Носов В.В. "Технології аудиту інформаційних систем"
Лекція 8. Інвентаризація SMB-служб Windows
Навчальні питання
1. Інвентаризація SMB-служб спеціалізованими утилітами
2. Інвентаризація SMB-служб універсальними утилітами
3. Обхід обмеження для анонімних з'єднань
4. Заходи протидії інвентаризації SMB-служб Windows
Час: 2 акад. г.
Література
Скрембрей Джоел, Мак-Клар Стюарт. Секреты хакеров. Безопасность Windows Server 2003 - готовые решения.: Пер. с англ. - М.: Издательский дом "Вильямс", 2004. с.
Мак-Клар Стюарт, Скрембрей Джоел, Курц Джордж. Секреты хакеров. Безопасность сетей – готовые решения. :Пер. с англ. – М.: Издательский дом "Вильямс", 2002. с. 87 – 117.
Вступ
Продолжим рассмотрение методов и средств сбора информации об узлах сети Windows.
Інвентаризація smb-служб спеціалізованими утилітами
Теперь рассмотрим широко распространенный Windows-интерфейс, протокол SMB (Server Message Block — блок сообщений сервера), который определяет регламент служб совместного использования файлов и печати в операционных системах Microsoft. Продемонстрируем возможности инвентаризации с помощью уже ставшего классическим метода нулевого сеанса (null session). С помощью нулевого сеанса анонимный злоумышленник способен получить значительный объем информации об интересующей системе и, самое главное, именах учетных записей.
Нулевые сеансы
Популярность |
8 |
Простота |
10 |
Опасность |
8 |
Степень риска |
9 |
Одним из наиболее серьезных уязвимых мест систем семейства Windows NT традиционно являлась поддержка по умолчанию и доверие к данным, передающимся по протоколам CIFS1/SMB (далее просто SMB). В спецификацию SMB входят программные интерфейсы (API), которые возвращают достоверную информацию о компьютере через TCP-порты 139 и 445 даже тем пользователям, которые не прошли аутентификацию. Первый этап для удаленного доступа к этим интерфейсам заключается в создании анонимного соединения с системой Windows с помощью так называемого нулевого сеанса. При этом предполагается, что проведенное заранее сканирование выявило открытый 139 или 445 ТСР-порт.
C:\>net use \\192.168.202.33\IPC$ "" /u:""
The command completed successfully.
Эта команда позволяет подключиться к скрытой межпроцессной системе "совместного использования" (IРС$) на компьютере с IP-адресом в качестве анонимного пользователя (/u: “ ”), применив нулевой пароль (" "). При успешно установленном соединении в распоряжении хакера оказывается открытый канал обмена информацией, благодаря которому он может использовать различные методы для получения максимального объема информации о системе: данные о сетевых соединениях, наличие совместно используемых данных, сведения о пользователях, группах, ключах регистра и т.д.
Недостаток нулевого сеанса, или анонимного входа, является стартовой точкой для многих опасных атак злоумышленников.
Рассмотрим различные атаки с использованием метода нулевого сеанса, а меры противодействия этим атакам будут представлены в конце материала. В системах Windows XP и Windows Server 2003 внесены серьезные изменения в целях устранения инвентаризации с помощью SMB.
Инвентаризация совместно используемых ресурсов
При установленном нулевом сеансе можно получить информацию обо всех совместно используемых ресурсах на удаленной системе.
C:\>net view \\vito
Shared resources at \\192.168.7.45
VITO
Share name |
Type |
Used as |
Comment |
NETLOGON Test Finance Web |
Disk Disk Disk Disk |
|
Logon server share Public access Transaction records Webroot for acme.com |
The command completed successfully.
Можно назвать еще три хороших средства для инвентаризации совместно используемых ресурсов из пакета Resource Kit: rmtshare, srvcheck и srvinfо (при использовании параметра -s). Отчеты программы rmtshare подобны приведенному выше отчету, полученному с помощью команды net. Программа srvcheck выводит сведения не только о совместно используемых ресурсах, но и об авторизованных пользователях, включая и скрытые ресурсы, но требует привилегированного доступа к удаленной системе для получения этой дополнительной информации. С помощью команды srvinfo -s можно узнать о совместно используемых ресурсах удаленной системы, а также большой объем других полезных сведений.
Инвентаризация доверенных доменов
После установки нулевого сеанса с одним из компьютеров домена, с помощью команды
nltest /server: <имя_домена> /domain_trusts
можно узнать о других доменах Windows, с которыми первым доменом установлены доверительные отношения.
Получение данных о пользователях
До появления операционной системы Windows Server 2003, системы семейства Windows NT выдавали сведения об учетных записях пользователей с такой же легкостью, как и данные о совместно используемых ресурсах. Некоторые коренные изменения в настройках по умолчанию систем Windows XP и Windows Server 2003 для доступа с помощью нулевых сеансов призваны запретить подобные действия.
При установке системы Windows Server 2003 в качестве контроллера домена ограничения по установке нулевых сеансов являются менее строгими.
По этой причине в следующих примерах команды выполнялись на контроллере домена под управлением Windows Server 2003 (эта команды будут запрещены по умолчанию на отдельном компьютере или рядовом сервере домена).
Существует несколько средств из набора Resource Kit, которые позволяют с помощью нулевого сеанса получить сведения о пользователях удаленной системы, например утилиты usrstat, showgrps, local и global. Использование утилиты local для получения сведений о членах группы Administrators на интересующем сервере дает следующие результаты:
C:\>local administrators \\ctosars
Administrator
Enterprise Admins
Domain Admins
backadmin
Обратите внимание, что учетная запись с идентификатором RID 500 в отчете всегда выводится первой в списке, а дополнительные учетные записи администраторов (в нашем примере backadmin) указываются после групп.
Подобным образом можно использовать и утилиту global для получения списка членов группы Domain Admins.
C:\>global "domain admins" \\caesars
Administrator backadmin
Далее рассмотрим некоторые универсальные средства, которые также позволяют получать информацию о пользователях, совместно используемых ресурсах, доверительных отношениях и т.д. интересующей хакера удаленной системы.