special

This webpage has been robot translated, sorry for typos if any. To view the original content of the page, simply replace the translation subdomain with www in the address bar or use this link.

Взлом локальной сети под управлением *win 2000/XP

Взлом локальной сети под управлением *win 2000/XP (by Rel4nium)

Локальные сети, подключённые к сети интернет в наше время очень распостранены.Ни одно учебное заведение не обходится без
локальной сети и конечно самая часто встречающаяся ОС крутящаяся на ЛС - это win 2000/XP.Я расскажу тебе о том, как взломать
сеть под управлением ОС windows, специально для этого мной была выбрана небольшая сеть (20 компьютеров) в одном из компьютерных
клубов. Заметь, что у меня имеется доступ к компьютеру и к сети (за 20 р час:).Взломать такую сеть легко, но основная цель
поставленная мной - это удержатся в системе.

[ Теоретический план взлома:

+определение компьютера
- наличие антивируса (обновление)
- наличие брандмауэра
- ip адрес компьютера (можно посмотреть, например на antichat.ru, ip.xss.ru)
- обнаружение подсети (leader.ru)
+подготовка софта
- выбор СУА
| исследование пакера, нахождение анпакера, распаковка
| нахождение криптера (сигнатуры которого нет в базах антивируса)
| криптовка файла СУА
- дополнительные приёмы (криптовка блокнота)
+залитие на бесплатный сервер подготовленных файлов
+нахождение компьютера с установленной СУА и с бинд шеллом
+использование информации, ресурсов взломанной сети.

Для начала смотрим, какой софт установлен для защиты сети. Это оказались антивирусы Касперского и доктор веб, антивирусные
базы обновлялись каждый день и подсадить на машину какого-нибудь троя не было возможным.
Фаервола не было ), это очень радовало, так как нежелательный трафик конечно не режется и никакие порты не фильтруются,
задача немного упрощается.
Зная что установлено на машине, (антивирус) причём не на каждой машине ), 3 пользователя, 2 из которых наделены правами
администратора, а 3-ий простой юзер, без особых прав.
Теперь нам нужно подготовится к процессу взлома. Для этого нам нужны: трой (СУА), анализатор, анпакер и криптер.
------ ------ ------
СУА - система удалённого администратирования (RAT).
Анализатор - анализирует каким пакером запакован программный файл (PEiD).
Анпакер - программа, распаковывающая програмный файл (например QUnpack).
Криптер - программа криптующая (шифрующая) код файла.
------ ------ ------
В качестве суа возьму RAT X control, так как размер сервера очень маленький. Сливаем новые антивирусные базы, сканируем
серверную часть рата server.exe, он определяется каспером (KAV 5.0.156 с новыми базами).Задача теперь состоит в том, чтобы
спрятать файл троя.Я подробнее рассмотрю процесс шифровки троя от антивируса, так как он мало где рассмотрен (а если и
рассмотрен то способ уже не действующий).

[ Прячем:

- определяем чем запакован server.exe (с помощью PEiD) оказывается, что UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
- для того, чтобы закриптовать файл его сначала нужно распаковать, для распаковки будем использовать простой UPX (у меня
1.25).Распаковываем таким образом:
upx.exe -d server.exe
upx.exe - программа upx
-d - клочь с помощью которого мы и распаковываем файл
server.exe - файл для распаковки
Сервер удачно распаковался...Ещё раз тестим PEiD и Nothing found * размер распакованного файла составил всего 17 килобайт
(раньше он был 9.50 кб) тестируем серверную часть на работоспособность. (запускаем сервер)
При запуске нет никаких ошибок, смотрим в автозагрузку, видим Xflash, смотрим в диспетчер задач, видим xflash.exe,
конектимся к себе клиентом, конект удался, следовательно файл в рабочем состоянии, распаковка прошла успешно. Теперь удаляем
его из автозагрузки (сервер), завершаем его процесс и удаляем его из
C:\WINDOWS\system32\ файл xflash.exe.Либо просто конектимся к себе клиентом, идём во вкладку система и нажимаем удалить
(после нажатия этой кнопки, сервер удалится и из автозагрузки и из system32)
После удаления пытаемся закриптовать файл server.exe (распакованный).
- мной была перепробована куча криптеров, протекторов и пакеров, но так как их сигнатуры уже есть в базах касперского (а
если их и не было, то процедура криптовки не проходила успешно) они либо определялись, либо просто не хотели запускаться. Но
всё же криптер был найден, от deNULL.Криптер не очень новый, но видимо его нет в базах и он не определился Касперским.
конечно файл закриптован, он не определяется Касперским, но он висит и в процессах и виден в system32 (мой друг прислал мне
старую версию троя, которого не видно ни в автозагрузке, ни в процессах, ни в систем32), после того как у меня появилась
версия RAT 1.3.5, я произвёл с ним такие же операции, и он стал невиден. Почти невидимый трой готов.
Сейчас осталось продумать то как установить этого троя.

