special

Взлом локальной сети под управлением *win 2000/XP

Взлом локальной сети под управлением *win 2000/XP (by Rel4nium)

Локальные сети, подключённые к сети интернет в наше время очень распостранены.Ни одно учебное заведение не обходится без
локальной сети и конечно самая часто встречающаяся ОС крутящаяся на ЛС - это win 2000/XP.Я расскажу тебе о том, как взломать
сеть под управлением ОС windows, специально для этого мной была выбрана небольшая сеть (20 компьютеров) в одном из компьютерных
клубов. Заметь, что у меня имеется доступ к компьютеру и к сети (за 20 р час:).Взломать такую сеть легко, но основная цель
поставленная мной - это удержатся в системе.

[ Теоретический план взлома:

+определение компьютера
- наличие антивируса (обновление)
- наличие брандмауэра
- ip адрес компьютера (можно посмотреть, например на antichat.ru, ip.xss.ru)
- обнаружение подсети (leader.ru)
+подготовка софта
- выбор СУА
| исследование пакера, нахождение анпакера, распаковка
| нахождение криптера (сигнатуры которого нет в базах антивируса)
| криптовка файла СУА
- дополнительные приёмы (криптовка блокнота)
+залитие на бесплатный сервер подготовленных файлов
+нахождение компьютера с установленной СУА и с бинд шеллом
+использование информации, ресурсов взломанной сети.

Для начала смотрим, какой софт установлен для защиты сети. Это оказались антивирусы Касперского и доктор веб, антивирусные
базы обновлялись каждый день и подсадить на машину какого-нибудь троя не было возможным.
Фаервола не было ), это очень радовало, так как нежелательный трафик конечно не режется и никакие порты не фильтруются,
задача немного упрощается.
Зная что установлено на машине, (антивирус) причём не на каждой машине ), 3 пользователя, 2 из которых наделены правами
администратора, а 3-ий простой юзер, без особых прав.
Теперь нам нужно подготовится к процессу взлома. Для этого нам нужны: трой (СУА), анализатор, анпакер и криптер.
------ ------ ------
СУА - система удалённого администратирования (RAT).
Анализатор - анализирует каким пакером запакован программный файл (PEiD).
Анпакер - программа, распаковывающая програмный файл (например QUnpack).
Криптер - программа криптующая (шифрующая) код файла.
------ ------ ------
В качестве суа возьму RAT X control, так как размер сервера очень маленький. Сливаем новые антивирусные базы, сканируем
серверную часть рата server.exe, он определяется каспером (KAV 5.0.156 с новыми базами).Задача теперь состоит в том, чтобы
спрятать файл троя.Я подробнее рассмотрю процесс шифровки троя от антивируса, так как он мало где рассмотрен (а если и
рассмотрен то способ уже не действующий).

[ Прячем:

- определяем чем запакован server.exe (с помощью PEiD) оказывается, что UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
- для того, чтобы закриптовать файл его сначала нужно распаковать, для распаковки будем использовать простой UPX (у меня
1.25).Распаковываем таким образом:
upx.exe -d server.exe
upx.exe - программа upx
-d - клочь с помощью которого мы и распаковываем файл
server.exe - файл для распаковки
Сервер удачно распаковался...Ещё раз тестим PEiD и Nothing found * размер распакованного файла составил всего 17 килобайт
(раньше он был 9.50 кб) тестируем серверную часть на работоспособность. (запускаем сервер)
При запуске нет никаких ошибок, смотрим в автозагрузку, видим Xflash, смотрим в диспетчер задач, видим xflash.exe,
конектимся к себе клиентом, конект удался, следовательно файл в рабочем состоянии, распаковка прошла успешно. Теперь удаляем
его из автозагрузки (сервер), завершаем его процесс и удаляем его из
C:\WINDOWS\system32\ файл xflash.exe.Либо просто конектимся к себе клиентом, идём во вкладку система и нажимаем удалить
(после нажатия этой кнопки, сервер удалится и из автозагрузки и из system32)
После удаления пытаемся закриптовать файл server.exe (распакованный).
- мной была перепробована куча криптеров, протекторов и пакеров, но так как их сигнатуры уже есть в базах касперского (а
если их и не было, то процедура криптовки не проходила успешно) они либо определялись, либо просто не хотели запускаться. Но
всё же криптер был найден, от deNULL.Криптер не очень новый, но видимо его нет в базах и он не определился Касперским.
конечно файл закриптован, он не определяется Касперским, но он висит и в процессах и виден в system32 (мой друг прислал мне
старую версию троя, которого не видно ни в автозагрузке, ни в процессах, ни в систем32), после того как у меня появилась
версия RAT 1.3.5, я произвёл с ним такие же операции, и он стал невиден. Почти невидимый трой готов.
Сейчас осталось продумать то как установить этого троя.

