovo je command shell na daljinskom sistemu):
C:\> winvnc -install C:\> net start winvnc The VNC Server service is starting. The VNC Server service was started successfully.
Sada možemo startovati vncviewer aplikaciju i konektovati se na ciljni sistem.
Napadi na Windows sistem Ana Vujović
34
5. PRIKRIVANJE TRAGOVA
Onesposobljavanje provjera
Ova mogućnost se koristi zato što može znatno da uspori sistem na aktivnim serverima, posebno na
funkcijama kao što je User & Group Management, većina Windows administratora onesposobljava
provjera ili omogućava samo nekoliko provjera. Prva stvar koju će uljez uraditi kada dobije
administratorska prava je da provjeri status Audit polise na meti. Resource Kit auditpol alat omogućava
veoma lako onesposobljavanje provjera:
C:\> auditpol /disable Running ... Local audit information changed successfully ... New local audit policy ... (0) Audit Disabled AuditCategorySystem = No AuditCategoryLogon = Failure AuditCategoryObjectAccess = No
Čišćenje Event Log-a
Ako su aktivnosti uljeza ostavile traga u Windows Event Log-u,uljez će izbrisati logove pomoću Event
Viewer-a. Event Viewer na ciljnom sistemu može da otvara, čita i briše logove na udaljenom željenim
sistemu. Ovaj proces će izbrisati sve logove ali će ostaviti jedan trag koji kaže da je Event Log izbrisan
od strane napadača. Ovo će podići i možda veće alarme kod korisnika, ali ne postoji mnogo opcija i jedna
od njih je preuzimanje i mijenjanje log fajlova iz \winnt\system32 .Međutim, postoji i alat elsave koji se
koristi za čišćenje Event Log-a. Npr. sledeća sintaksa se koristi da se izbriše Security Log na udaljenom
serveru:
C:\>elsave -s \\joel -l "Security" -C
Napadi na Windows sistem Ana Vujović
35
Sakrivanje fajlova
Jedan od korisnih alata za sakrivanje fajlova je stari DOS attrib alat:
attrib +h [directory]
Ova opcija sakriva fajlove i direktorijume od CMD9 alata, ali ne ako je opcija Show All Files uključena u
Windows Exploreru. Ako ciljani sistem koristi Windows File System(NTFS), alternativna tehnika za
sakrivanje fajlova postoji. NTFS omogućava podršku za brojne rijetke informacija unutar fajlova. U
sledećem primjeru ćemo stream-ovati netcat.exe iza generičkog fajla pronađenog unutar
winnt\system32\os2 direktorijuma koji se može iskoristiti i u narednim napadima na udaljene sisteme. Da
bi se stream-ovali fajlovi, napadač mora imati POSIX alat cp iz Resource Kit-a.
Sintaksa:
C:\>cp <file> oso001.009:<file>
Primjer:
C:\>cp nc.exe oso001.009:nc.exe
Ovaj kod sakriva nc.exe u nc.exe stream-u oso001.009. Način unstream-ovanja netcat-a:
C:\>cp oso001.009:nc.exe nc.exe
Datum modifikovanja na oso001.009 se mijenja ali ne i veličina, a to znači da je sakrivene stream-ovane
fajlove veoma teško pronaći. Brisanje stream-ovanog fajla znači kopiranje "prednjeg" fajla na FAT
particiju i zatim kopiranja nazad u NTFS. Stream-ovani fajlovi se mogu izvršavati iako se kriju iza svog
prednjeg fajla. Zbog cmd.exe ograničenja, stream-ovani fajlovi se ne mogu izvršiti direktno već
korišćenjem start komande za izvršavanje fajla:
start oso001.009:nc.exe
9 CMD – CoMmanD Prompt
Napadi na Windows sistem Ana Vujović
36
Probijanje administratorske šifre uz pomoć CMD-a
1. Pokrećemo Windows operativni sistem
2. Prilikom pokretanja sistema, prisilno ga izgasimo (dug pritisak na dugme za paljenje)
(Ovaj korak je potreban kako bi nam se prilikom ponovnog pokretanja sistema pojavio određeni
meni)
3. Ponovo pokrećemo sistem. Sada nam se prikazuje poseban meni.
4. Biramo opciju Launch Startup Repair (recommended)
Slika 13. Recovery meni
Slika 14. Pokrenut Startup Repair
Napadi na Windows sistem Ana Vujović
37
5. Čekamo da se učita program i pojavi prozor kao na slici. Klikamo na dugme Show problem details,
i skrolujemo do kraja, nakon čega biramo zadnju stavku naznačenu putanjom do fajla.
6. Kada se otvori notepad fajl, idemo na padajući meni, File > Open …
7. Uđemo u My Computer > Local Disc (D:) > Windows > System32
8. Podesimo unutar polja Files of type = All types
Slika 15. Otvaranje dodatnih detelja, otvaranje fajla
Slika 16. Otvaranje System32 i podešavanje tipa fajla
Napadi na Windows sistem Ana Vujović
38
9. Sada tražimo fajl pod imenom sethc (application) i preimenujemo ga u sethc1
10. Zatim, tražimo fajl cmd, i kopiramo ga (cmd _copy). Kopiju preimenujemo u sethc
11. Nakon što smo ovo podesili, kliknemo na X, izađemo iz svega i kliknemo Finish. Nakon toga,
rečunar će se izgasiti.
12. Ponovo pokrećemo računar. Pojaviće nam se polje za unos šifre. Sada ćemo odraditi upravo ono
što će preskočiti korak unosa šifre. Potrebno je pritisnuti 5 puta dugme Shift, nakon čega će nam
se pokrenuti CMD.
13. U CMD-u kucamo:
net user (ova komanda nam prikazuje korisnike na sistemu)
net user Ana * (ova komanda nam pokreće podešavanja za tačno određenog korisnika)
Upotrebom ove komande, od nas se traži da unesemo šifru. Mogu biti 2 opcije:
ili da ukucamo neku šifru (čime mijenjamo već postojeću), ili samo da pritisnemo dugme
ENTER čime se šifra briše. Koja god od ove dvije opcije da se iskoristi, pristup sistemu je
zagarantovan!
Slika 17. Kopiranje cmd fajla, i preimenovanje kopije u sethc
Slika 18. Unos i izvršavanje naredbi
Napadi na Windows sistem Ana Vujović
39
LITERATURA
1. Manning, William: „CEH : Certified Ethical Hacker Certification Exam Preparation“,
Australia, 2009
2. Stuart McClure, Joel Scambray i George Kurtz, "Hacking Exposed, 6th edition: Network
security secrets & solutions", New York ,2009
3. Wikipedia [http://en.wikipedia.org/wiki/Microsoft_Windows]
4. Wikipedia [http://en.wikipedia.org/wiki/Hacker_(computer_security)