Analiza ataku (część 2)

Analiza ataku (część 1)

Don Parker

W części pierwszej pokazaliśmy informacje, które można zaobserwować otwierając sekwencję pakietów wysyłaną przez Nmap. Wysyłana sekwencja rozpoczyna się od odpowiedzi echa ICMP w celu ustalenia, czy komputerowi lub sieci został przypisany adres IP.

Dodatkowo, możemy również stwierdzić, że sieć zaatakowanego komputera jest siecią opartą na systemie Windows, na podstawie wartości TTL w wysyłanym pakiecie odpowiedzi echa ICMP. Teraz należy kontynuować obserwację pozostałych pakietów w skanerze Nmap i zdobyć pozostałe informacje, aby poznać profil sieci ofiary.

Kontynuować

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Dwa powyższe pakiety pojawiają się po pakietach ICMP, które zaobserwowaliśmy w części 1. Nmap wysłał pakiet ACK do sieci ofiary o adresie IP 192.168.111.23 na porcie 80. Ponieważ są to fałszywe informacje, nie otrzymujemy tutaj pełnego obrazu. Widać jedynie, że pakiet ACK otrzymany od atakującego był pakietem RST w odpowiedzi, ponieważ takiego ACK nikt się nie spodziewał. Zasadniczo nie jest ono częścią wcześniej nawiązanego połączenia. Nadal mamy TTL wynoszące 128, odpowiadające TTL zaobserwowanemu wcześniej.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Po wymianie pakietów ACK i RST możemy zobaczyć, że prawdziwy pakiet SYN został wysłany od hakera do sieci ofiary, co widać w pakiecie oznaczonym pogrubioną literą S. Pozwala nam to wywnioskować, że pakiet SYN/ACK powraca z sieci ofiary na jej porcie 21. Ta wymiana jest następnie kończona przez pakiet RST wysyłany z powrotem z komputera hakera do sieci ofiary. Te trzy pakiety zawierają teraz bogactwo informacji na temat podróbki.

Mamy również TTL 128 z komputera ofiary, ale także win64240. Choć wartość ta nie jest wymieniona, jest to rozmiar, który widziałem już wiele razy w systemie Win32 (32-bitowe wersje systemu Microsoft Windows, takie jak Win NT, 2K, XP i 2K3). Innym ograniczeniem komputerów z systemem Windows jest nieprzewidywalność liczby identyfikatorów IP. W tym przypadku mamy tylko jedną wartość identyfikatora IP. Potrzebujemy co najmniej jeszcze jednej wartości, aby móc z przekonaniem stwierdzić, że ten komputer jest komputerem z systemem Microsoft Windows. Zwróć uwagę na pozostałe pakiety ze skanowania Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Pierwszą informacją, na którą patrzy haker, jest to, czy numer identyfikacyjny IP wzrasta do 399. Ten DI IP to rzeczywiście 399, jak możemy zaobserwować w środku pakietu. Posiadając te informacje, haker jest pewien, że atakowany komputer działa na systemie Windows NT, 2K, XP lub 2K3. W tej sekwencji pakietów można również zauważyć, że port 80 w sieci ofiary prawdopodobnie obsługuje usługę, o czym świadczy pakiet SYN/ACK. Pakiet SYN/ACK jest ustalany na podstawie pola flagi w nagłówku TCP; w tym przypadku podkreślona wartość szesnastkowa to 12 lub 18 w systemie dziesiętnym. Wartość tę można wykryć poprzez dodanie wartości flagi SYN 2 do wartości flagi ACK 16.

Enumeracja

Gdy haker dowie się, że porty 21 i 80 są otwarte dla przedsiębiorstwa, przejdzie do stanu enumeracji. Teraz musi dowiedzieć się, jaki typ serwera WWW oczekuje na połączenia. Wykorzystanie przez hakera luki w zabezpieczeniach Apache na serwerze internetowym IIS nie miałoby sensu. Mając to na uwadze, atakujący uruchamia sesję cmd.exe i sprawdza typ sieci.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Możemy zaobserwować typ sieci zaznaczony powyżej lub składnię nc.exe, którą haker wpisuje w adresie IP ofiary, a także w porcie 80. Po wejściu haker wpisze HTTP metody GET, a następnie kilka zdań niepoprawnych gramatycznie. Działanie to może spowodować, że serwer sieciowy ofiary wyśle ​​z powrotem do swojego systemu informacje, jeśli nie zrozumie treści żądania. Dlatego też naturalnie zawierają informacje potrzebne hakerom. Haker widzi teraz, że znajduje się w środowisku Microsoft IIS 5.0. A co jeszcze lepsze, hakerzy znaleźli kilka sposobów na wykorzystanie tej wersji.

Wnioski

Poprzez skanowanie sieci ofiary za pomocą Nmap, haker może otrzymać serię ważnych pakietów danych. Jak już widzieliśmy, pakiety danych zawierają mnóstwo informacji, które hakerzy mogą wykorzystać do wykorzystania luk w architekturze, systemie operacyjnym, typie sieci i typie serwera.

Krótko mówiąc, w ten sposób hakerzy mogą uzyskać kluczowe informacje o hoście, architekturze i świadczonych usługach. Posiadając te informacje, haker może przeprowadzić atak na serwer WWW ofiary. W poniższej sekcji przedstawimy więcej szczegółów na temat ataków, jakie hakerzy mogą wykorzystać w tym przypadku do ataku na użytkowników.

Analiza ataku (część 3)