"Атакуем по NetBios"

[SDA]

Автор статьи не несёт ответственности за практическое осмысление этой статьи пользователями и использование её в корыстных целях. Сканирование сетей подразумевает дальнейшую атаку на хост и может повлечь за собой ваше отключение провайдером, предоставляющим вам доступ в интернет.
В этой статье я расскажу, каким способом чаще всего похищаются ваши пароли на интернет, подкидываются вирусы и уничтожается информация, а также каким способом ваши документы становятся достоянием народа. Способ, о котором я расскажу, известен многим и проверен. Для написания этой статьи я специально окупировался на чате арии по адресу http://www.aria.ru/chat. Конечно, я засел на этот чат не потому, что я имею что-то против этого чата и тех, кто на нём сидит, просто-напросто на нем показываются все хосты пользователей, находящихся в on-line. Я мог выбрать и другие чаты, так как добыть IP адрес очень легко. Моей целью было как можно больше протестировать пользователей на уязвимости в их системах, затратив минимум времени на поиск хостов. Было пртестировано 2000 пользователей в разных подсетях, а иногда я тестировал прямо всю подсеть провайдера. Всем пользователям, у кого были найдены дыры, были отправлены письма или оставлен файлик на диске с сообщением об уязвимости и рекомендациями, как закрыть дыру. Итак приступим к описанию специфики взлома (если его можно так назвать) и защиты от него. Первым делом я лез в чат и смотрел хосты пользователей, из которых потом при помощи сканера IP-Tools (можно скачать с моего сайта) получал IP адрес и проверял его на запущенную сессию NetBIOS. И если сессия была запущена, я пытался подключиться к удалённому компьютеру. Изначально я подключался дедовским способом, на сетевом окружении (находится на рабочем столе) кликаете правой клавишей мышки и в выданном меню выбираете пункт "найти компьютер". После чего вставляете IP адрес и жмёте клавишу "найти", если сессия запущена и в ней есть доступ к расшаренным рессурсам, вы увидите подключение. Остаётся только открыть удалённый компьютер и посмотреть, какие именно расшарены сетевые рессурсы и ваши права доступа на них. Естественно, что эта операция оправдывает себя, когда вы пытаетесь подключиться к одному компьютеру. Но если злоумышленник хочет воспользоваться проверкой на расшаренные ресурсы всей подсети, в которой находится пользователь, этот способ уже неприменим, так как на него уходит много времени. Существуют программы которые автоматически сканируют подсеть с заданным диапазоном IP, например от 195.94.36.1 до 195.94.36.254, на расшаренные рессурсы (т.е. рессурсы, которые доступны всем пользователям из сети) Одной из таких программ является сканер LEGION, о котором я расскажу и при помощи которого я тестировал подсети. Итак программа legion (можно скачать с моего сайта) имеет функции сканирования на расшаренные рессурсы с дальнейшим подключением сетевых дисков, а если на доступ к дискам стоит пароль умеет его подбирать при помощи словаря. Пользоваться программой очень просто, вы в поле ввода диапазона IP адреса вводите адрес подсети которая вас интересует и нажимаете кнопочку "скан". После чего программа просканирует заданный вами диапазон адресов и скажет, сколько компьютеров находится в сети с запущенной сессией NetBIOS. Обычно из диапазона от 0 до 254 находится 150-170 компьютеров с запущенной сессией. Далее программа автоматически проверит на возможность подключения к найденным удалённым компьютерам и выдаст вам в левом столбике IP адресс компьютера, а в правом - наличие рессурсов, к котором возможно подключение. Из 150 компьютеров обычно возможно без проблем подключится к 20-30 компам. Даже при этом раскладе статистика довольно печальная. Когда я тестировал из 30 компов к 28 у меня был root доступ, тоесть я мог изменять любые файлы по своему усмотрению, записывать любую информацию на диск. Вы спросите, а как же при этом способе у меня могут украсть пароли на интернет? Не секрет что OS WINDOWS представляет из себя жалкое зрелище по безопасности, все пароли, которые вы используете хранятся в PWL кеше, тоесть в файле с расширением PWL, который находится в корневой директории винды, если даже у вас стоит доступ к диску для чтения - это вас не спасает, так как этот файлик можно скачать себе на диск и потом при помощи программ дешифровки расшифровать этот файл (расшифровка занимает несколько секунд) и получить доступ ко всем вашим паролям на инрернет, электоронную почту и т.д. Также пароли хранятся в файле реестра USER.dat, который также можно скачать и расшифровать. Если у вас стоит доступ к диску полный, то злоумышленник может засунуть вам "троянского коня" и если даже у вас стоит антивирус, его можно легко вывести из строя удалив файл базы данных, а в некоторых случаях хватает удалить только файл "key", без которого ваша антивирусная программа будет только попросту занимать место на жёстком диске. Как видите, вы не так уж сильно защищены, и любой пользователь может за счёт вас разжится себе халявной сетью, в лучшем случае, вы теряете только деньги. А представьте себе что если компьютер стоит в офисе и на нём делается вся работа от расчёта заработной платы до заключения договоров, а как извесно такая информация ценится не дёшево для конкурирующих фирм. Могу сказать, что я встречал в сети такие компьютеры (при тестировании сети её автором не было скачено с диска пользователей ни единого файла за исключением того, что он оставил свои сообщения на дисках об обнаруженной дыре и с описанием, как от неё избавиться). Я думаю, что довольно подробно описал способ проникновения, теперь пора описать способ защиты. Всё просто, если вам не нужен общий доступ к файлам и принтерам, уберите его. Если вы не используете протокол NETBIOS, удалите его. В настроеке TCP/IP протокола сбросте галочку "разрешить доступ к NetBIOS через протокол TCP/IP. Если вам всё-таки нужен доступ к дискам, поставьте на него пароль, как на чтение, так и на полный доступ. Не устанавливайте паролей типа: " Вася", "Маша", "USER", "Password", "root" и т.д. Если сами не в состоянии придумать пароль, пользуйтесь программами - генераторами паролей, в этом случае пароли будут всегда разные. Помните, что соединения с вами по всем протоколам, а в том числе и по NetBIOS видны стандартной утилитой Netstat, запущенной с параметрами netstat/a 10. При попытке подключения, вы будете видеть IP адрес атакующего. Также если у вас открыт 139 порт, закройте его используя файрволы.
Автор ZooN

[orvman]

Старо, конечно.

PWL

И метод прокатывает на 95-98 машинах, а таких OS уже единицы.

LEGION

- Ну это слабое подобие скана. В инете их тысячи. Я для сканов (естественно не для таких целей) юзаю XSPIDER, наворотов море, вплоть до скана на наличие любого рода уязвимостей, пропущенных патчей Винды и т.д. и т.п. Лучше программы для отладки и сетевых экспериментов разного рода я пока не встречал.

[RiC]

Я для сканов (естественно не для таких целей) юзаю XSPIDER,
.......
Лучше программы для отладки и сетевых экспериментов разного рода я пока не встречал.

ISS тоже весьма и весьма достойный продукт, только денег за него хотят уж очень много.