Злом локальної мережі під управлінням * win 2000 / XP

Злом локальної мережі під управлінням * win 2000 / XP (by Rel4nium)

Локальні мережі, підключені до мережі інтернет в наш час дуже распостранени.Ні навчальний заклад не обходиться без
локальної мережі і звичайно сама часто зустрічається ОС крутиться на ЛЗ - це win 2000 / XP.Я розповім тобі про те, як зламати
мережу під управлінням ОС windows, спеціально для цього мною була обрана невелика мережа (20 комп'ютерів) в одному з комп'ютерних
клубів. Зауваж, що у мене є доступ до комп'ютера і до мережі (за 20 р годину :) .Взломать Таку мережу легко, але основна мета
поставлена ​​мною - це втримаються в системі.

[Теоретичний план злому:

+ Визначення комп'ютера
- Наявність антивіруса (оновлення)
- Наявність брандмауера
- Ip адреса комп'ютера (можна подивитися, наприклад на antichat.ru, ip.xss.ru)
- Виявлення підмережі (leader.ru)
+ Підготовка софта
- Вибір СУА
| дослідження пакера, знаходження анпакера, розпакування
| знаходження кріптера (сигнатури якого немає в базах антивіруса)
| кріптовка файлу СУА
- Додаткові прийоми (кріптовка блокнота)
+ Залиття на безкоштовний сервер підготовлених файлів
+ Знаходження комп'ютера з встановленою СУА і з бінд шеллом
+ Використання інформації, ресурсів зламаної мережі.

Для початку дивимося, який софт встановлений для захисту мережі. Це виявилися антивіруси Касперського і доктор веб, антивірусні
бази оновлювалися кожен день і підсадити на машину якого-небудь троя не було можливим.
Фаєрвол не було), це дуже радувало, так як небажаний трафік конечно не ріжеться і ніякі порти не фільтруються,
задача трохи спрощується.
Знаючи що встановлено на машині, (антивірус) причому не на кожній машині), 3 користувача, 2 з яких наділені правами
адміністратора, а 3-ий простий юзер, без особливих прав.
Тепер нам потрібно підготуватися до процесу злому. Для цього нам потрібні: трой (СУА), аналізатор, анпакер і кріптер.
------ ------ ------
СУА - система віддаленого адміністратірованіе (RAT).
Аналізатор - аналізує яким пакером запакований програмний файл (PEiD).
Анпакер - програма, розпаковувати програмний файл (наприклад QUnpack).
Кріптер - програма крипті (шифрующая) код файлу.
------ ------ ------
Як суа візьму RAT X control, так як розмір сервера дуже маленький. Зливаємо нові антивірусні бази, скануємо
серверну частину рата server.exe, він визначається Каспером (KAV 5.0.156 з новими базами) .Задачи тепер полягає в тому, щоб
заховати файл троя.Я докладніше розгляну процес шифровки троя від антивіруса, так як він мало де розглянуто (а якщо і
розглянуто то спосіб вже не діє).

[Ховаємо:

- Визначаємо ніж запакований server.exe (за допомогою PEiD) виявляється, що UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
- Для того, щоб закріптовать файл його спочатку потрібно розпакувати, для розпакування будемо використовувати простий UPX (у мене
1.25) .Распаковиваем таким чином:
upx.exe -d server.exe
upx.exe - програма upx
-d - клаптями за допомогою якого ми і розпаковуємо файл
server.exe - файл для розпакування
Сервер вдало розпакували ... Ще разу тести PEiD і Nothing found * розмір розпакованого файлу склав всього 17 кілобайт
(Раніше він був 9.50 кб) тестуємо серверну частину на працездатність. (Запускаємо сервер)
При запуску немає ніяких помилок, дивимося в автозавантаження, бачимо Xflash, дивимося в диспетчер задач, бачимо xflash.exe,
Конект до себе клієнтом, конект вдався, отже файл в робочому стані, розпакування пройшла успішно. тепер видаляємо
його з автозавантаження (сервер), завершуємо його процес і видаляємо його з
C: \ WINDOWS \ system32 \ файл xflash.exe.Лібо просто Конект до себе клієнтом, йдемо у вкладку система і натискаємо видалити
(Після натискання цієї кнопки, сервер віддалиться і з автозавантаження і з system32)
Після видалення намагаємося закріптовать файл server.exe (розпакований).
- Мною була перепробувала купа кріптеров, протекторів і пакеров, але так як їх сигнатури вже є в базах Касперського (а
якщо їх і не було, то процедура кріптовкі не проходила успішно) вони або визначалися, або просто не хотіли запускатися. але
все ж кріптер був знайдений, від deNULL.Кріптер не надто новий, але мабуть його немає в базах і він не визначився Касперського.
звичайно файл закріптован, він не визначається Касперського, але він висить і в процесах і видно в system32 (мій друг прислав мені
стару версію троя, якого не видно ні в автозавантаженні, ні в процесах, ні в сістем32), після того як у мене з'явилася
версія RAT 1.3.5, я зробив з ним такі ж операції, і він став не видко. Майже невидимий трой готовий.
Зараз залишилося продумати то як встановити цього троя.

