Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Не дать дорогу хакеру

Прочитали: 1103 Комментариев: 81 Рейтинг: 90

Слово «взлом» наши читатели встречали на страницах проекта «Антивирусная правДА!» не раз и не два. Вернемся к этому понятию снова, благо тема практически бездонная.

Как правило, взломщик не знает, кого он взломал, – если, конечно, речь не идет о целевой атаке. Обычно злоумышленники рассылают фишинговые письма по базе паролей или сканируют сеть в поисках незакрытых уязвимостей – на сетевом оборудовании или на компьютерах. В любом случае, попав на машину, злоумышленник не знает, где он оказался и чем можно поживиться.

В одном из недавних выпусков мы рассказали о том, как просто посылать письма от чужого имени. Сейчас мы говорим о возможностях злоумышленников. Не распространяем ли мы опасную информацию? Увы, вся она и так широко известна. Мы не рассказываем ничего секретного – лишь пытаемся открыть глаза тем, кто еще не понимает, насколько в цифровом мире все хрупко. И мы надеемся, что после этого ко многим скептикам придет понимание необходимости защиты.

Для иллюстрации возьмем статью, размещенную на очень популярном ресурсе. Не будем пересказывать – ее стоит прочитать целиком. Дадим лишь несколько цитат и скриншотов к ним:

Сначала нам нужно получить нужную нам информацию, чтобы понять, где мы вообще находимся и что имеем:

systeminfo | findstr /B /C:"Название ОС" /C:"Версия ОС"

Эта команда позволяет определить, как из нее видно, название и версию ОС. Можно выполнить ее и без параметров, тогда вывод команды будет более полным, но нам достаточно и этого.

#drweb #drweb

Неплохо для начала. Мы уже знаем, на что можно рассчитывать.

Посмотрим, какие пользователи есть еще на данном хосте, и получим более подробную информацию о своем пользователе.

  • net users — другие пользователи
  • net user user1 — детальная информация по пользователю, где user1 — имя вашего пользователя.

#drweb

Санни, говорите? Ну ладно…

Что работает на скомпрометированном хосте: запланированные задачи, запущенные процессы, запущенные службы и установленные драйверы.

schtasks /query /fo LIST /v

где

/query — Вывод данных о всех запланированных задачах.
/fo LIST — Вывод в список.
/v — Вывод подробных сведений о задании.

Здесь много интересного. Например:

#drweb

Узнали, какой антивирус установлен и в каком состоянии пребывает антивирусный сканер.

Следующая команда связывает запущенные процессы с запущенными службами.

tasklist /SVC

где,

/SVC — Отображение служб для каждого процесса.

Также посмотрим список запущенных служб Windows.

net start

Полезно также посмотреть информацию о драйверах скомпрометированной системы.

DRIVERQUERY

Тут также выдается много информации, поэтому с разрешения читателей мы опустим вывод команд.

Получив список процессов командой tasklist, мы можем попытаться «убить» процесс командой taskkill и запустить вместо него уже свой процесс.

Далее хочется упомянуть о, наверное, самой полезной команде Windows — wmic. Команда WMIC (Windows Management Instrumentation Command) используется для получения сведений об оборудовании и системе, управления процессами и их компонентами, а также изменения настроек с использованием возможностей инструментария управления Windows (Windows Management Instrumentation или WMI). Хорошее описание.

К сожалению, некоторые конфигурации Windows по умолчанию не разрешают доступ к WMIC, если пользователь не входит в группу Администраторов (что действительно хорошая идея). Любая версия XP не позволяла доступ к WMIC с непривилегированной учетной записи.

Напротив, Windows 7 Professional и Windows 8 Enterprise по умолчанию позволяли пользователям с низкими привилегиями использовать WMIC.

Узнать о возможности запуска команды просто: выполняем команду "wmic /?". Как минимум, она дает нам список установленных патчей безопасности, а значит – перечень незакрытых дверей в систему.

Что нас больше всего интересует, так это пароль администратора, который мы можем использовать для повышения наших привилегий.

Как правило, это следующие каталоги:

  • c:\sysprep.inf
  • c:\sysprep\sysprep.xml
  • %WINDIR%\Panther\Unattend\Unattended.xml
  • %WINDIR%\Panther\Unattended.xml

Но стоит проверить и всю систему.

Данные файлы содержат пароли в открытом виде или кодировке BASE64.

Примеры:

Sysprep.inf — пароль в открытом виде.

#drweb

Sysprep.xml — пароль в кодировке base64.

#drweb

Unattended.xml — пароль в кодировке base64.

#drweb

Также для хостов, подключенных к домену, можно поискать файл Group.xml, который содержит зашифрованный AES256 пароль, но который можно расшифровать, т.к. ключ выложен на msdn (https://msdn.microsoft.com/en-us/library/cc422924.aspx) и других источниках. Но это в случае, если используется политика создания локальных пользователей на хостах или, например, задании пароля локальному Администратору.

Например, у меня лежит тут:

#drweb

Открыв его, ищем параметр “cpassword”.

#drweb

Далее нужно расшифровать данную последовательность. Используем, например, CrypTool. Сначала раскодируем Base64.

Особенности Base64 в том, что его длина должна быть кратна 4. Поэтому считаем блоки по 4, и если в последнем блоке не хватает символов, то недостающие дописываем символами «=».

У меня вышло 2 «=».

#drweb

Далее расшифруем. Применяя тот ключ, что выше.

#drweb

Убираем лишние точки, разделяющие знаки, и получаем пароль.

Надеемся, всем понятно, что означает наличие пароля админа в руках злоумышленника.

#хакер #взлом #фишинг #киберпреступление #обновления_безопасности

Dr.Web рекомендует

Что мы показали этой статьей? Злоумышленник атакует вас с помощью уже установленного у вас ПО. Для начала атаки ему не нужно устанавливать никакие программы. Уже потом, выяснив всю необходимую информацию, он может доустановить недостающее. А может, это ему и не понадобится.

Поэтому: не ходите по ссылкам бездумно, не запускайте неизвестные файлы, устанавливайте все патчи безопасности и не работайте от имени администратора. Дать дорогу хакеру – слишком легко.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: