Exploiting und Trojanisieren
Uwe Starke HS-Wismar FB Elektrotechnik und Informatik seit Juli 2000 im CCNA Akademieprogramm November 2001 CCNP-, Februar 2004 NS
Demo-Netzwerk-Topologie Standardtopologie als allgemeingültige Anbindung an den Serviceprovider Campus/Firmen/Home- Netzwerk Public-Server HTTP 193.175.118.0/24 193.175.118.2 10.0.1.11/24 Nat/PAT Internet.1
Allgemeingültige Steps: 1. Auswahl (information gathering) des Host 2. Angriff mit einem Exploit 3. Freigabe machen ; Benutzter anlegen 4. Trojanisieren, z.b. Optix PRO,Trojaner starten, 5. Mögliche Verhinderungen
1. Auswahl (information gathering) des Host durch Portscan z.b. Nessus
1. Auswahl (information gathering) des Host durch Portscan z.b. Nessus
2. Angriff mittels Exploit Ausnutzung von Bufferoverflow im DCOM, Distributed Component Object Model DCOM ist ein Layer 7 Protokoll zur Zusammenarbeit im Netz, DCOM vertraut auf RPC RPC bestimmt das Transportprotokoll UDP, TCP/IP, NetBIOS, der IPX/SPX, default ist TCP/IP. W2k, XP, und 2003 Server benutzen TCP/135 nach CAN-2003-0605, MS03-039 The RPC DCOM interface in Windows 2000 SP3 and SP4 allows remote attackers to cause a denial of service (crash), and local attackers to use the DoS to hijack the epmapper pipe to gain privileges, via certain messages to the _RemoteGetClassObject interface that cause a NULL pointer to be passed to the PerformScmStage function.
2. Angriff mittels Exploit Kaht
3. Freigabe auf dem Opfer C:> net share remote-opfer=c:/ C:> net user Attacker Password /add C:/ net localgroup Administrator Attacker /add Start WindowsExplorer auf Attacker bzw. Netzlaufwerk hinzufügen //y.y.y.y/remote-opfer
4. Trojanisieren Optix PRO v1.33 ist ein Backdoor- Trojaner für Windows. Ermöglicht Fremdzugriff auf den trojanisierten Rechner. Besteht aus Server (Opfer) und Client (Attacker). Server kann nach eigenen Wünschen mit dem Builder selbst erstellt werden Andere Namen: Backdoor.Optix.b; Backdoor-ACH; Win32/Optix.Pro.131
4. Trojanisieren
4. Trojanisieren Transfer des Servers zum Opfer /Autostartgruppe Start des Servers Console c:/winnt/system32> net start servername Zugriff mit dem Client vom Attacker sollte der Zugriff nicht möglich sein > Virenscanner c:/net stop Sweepsrv.sys c:/start server.exe Aktionen
Verhinderungmöglichkeit Campus/Firmen/Home- Netzwerk Public-Server HTTP 193.175.118.0/24 193.175.118.2 10.0.1.11/24 Nat/PAT Internet.1
Exploiting, Trojanisieren und Verhinderung Konfiguration der Firewall - Interfaces -NAT/PAT, - Access-Regeln - Auditing- Logging - Betriebssystem Patches
Konfiguration der Firewall per ASDM, oder CLI PIX-Acad-day# sh run access-list access-list Outside_access_in extended permit tcp any host 193.175.118.2 eq www access-list Outside_access_in extended deny udp any host 193.175.118.2 log critical access-list Outside_access_in extended permit icmp any host 193.175.118.2 access-list Outside_access_in extended deny tcp any host 193.175.118.2 log emergencies PIX-Acad-day#
Erneuter Scan:
Erneut Anwendung des Exploit s? Hat keinen Zweck!
Fragen? Danke für die Aufmerksamkeit!