[ Установка троя:

] Уязвимости в ie (например, сплоит Ani exploit), но он пасётся касперским, поэтому такой вариант отсекается.
] Уязвимости в RPC dcom и др (сплоиты kaht2, RPC GUI v2 - r3L4x, smallsoft LSA) вариант неплохой, взлом можно произвести
удалённо, и с помощью фтп скачать и запустить файл троя.
] Просто залить файл в бесплатный сервис типа www.webfile.ru и сидя, изображая ламера скачать и запустить файл троя.Вариант
может быть даже самый оптимальный, так как для использования эксплоитов нужно знать ip компа в сети, + открывать у себя фтп,
перекачивать файл.. это долго, так что я остановлюсь на 3 пункте.
Теперь всё готово для взлома сети, но для того, чтобы уже наверняка закрепиться в системе (так как кто знает, сигнатура
криптера может в скором времени попасть в базы антивируса).Я хочу использовать способ описанный протеусом в его статье
(Идеальный способ распространения "злого" кода).Как ты думаешь какой файл никто и не подумает удалять из системы ?Это может
быть блокнот, калькулятор.. всё ограничивается только твоим воображением.Делаем всё так как
писал протеус, в разделе download имеется приложение к статье в виде многопоточного бинд шела + секция дата вырванная из
него LordPE (ngh.void.ru/soft/d/bind.rar)

[ Нахождение компьютера в сети после взлома:

Найти взломанную машину в сети просто, сначала иди на www.leader.ru пробивай через воиз ip любого компа в сети.
А после изменения файла блокнота, и установки серверной части троя компьютер можно найти путём сканирования всех адресов в
данной подсети (берём ip любого компьютера в сети и идёи на leader.ru)

General Information
Hostname
namehost.ru < имя хоста
IP
195.19.???.??? < ip адрес (который мы проверяем)
Preferable MX
mail.server.ru < почтовый сервер

Network Information
Имя
name < имя
Диапазон адресов
193.18.166.32 - 193.18.166.79 < то, что нас и интересует!(диапазон взят то балды)
Владелец
name, и др )
Расположение
Rick, 50a, REd street, индекс город, страна
Контактная информация
имя, фамилия, телефон и др

Domain Information
Имя
name.ru < адрес сайта
Владелец
RED < имя владельца
Сервера имен
ns.1.ru, ns.1.ru
Статус
REGISTERED, DELEGATED

Leader's Whois module v 4.0 (C) by Alexander K. Yezhov,
admin@leader.ru

в моём случае диапазон такой 193.18.166.32 - 193.18.166.79, теперь осталось только просканировать на открытый 4444 порт (на
этот порт повешен бинд шелл, встроенный в какой-то неприметный файл)


[ Взлом:
Всё просто, идёшь в помещение с ломаемой локальной сеть, садишься на часок "в чат" ), сливаешь закачанные файлы на
www.webfile.ru, это криптованный сервер троя и "немного изменённый" блокнот. Запускаешь файл троя, заменяешь блокнот
новым файлом. И со спойкойной душой, досидев своё время идёшь домой, конектишься к локальной сети (о том как узнать ip выше)
и пользуешься взломанной машиной в своих целях.

[ Зашита
А защититься от взлома очень просто, нужно просто отрезать основные пути для взломщика. Обновление антивирусных баз каждый
день - не есть панацея, поэтому фаервол (советую Agnitum Outpost Firewall) - это то что нужно.Фаервол затрудняет все
вышеперечисленные операции, пишет всё происходящее в лог.Поэтому взлом эксплоитами например для рпк не возможен, так как
этот порт фильтруется фаерволом, загрузка файла с помощью баги в ie тоже не возможна + у фаервола есть режим невидимости
(при котором компьютера как бы нет в интернете, он не отвечает на пинг и др).Администраторы локальных сетей конечно слышали
что есть такой фаервол, не знаю, что мешает им пользоваться (может на лицензию нет денег, и они не знают что такое кряк:) или
это просто происходит из-за природной лени администратора. Но если бы фаер был установлен, то проблем в будущем оказалось бы
гораздо меньше, чем без установленного фаервола.
Если уж прям так не охото скачивать, устанавливать, настравить (хотя это можно сделать за 5 мин) фаервол, то есть
альтернатива, просто установить патчи (заплатки) и от рпк, и от других багов винды ) , как ты думаешь сколько будут весит
все эти патчи ? и Сколько их в сумме ?По результатам сканирования XSpider, выявило то что нужно установить sp2 (sp2 - набор
заплаток + какое-то подобие "фаерола"), если же не устанавливать, то нужно установить порядка 13 - 14 заплат (от удалённого
выполнения команд, до переполнения буфера).Размер 1 патча больше чем 5-6 мб (фаер весит 5 мб) и устанавливать их дольше чем
5 мин ) => устанавливай оутпост и всё будет в порядке.

требования по сохранению безопасности локальной сети:
- обновление антивируса не реже 1 раза в неделю
- установка фаервола, слежение за логами и открытыми потрами
- установка патчей (если будут серьезные уязвимости, от которых не спасёт фаер)
- права пользователей (пароль администратора не на цифрах:)
- присмотри за пользователями, либо установка программы монитора с помощью которой можно увидеть, что пользователь в данный
момент делает на ПК.

Дата створення/оновлення: 25.05.2018