Анализ взлома от А до Я (Часть 3)

Опубликовано: 10 Апреля, 2023

  • Анализ взлома от А до Я (Часть 1)

Во второй части этой серии статей мы закончили сбор всей необходимой информации, необходимой для атаки на нашу сеть жертвы. На этой ноте давайте продолжим сам взлом. За этим последует передача некоторых программ, необходимых для дальнейшего развития стратегий хакера после эксплуатации. Было бы довольно бессмысленно просто взломать компьютер, а затем уйти. Обычно целью любого злонамеренного хакера является не только проникновение в компьютерную сеть, но и ее поддержание. Обычно это означает попытку скрыть свое постоянное присутствие.

Время веселья

Теперь я буду использовать Metasploit Framework, чтобы облегчить сам взлом. Этот фреймворк действительно прекрасен тем, что предлагает вам большое разнообразие эксплойтов и, что не менее важно, множество различных вариантов полезной нагрузки. Вы не всегда можете захотеть иметь обратную оболочку или внедрить VNC. Полезная нагрузка часто будет зависеть от цели, сетевой архитектуры и вашей конечной цели. В нашем случае мы пойдем с обратной оболочкой. Это всегда полезно, особенно если ваша цель находится за маршрутизатором и недоступна напрямую. Например, вы попали на веб-сервер, но это один из нескольких серверов с балансировкой нагрузки. Нет гарантии, что вы сможете подключиться к нему с помощью прямой оболочки, поэтому вы хотите, чтобы компьютер возвращал вам оболочку. Наконец, я не буду рассказывать о фактическом использовании Metasploit Framework, потому что это то, что я уже несколько раз освещал в других статьях. Мы сосредоточимся на том, как все выглядит на уровне пакетов.

Теперь вместо того, чтобы покрывать каждый шаг взлома скриншотами и фрагментами кода, мы выберем другой подход. Что мы сделаем, так это воссоздадим хак с помощью Snort. Мы возьмем двоичный журнал взлома, который я сделал, а затем проанализируем его через Snort, чтобы увидеть, что он увидел. В идеале, он должен был видеть все, что я делал. На самом деле то, что мы собираемся сделать, это анализ пакетов. Цель будет заключаться в том, чтобы увидеть, насколько точно мы можем собрать заново то, что произошло. На этой ноте я возьму журнал двоичных пакетов, в котором записано все, что я сделал, и проанализирую его через Snort с установленным набором правил по умолчанию.

Вывод фырканья

Синтаксис, используемый для вызова snort, следующий:

Это, в свою очередь, заставило Snort проанализировать двоичный пакет с именем article_binary, что привело к следующему результату. Для краткости я сократил вывод Snort до важных частей.

================================================= ============

Нас интересует тот факт, что хакерская активность спровоцировала 63 оповещения. Теперь мы рассмотрим файл alert.ids, который даст нам более подробную информацию о том, что произошло. Теперь, если вы помните, первое, что сделал хакер, это использовал Nmap для сканирования сети. Это также первое оповещение, вызванное Snort.

После этого хакер использовал netcat для перечисления веб-сервера, пытаясь выяснить, к какому типу он относится. Эта попытка перечисления не вызвала никаких предупреждений Snort. Мне было бы любопытно узнать почему, так что давайте посмотрим на журнал пакетов. Хорошо, после того, как мы увидели обычное трехстороннее рукопожатие TCP/IP, был замечен следующий пакет.

В этом пакете нет ничего примечательного, кроме того, что есть GET-запрос с каким-то мусором после него, о чем свидетельствует sslslsl. Так что на самом деле Snort нечего было активировать. Было бы довольно сложно создать эффективную сигнатуру IDS, которая срабатывала бы при таком типе попытки перечисления. Вероятно, поэтому таких подписей нет. В следующем пакете после этого веб-сервер сети жертвы перечисляет себя.

После того, как перебор был выполнен, хакер немедленно отправил код эксплойта на веб-сервер. Затем этот код эксплойта привел к срабатыванию нескольких сигнатур Snort. Специально для показанного ниже эксплойта я видел эту подпись Snort.

После этой серии предупреждений Snort запустил серию предупреждений TFTP. Как только хакер получил доступ к веб-серверу, он начал использовать встроенный TFTP-клиент для передачи четырех файлов: nc.exe ipeye.exe fu.exe msdirectx.exe. оболочку обратно на свой компьютер. Оттуда он отключил другую свою оболочку, возникшую в результате первоначальной атаки, и сделал всю оставшуюся работу в оболочке netcat. Интересно, что ни одно из последующих действий, выполненных хакером через обратную оболочку, не было зарегистрировано Snort. И это несмотря на то, что хакер использовал руткит, который он передал через TFTP, чтобы скрыть информацию о процессе для netcat. Совсем нехорошо, в идеале хотелось бы, чтобы использование руткита fu.exe запускало сигнатуру IDS.

Заворачивать

В третьей части этой серии мы увидели взлом, осуществленный хакером так, как его увидел Snort. Нам удалось воссоздать почти все, что было сделано, за исключением использования руткита. Хотя IDS является весьма полезной технологией и должна быть частью защиты вашей сети, она не идеальна. Он будет предупреждать вас только о трафике, для которого у него есть сигнатуры. Имея это в виду, мы узнаем, как создавать подписи Snort в последней части этой серии статей. Кроме того, мы также увидим, как тестировать эти подписи, чтобы убедиться в их эффективности. Тогда увидимся.

  • Анализ взлома от А до Я (Часть 1)

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023