Menganalisis Serangan (Bahagian 3)

Menganalisis Serangan (Bahagian 1)
Menganalisis Serangan (Bahagian 2)

Don Parker

Dalam bahagian 2 siri ini, kami meninggalkan semua maklumat yang diperlukan untuk serangan ke atas rangkaian mangsa. Dengan itu, mari kita beralih kepada serangan sebenar. Serangan ini memerlukan penghantaran beberapa program permintaan untuk dapat pergi lebih jauh dalam mengeksploitasi serangan.

Tidak ada gunanya menyerang komputer dan kemudian berundur, jadi kami akan melakukan serangan yang kuat. Biasanya matlamat penyerang berniat jahat bukan sahaja untuk meningkatkan kehadiran mereka pada rangkaian komputer, tetapi juga untuk mengekalkannya. Ini bermakna penyerang masih mahu terus menyembunyikan kehadirannya dan melakukan beberapa tindakan lain.

Isu Menarik

Sekarang kami akan menggunakan Rangka Kerja Metasploit untuk memudahkan serangan sebenar. Mekanisme kerja ini benar-benar menarik kerana ia memberi anda pelbagai jenis perlombongan serta banyak pilihan yang berbeza apabila ia datang untuk memilih muatan. Mungkin anda tidak mahu utiliti terbalik, atau suntikan VNC. Muatan selalunya bergantung pada sasaran anda yang akan datang, seni bina rangkaian dan matlamat akhir. Dalam kes ini, kami akan melakukannya dengan utiliti terbalik. Ini selalunya pendekatan yang lebih berfaedah, terutamanya dalam kes di mana sasaran kami berada di belakang penghala dan tidak boleh diakses secara langsung. Sebagai contoh, anda "memukul" pelayan web tetapi bebannya masih seimbang. Tiada jaminan bahawa anda boleh menyambungkannya dengan utiliti hadapan, jadi anda akan mahu komputer anda menjana utiliti terbalik. Kami tidak akan membincangkan cara menggunakan Rangka Kerja Metasploit kerana ia mungkin telah dibincangkan dalam artikel lain. Jadi mari kita fokus pada perkara seperti tahap pakej.

Kali ini, daripada menggunakan kaedah memperkenalkan setiap langkah serangan dengan imej ringkas dan coretan kod, kami akan membentangkan serangan yang berbeza. Apa yang akan dilakukan ialah mencipta semula serangan dengan bantuan Snort. Kami akan mengambil kesempatan daripada log binari dalam serangan yang kami lakukan, kemudian menghuraikannya melalui Snort. Sebaik-baiknya ia akan kelihatan seperti semua yang kita lakukan. Malah, apa yang akan dilaksanakan adalah pakej pembuktian. Matlamat di sini adalah untuk melihat seberapa tepat kita boleh menyatukan apa yang berlaku. Dengan itu, kami akan menggunakan log paket binari yang merekodkan semua yang telah dilaksanakan dan menghuraikannya melalui Snort menggunakan beberapa peraturan lalainya.

Output Snort

Sintaks yang digunakan untuk memanggil Snort adalah seperti berikut:

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

Sintaks ini menyebabkan Snort menganalisis paket binari yang dipanggil article_binary, hasilnya ditunjukkan di bawah. Kami telah memotong output Snort supaya kami boleh melihat setiap bahagian secara terperinci.

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

Bahagian ini menarik kerana terdapat 63 makluman yang dicetuskan oleh satu tindakan serangan. Kami akan melihat fail alert.ids, yang boleh memberikan banyak butiran tentang perkara yang berlaku. Sekarang, jika anda masih ingat perkara pertama yang dilakukan oleh penyerang ialah menggunakan Nmap untuk melakukan imbasan rangkaian, itu juga mencipta amaran pertama yang dicetuskan oleh Snort.

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

Dengan cara ini, penyerang menggunakan netcat untuk menghitung pelayan web untuk mengetahui jenis pelayan web itu. Tindakan ini tidak mencetuskan sebarang makluman Snort. Kami juga ingin mengetahui apa yang berlaku, jadi mari kita lihat lebih dekat pada log untuk pakej itu. Selepas memerhatikan prosedur jabat tangan TCP/IP biasa, kita akan melihat paket di bawah.

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

Tiada apa-apa yang luar biasa tentang pakej ini selain fakta bahawa ia mempunyai permintaan GET dengan beberapa isu dalaman yang mengikutinya seperti slslsl sebagai contoh. Jadi sebenarnya, tiada apa yang boleh dilakukan oleh Snort. Oleh itu, adalah sangat sukar untuk membina tandatangan (atau tandatangan) IDS yang berkesan untuk mencetuskan percubaan penghitungan jenis ini. Itulah sebabnya tiada tandatangan sedemikian. Paket seterusnya selepas itu ialah tempat pelayan web rangkaian mangsa menyenaraikan dirinya sendiri.

Setelah penghitungan selesai, penyerang segera menghantar kod untuk melaksanakan eksploit ke pelayan web. Kod ini kemudiannya akan memberikan beberapa hasil dengan tandatangan Snort didayakan. Khusus untuk eksploitasi yang ditunjukkan di bawah kita dapat melihat tandatangan Snort ini.

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

Sebaik sahaja penyerang telah mendapat akses kepada pelayan web, dia akan mula menggunakan klien TFTP untuk memindahkan 4 fail: nc.exe, ipeye.exe, fu.exe, msdirectx.exe. Setelah fail ini telah dipindahkan, penyerang menggunakan netcat untuk menghantar semula utiliti ke komputernya. Dari situ, dia boleh memutuskan sambungan utiliti lain yang terhasil daripada serangan awal dan melakukan semua kerja yang tinggal dalam utiliti netcat. Menariknya, tiada satu pun tindakan yang dilakukan oleh penyerang melalui utiliti terbalik telah direkodkan oleh Snort. Walau bagaimanapun, tidak kira itu, penyerang menggunakan rootkit yang dihantar melalui TFTP untuk menyembunyikan maklumat proses untuk netcat.

Kesimpulan

Dalam bahagian tiga siri ini, kami melihat serangan yang ditunjukkan menggunakan Snort. Kita boleh mencipta semula sepenuhnya salah satu perkara yang telah dilakukan kecuali untuk penggunaan rootkit. Walaupun IDS ialah teknologi yang cukup berguna dan sebahagian daripada sistem pertahanan rangkaian anda, ia tidak selalunya sempurna. IDS hanya boleh memaklumkan anda tentang trafik yang boleh dirasainya. Dengan itu, kita akan belajar cara membina tandatangan Snort di bahagian akhir siri ini. Seiring dengan itu, kita juga akan belajar bagaimana untuk menguji tandatangan digital (tandatangan) untuk menilai keberkesanannya.