Показано с 1 по 3 из 3.

"Атакуем по NetBios"

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    "Атакуем по NetBios"

    Автор статьи не несёт ответственности за практическое осмысление этой статьи пользователями и использование её в корыстных целях. Сканирование сетей подразумевает дальнейшую атаку на хост и может повлечь за собой ваше отключение провайдером, предоставляющим вам доступ в интернет.
    В этой статье я расскажу, каким способом чаще всего похищаются ваши пароли на интернет, подкидываются вирусы и уничтожается информация, а также каким способом ваши документы становятся достоянием народа. Способ, о котором я расскажу, известен многим и проверен. Для написания этой статьи я специально окупировался на чате арии по адресу http://www.aria.ru/chat. Конечно, я засел на этот чат не потому, что я имею что-то против этого чата и тех, кто на нём сидит, просто-напросто на нем показываются все хосты пользователей, находящихся в on-line. Я мог выбрать и другие чаты, так как добыть IP адрес очень легко. Моей целью было как можно больше протестировать пользователей на уязвимости в их системах, затратив минимум времени на поиск хостов. Было пртестировано 2000 пользователей в разных подсетях, а иногда я тестировал прямо всю подсеть провайдера. Всем пользователям, у кого были найдены дыры, были отправлены письма или оставлен файлик на диске с сообщением об уязвимости и рекомендациями, как закрыть дыру. Итак приступим к описанию специфики взлома (если его можно так назвать) и защиты от него. Первым делом я лез в чат и смотрел хосты пользователей, из которых потом при помощи сканера IP-Tools (можно скачать с моего сайта) получал IP адрес и проверял его на запущенную сессию NetBIOS. И если сессия была запущена, я пытался подключиться к удалённому компьютеру. Изначально я подключался дедовским способом, на сетевом окружении (находится на рабочем столе) кликаете правой клавишей мышки и в выданном меню выбираете пункт "найти компьютер". После чего вставляете IP адрес и жмёте клавишу "найти", если сессия запущена и в ней есть доступ к расшаренным рессурсам, вы увидите подключение. Остаётся только открыть удалённый компьютер и посмотреть, какие именно расшарены сетевые рессурсы и ваши права доступа на них. Естественно, что эта операция оправдывает себя, когда вы пытаетесь подключиться к одному компьютеру. Но если злоумышленник хочет воспользоваться проверкой на расшаренные ресурсы всей подсети, в которой находится пользователь, этот способ уже неприменим, так как на него уходит много времени. Существуют программы которые автоматически сканируют подсеть с заданным диапазоном IP, например от 195.94.36.1 до 195.94.36.254, на расшаренные рессурсы (т.е. рессурсы, которые доступны всем пользователям из сети) Одной из таких программ является сканер LEGION, о котором я расскажу и при помощи которого я тестировал подсети. Итак программа legion (можно скачать с моего сайта) имеет функции сканирования на расшаренные рессурсы с дальнейшим подключением сетевых дисков, а если на доступ к дискам стоит пароль умеет его подбирать при помощи словаря. Пользоваться программой очень просто, вы в поле ввода диапазона IP адреса вводите адрес подсети которая вас интересует и нажимаете кнопочку "скан". После чего программа просканирует заданный вами диапазон адресов и скажет, сколько компьютеров находится в сети с запущенной сессией NetBIOS. Обычно из диапазона от 0 до 254 находится 150-170 компьютеров с запущенной сессией. Далее программа автоматически проверит на возможность подключения к найденным удалённым компьютерам и выдаст вам в левом столбике IP адресс компьютера, а в правом - наличие рессурсов, к котором возможно подключение. Из 150 компьютеров обычно возможно без проблем подключится к 20-30 компам. Даже при этом раскладе статистика довольно печальная. Когда я тестировал из 30 компов к 28 у меня был root доступ, тоесть я мог изменять любые файлы по своему усмотрению, записывать любую информацию на диск. Вы спросите, а как же при этом способе у меня могут украсть пароли на интернет? Не секрет что OS WINDOWS представляет из себя жалкое зрелище по безопасности, все пароли, которые вы используете хранятся в PWL кеше, тоесть в файле с расширением PWL, который находится в корневой директории винды, если даже у вас стоит доступ к диску для чтения - это вас не спасает, так как этот файлик можно скачать себе на диск и потом при помощи программ дешифровки расшифровать этот файл (расшифровка занимает несколько секунд) и получить доступ ко всем вашим паролям на инрернет, электоронную почту и т.д. Также пароли хранятся в файле реестра USER.dat, который также можно скачать и расшифровать. Если у вас стоит доступ к диску полный, то злоумышленник может засунуть вам "троянского коня" и если даже у вас стоит антивирус, его можно легко вывести из строя удалив файл базы данных, а в некоторых случаях хватает удалить только файл "key", без которого ваша антивирусная программа будет только попросту занимать место на жёстком диске. Как видите, вы не так уж сильно защищены, и любой пользователь может за счёт вас разжится себе халявной сетью, в лучшем случае, вы теряете только деньги. А представьте себе что если компьютер стоит в офисе и на нём делается вся работа от расчёта заработной платы до заключения договоров, а как извесно такая информация ценится не дёшево для конкурирующих фирм. Могу сказать, что я встречал в сети такие компьютеры (при тестировании сети её автором не было скачено с диска пользователей ни единого файла за исключением того, что он оставил свои сообщения на дисках об обнаруженной дыре и с описанием, как от неё избавиться). Я думаю, что довольно подробно описал способ проникновения, теперь пора описать способ защиты. Всё просто, если вам не нужен общий доступ к файлам и принтерам, уберите его. Если вы не используете протокол NETBIOS, удалите его. В настроеке TCP/IP протокола сбросте галочку "разрешить доступ к NetBIOS через протокол TCP/IP. Если вам всё-таки нужен доступ к дискам, поставьте на него пароль, как на чтение, так и на полный доступ. Не устанавливайте паролей типа: " Вася", "Маша", "USER", "Password", "root" и т.д. Если сами не в состоянии придумать пароль, пользуйтесь программами - генераторами паролей, в этом случае пароли будут всегда разные. Помните, что соединения с вами по всем протоколам, а в том числе и по NetBIOS видны стандартной утилитой Netstat, запущенной с параметрами netstat/a 10. При попытке подключения, вы будете видеть IP адрес атакующего. Также если у вас открыт 139 порт, закройте его используя файрволы.
    Автор ZooN

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    51
    Старо, конечно.
    PWL
    И метод прокатывает на 95-98 машинах, а таких OS уже единицы.
    LEGION
    - Ну это слабое подобие скана. В инете их тысячи. Я для сканов (естественно не для таких целей) юзаю XSPIDER, наворотов море, вплоть до скана на наличие любого рода уязвимостей, пропущенных патчей Винды и т.д. и т.п. Лучше программы для отладки и сетевых экспериментов разного рода я пока не встречал.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от orvman
    Я для сканов (естественно не для таких целей) юзаю XSPIDER,
    .......
    Лучше программы для отладки и сетевых экспериментов разного рода я пока не встречал.
    ISS тоже весьма и весьма достойный продукт, только денег за него хотят уж очень много.

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 15:16
  2. Ответов: 0
    Последнее сообщение: 01.11.2009, 13:19
  3. Ответов: 3
    Последнее сообщение: 22.02.2009, 09:42
  4. Ответов: 4
    Последнее сообщение: 22.02.2009, 03:39
  5. Ответов: 1
    Последнее сообщение: 28.11.2008, 17:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00017 seconds with 16 queries