[Установка троя:

] Уразливості в ie (наприклад, сплоіт Ani exploit), але він пасеться Касперського, тому такий варіант відсікається.
] Уразливості в RPC dcom і ін (сплоітов kaht2, RPC GUI v2 - r3L4x, smallsoft LSA) варіант непоганий, злом можна зробити
віддалено, і за допомогою фтп скачати і запустити файл троя.
] Просто залити файл в безкоштовний сервіс типу www.webfile.ru і сидячи, зображуючи ламера завантажити і запустити файл троя.Варіант
може бути навіть найоптимальніший, так як для використання експлойтів потрібно знати ip компа в мережі, + відкривати у себе фтп,
перекачувати файл .. це довго, так що я зупинюся на 3 пункті.
Тепер все готово для злому мережі, але для того, щоб уже напевно закріпитися в системі (так як хто знає, сигнатура
кріптера може незабаром потрапити в бази антивіруса) .Я хочу використовувати спосіб описаний протеус в його статті
(Ідеальний спосіб поширення "злого" коду) .Як ти думаєш який файл ніхто і не подумає видаляти з системи? Це може
бути блокнот, калькулятор .. все обмежується тільки твоїм воображеніем.Делаем все так як
писав протеус, в розділі download є додаток до статті у вигляді многопоточного бінд шела + секція дата вирвана з
нього LordPE (ngh.void.ru/soft/d/bind.rar)

[Знаходження комп'ютера в мережі після злому:

Знайти зламану машину в мережі просто, спочатку йди на www.leader.ru пробивай через воіз ip будь-якого комп'ютера в мережі.
А після зміни файлу блокнота, і установки серверної частини троя комп'ютер можна знайти шляхом сканування всіх адрес в
даної підмережі (беремо ip будь-якого комп'ютера в мережі і ідёі на leader.ru)

General Information
Hostname
namehost.ru <ім'я хоста
IP
195.19. ???. ??? <Ip адресу (який ми перевіряємо)
Preferable MX
mail.server.ru <поштовий сервер

Network Information
ім'я
name <ім'я
діапазон адрес
193.18.166.32 - 193.18.166.79 <те, що становить для нас інтерес! (Діапазон узятий то балди)
власник
name, і ін)
Розташування
Rick, 50a, REd street, індекс місто, країна
Контактна інформація
ім'я, прізвище, телефон і ін

Domain Information
ім'я
name.ru <адреса сайту
власник
RED <ім'я власника
сервера імен
ns.1.ru, ns.1.ru
статус
REGISTERED, DELEGATED

Leader's Whois module v 4.0 (C) by Alexander K. Yezhov,
[email protected]

в моєму випадку діапазон такий 193.18.166.32 - 193.18.166.79, тепер залишилося тільки просканувати на відкритий 4444 порт (на
цей порт повішений бінд шелл, вбудований в якийсь непримітний файл)


[Злом:
Все просто, йдеш в приміщення з ламаються локальної мережі, сідаєш на годинку "в чат"), зливаєш завантажені файли на
www.webfile.ru, це кріптованний сервер троя і "трохи змінений" блокнот. Запускаєш файл троя, замінюєш блокнот
новим файлом. І зі спойкойной душею, досидівши свого часу йдеш додому, Конект до локальної мережі (про те як дізнатися ip вище)
і користуєшся зламаної машиною в своїх цілях.

[Захист
А захиститися від злому дуже просто, потрібно просто відрізати основні шляхи для зломщика. Оновлення антивірусних баз кожен
день - не є панацея, тому фаєрвол (раджу Agnitum Outpost Firewall) - це те що нужно.Фаервол ускладнює всі
вищеперелічені операції, пише все, що відбувається в лог.Поетому злом експлойтів наприклад для рпк неможливий, так як
цей порт фільтрується фаєрволом, завантаження файлу за допомогою баги в ie теж не можлива + у фаервола є режим невидимості
(При якому комп'ютера як би немає в інтернеті, він не відповідає на пінг і ін) .Адміністратори локальних мереж звичайно чули
що є такий фаєрвол, не знаю, що заважає їм користуватися (може на ліцензію немає грошей, і вони не знають що таке кряк :) або
це просто відбувається через природного ліні адміністратора. Але якби фаєр був встановлений, то проблем в майбутньому виявилося б
набагато менше, ніж без встановленого фаервола.
Якщо вже прям так не хочеться завантажувати, встановлювати, настравіть (хоча це можна зробити за 5 хв) фаєрвол, тобто
альтернатива, просто встановити патчі (латочки) і від рпк, і від інших багів вінди), як ти думаєш скільки будуть важить
всі ці патчі? і Скільки їх в сумі? За результатами сканування XSpider, виявило то що потрібно встановити sp2 (sp2 - набір
латочок + якась подоба "фаерола"), якщо ж не встановлювати, то потрібно встановити близько 13 - 14 латок (від віддаленого
виконання команд, до переповнення буфера) .Размер 1 патча більше ніж 5-6 мб (фаєр важить 5 мб) і встановлювати їх довше ніж
5 хв) => встановлюй оутпост і все буде в порядку.

вимоги щодо збереження безпеки локальної мережі:
- Оновлення антивіруса не рідше 1 разу на тиждень
- Установка фаервола, стеження за логами і відкритими Потро
- Установка патчів (якщо будуть серйозні уразливості, від яких не врятує фаєр)
- Права користувачів (пароль Адміністратора не на цифрах :)
- Доглянь за користувачами, або установка програми монітора за допомогою якої можна побачити, що користувач в даний
момент робить на ПК.