Сканирование shared-ресурсов

Delphi , Интернет и Сети , Интернет

Оформил: DeeCo

В результате экспериментов с NetBIOS был реализован метод сканирования Internet в поисках открытых для записи разделяемых (shared) ресурсов. Подобная идея уже применялась в Legion, но простое дополнение этой схемы простейшим алгоритмом подбора паролей позволило добиться неожиданно "хороших" результатов.

Сканирование выполняется параллельно для каждого из заданных адресов (при наличии достаточных ресурсов у атакующего). Сканируется сеть класса C, кроме 1.2.3.0 и 1.2.3.255.

Первая стадия - сбор данных.

1. Послать запрос ping. Если нет ответа, то пропустить этот адрес (и не атаковать эту машину на второй стадии).
2. Определить имя DNS (на всякий случай, оно нигде не используется)
3. Попробовать установить null session⁽¹⁾.
4. Попробовать получить список shared resources.
5. Если null session установить не удалось, то закончить первую стадию для этого адреса.
6. Попробовать получить список имен пользователей.
7. Попробовать получить информацию об операционной системе, а именно

• Платформу (Windows 9x, Windows NT)
• Версию LAN Manager (Для NT: 4.00 => NT4, 5.00 => Windows 2000)
• Роль системы в сети: флаги Master Browser, Backup Browser, PDC, BDC, RAS dialin server.

Вторая стадия  - подбор паролей. Все имена пользователей, полученные на первой стадии, объединяются в один список, что позволяет учесть доменную архитектуру систем на базе Windows NT. На этой стадии проверяются соединения типа net use \\1.2.3.4\IPC$ password /user:username. Если соединение успешно, то проверяются все возможность подключения ко всем shared resources, и, когда подключение успешно, возможность записи.

1. Проверить подключение со случайным именем (используется результат GetTickCount() в десятичном представлении) и пустым паролем. Если подключение успешно, то считать, что разрешено подключение Guest, и дальнейшие проверки паролей будут бессмысленны⁽²⁾. Проверить shared resources и больше не подбирать пароли на эту машину.
2. Проверить подключения со всеми именами, собранными на первой стадии. Проверяется пустой пароль и пароль, совпадающий с именем пользователя. Если подключение успешно, то проверить shared resources.

⁽¹⁾ Null session - анонимное соединение (с пустым именем и паролем). То же, что и net use \\1.2.3.4\IPC$ "" /user:""
⁽²⁾ Это не совсем верно. Правильным вариантом было бы все равно проверять все имена, и каждый раз отслеживать изменения прав доступа к shared resources.

Атака может быть предотвращена следующими методами:

• отключением NetBIOS over TCP/IP
• запретом доступа к портам 135 и 139 при помощи firewall
• запретом анонимного доступа к системе путем установки в 1 значения ключа HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous
• выбором устойчивых паролей
• запретом пользователя Guest или введением для него login station restrictions
• специальными программными средствами

Введение account lockout смысла, скорее всего, не имеет, поскольку проводятся всего две попытки угадать пароль.

Стандартное протоколирование доступа методами NT не позволяет установить IP атакующего (только NetBIOS имя машины и домен, которые могут быть произвольно изменены). Однако протокол позволяет идентифицировать прошедшую атаку: сначала идет одна запись об успешном входе в систему пользователя ANONYMOUS, а потом (после паузы около минуты) серия записей о неуспешных попытках входа с разными именами пользователей (в том числе и тех, которых нет на этой машине; по две записи на имя). Если среди них есть хотя бы одна запись об успешном входе, систему следует считать скомпрометированной.

Для проверки метода была написана программа, реализующая вышеописанный алгоритм (это заняло около 6 часов вместе с тестированием и перерывами на покурить). Тестовые сканирования проводились на Dual Celeron 400MHz 96Mb RAM с одновременным запуском до 128 потоков.

Был проведен ряд экспериментальных сканирований. В качестве источника адресов подсетей был использован Intruders list, полученный при помощи BlackICE, однако разработка алгорима быстрого определения "населенных"  подсетей не представляет никакой сложности. Сканирование 254 адресов занимает от двух до десяти минут в зависимости от качества связи и общего количества имен пользователей в сети.

Кратко сформулированный результат такой:

• примерно 10% паролей пользователей Windows может быть угадано с двух попыток
• примерно 40% Windows-машин, доступных по NetBIOS over TCP/IP, выставляют ресурсы в общее пользование без (достаточной) защиты
• примерно каждая третья share, доступная из Internet, разрешает запись

Кроме того: за два часа не очень напряженной работы можно найти три машины с Windows NT, к которым можно подключиться по сети с правами администратора (CONNECT: Administrator : <NO PASSWORD> :).

Детальная статистика:

⁽¹⁾ Т.е. возможно подключение к IPC$ со случайным именем
⁽²⁾ Уязвимыми считались все машины, которые позволяли подключить разделяемый ресурс хотя бы на чтение.

Во-первых, эта атака (после незначительного усовершенствования) может быть использована для быстрого заселения обширных территорий, например, BackOrifice или программами для проведения DDoS-атак.

Во-вторых, на этом алгоритме может быть реализован сетевой червь, даже заниженная оценка скорости распространения которого производит тяжелое впечатление.

Сканирование shared-ресурсов: метод обнаружения открытых для записи разделяемых ресурсов в сети, позволяющий угадать около 10% паролей пользователей Windows с двух попыток.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: Интернет ::