[ Установка троя:

] Уязвимости в ie (например, сплоит Ani exploit), но он пасётся касперским, поэтому такой вариант отсекается.
] Уязвимости в RPC dcom и др (сплоиты kaht2, RPC GUI v2 - r3L4x, smallsoft LSA) вариант неплохой, взлом можно произвести
удалённо, и с помощью фтп скачать и запустить файл троя.
] Просто залить файл в бесплатный сервис типа www.webfile.ru и сидя, изображая ламера скачать и запустить файл троя.Вариант
может быть даже самый оптимальный, так как для использования эксплоитов нужно знать ip компа в сети, + открывать у себя фтп,
перекачивать файл.. это долго, так что я остановлюсь на 3 пункте.
Теперь всё готово для взлома сети, но для того, чтобы уже наверняка закрепиться в системе (так как кто знает, сигнатура
криптера может в скором времени попасть в базы антивируса).Я хочу использовать способ описанный протеусом в его статье
(Идеальный способ распространения "злого" кода).Как ты думаешь какой файл никто и не подумает удалять из системы ?Это может
быть блокнот, калькулятор.. всё ограничивается только твоим воображением.Делаем всё так как
писал протеус, в разделе download имеется приложение к статье в виде многопоточного бинд шела + секция дата вырванная из
него LordPE (ngh.void.ru/soft/d/bind.rar)

[ Нахождение компьютера в сети после взлома:

Найти взломанную машину в сети просто, сначала иди на www.leader.ru пробивай через воиз ip любого компа в сети.
А после изменения файла блокнота, и установки серверной части троя компьютер можно найти путём сканирования всех адресов в
данной подсети (берём ip любого компьютера в сети и идёи на leader.ru)

General Information
Hostname
namehost.ru < имя хоста
IP
195.19.???.??? < ip адрес (который мы проверяем)
Preferable MX
mail.server.ru < почтовый сервер

Network Information
Имя
name < имя
Диапазон адресов
193.18.166.32 - 193.18.166.79 < то, что нас и интересует!(диапазон взят то балды)
Владелец
name, и др )
Расположение
Rick, 50a, REd street, индекс город, страна
Контактная информация
имя, фамилия, телефон и др

Domain Information
Имя
name.ru < адрес сайта
Владелец
RED < имя владельца
Сервера имен
ns.1.ru, ns.1.ru
Статус
REGISTERED, DELEGATED

Leader's Whois module v 4.0 (C) by Alexander K. Yezhov,
[email protected]

в моём случае диапазон такой 193.18.166.32 - 193.18.166.79, теперь осталось только просканировать на открытый 4444 порт (на
этот порт повешен бинд шелл, встроенный в какой-то неприметный файл)


[ Взлом:
Всё просто, идёшь в помещение с ломаемой локальной сеть, садишься на часок "в чат" ), сливаешь закачанные файлы на
www.webfile.ru, это криптованный сервер троя и "немного изменённый" блокнот. Запускаешь файл троя, заменяешь блокнот
новым файлом. И со спойкойной душой, досидев своё время идёшь домой, конектишься к локальной сети (о том как узнать ip выше)
и пользуешься взломанной машиной в своих целях.

[ Зашита
А защититься от взлома очень просто, нужно просто отрезать основные пути для взломщика. Обновление антивирусных баз каждый
день - не есть панацея, поэтому фаервол (советую Agnitum Outpost Firewall) - это то что нужно.Фаервол затрудняет все
вышеперечисленные операции, пишет всё происходящее в лог.Поэтому взлом эксплоитами например для рпк не возможен, так как
этот порт фильтруется фаерволом, загрузка файла с помощью баги в ie тоже не возможна + у фаервола есть режим невидимости
(при котором компьютера как бы нет в интернете, он не отвечает на пинг и др).Администраторы локальных сетей конечно слышали
что есть такой фаервол, не знаю, что мешает им пользоваться (может на лицензию нет денег, и они не знают что такое кряк:) или
это просто происходит из-за природной лени администратора. Но если бы фаер был установлен, то проблем в будущем оказалось бы
гораздо меньше, чем без установленного фаервола.
Если уж прям так не охото скачивать, устанавливать, настравить (хотя это можно сделать за 5 мин) фаервол, то есть
альтернатива, просто установить патчи (заплатки) и от рпк, и от других багов винды ) , как ты думаешь сколько будут весит
все эти патчи ? и Сколько их в сумме ?По результатам сканирования XSpider, выявило то что нужно установить sp2 (sp2 - набор
заплаток + какое-то подобие "фаерола"), если же не устанавливать, то нужно установить порядка 13 - 14 заплат (от удалённого
выполнения команд, до переполнения буфера).Размер 1 патча больше чем 5-6 мб (фаер весит 5 мб) и устанавливать их дольше чем
5 мин ) => устанавливай оутпост и всё будет в порядке.

требования по сохранению безопасности локальной сети:
- обновление антивируса не реже 1 раза в неделю
- установка фаервола, слежение за логами и открытыми потрами
- установка патчей (если будут серьезные уязвимости, от которых не спасёт фаер)
- права пользователей (пароль администратора не на цифрах:)
- присмотри за пользователями, либо установка программы монитора с помощью которой можно увидеть, что пользователь в данный
момент делает на ПК.

Дата створення/оновлення: 25.05.2018

';>