Hacking DVD BackTrack, Linux, Hashe RSS Feed twitter airdump.cz BackTrack 3 4 5 6 CZ
Security a Tip
Donate a Sponzor

Metasploit – meterpreter keystroke sniffing

Metasploit meterpreterPoužívajte najrozšírenejší internetový prehliadač? Áno mám na mysli internetový prehliadač Internet Explorer, konkrétne verziu 7. Nevyužívate možnosť automatických aktualizácií a často klikáte na nedôveryhodné odkazy v sieti internet? Ste presvedčení, že vás kvalitný a plne aktualizovaný antivírusový software ochráni? Váš prístupový bod je chránený WEP kľúčom? Vytuhol vám prehliadač?

Ak ste si na všetky tieto otázky odpovedali s povzdychom, možno o chvíľu zmeníte názor nielen na dôležitosť bezpečnostných aktualizácií operačného systému ale aj jeho súčastí. Zrekonštruujeme si útok voči IE 7, pomocou Metasploit Framework 3 so zameraním na keystroke sniffing, čo v preklade môžeme charakterizovať ako odpočúvanie znakov zadaných do klávesnice. Ako payload použijeme Meterpreter reverse_tcp, čerstvo (03/22/09) obohatený o tieto nové príkazy:

Grabdesktop
keyscan_dump
keyscan_start
keyscan_stop
idletime
uictl

Vychádzame z nasledujúcej klasickej panelákovej situácie. Útočník: notebook s operačným systémom BackTrack 3, Edimax 7318USg. Cieľ: operačný systém Windows XP SP3 (anglická verzia), antivirový program Eset Smart Security v 3.0.667, anti-spyware Ad-Aware v. 8.04, IE v. 7.05.5730.13

Zapojení domácí Wi-Fi sítě

Prelomeniu WEP zabezpečenia prístupového bodu sa venovať nebudeme, na stránkach AMP je návodov viac ako dosť. Po prístupe do siete použijeme voliteľné nástroje operačného systému BackTrack na získanie potrebných informácií o počítačoch v sieti.

Pre proces exploitácie využijeme Uninitialized Memory Corruption Vulnerability internetového prehliadača Internet Explorer 7 (ms09_002_memory_corruption) exploitujúci zraniteľnosti operačných systémov Windows XP SP2-SP3 / Windows Vista SP0. Microsoft Security Bulletin MS09-002 z 10. februára 2009 rozširuje zoznam operačných systémov zraniteľných touto kritickou chybou o Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2, Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2, Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2, Windows Server 2003 se SP1 pro Itanium-based systémy a Windows Server 2003 se SP2 pro Itanium-based systémy, Windows Vista a Windows Vista Service Pack 1, Windows Vista x64 Edition a Windows Vista x64 Edition Service Pack 1, Windows Server 2008 pro Itanium-based systémy, Windows Server 2008 pro 32-bit platformu*, Windows Server 2008 pro x64-based systémy*

(* označené operačné systémy znamená zraniteľné v závislosti od spôsobu inštalácie)

Diskuze exploitace - Metasploit meterpreter

Táto kritická zraniteľnosť dovoľuje útočníkovi spustenie ľubovoľného kódu na zraniteľnom počítači. Len pre zaujímavosť uvádzam, že vírus Conficker exploituje Windows systémy zraniteľné na chybu pod označením MS08-067. Keďže testovaný Windows box bol v dobrej kondícii, aktualizácie zo začiatku roka 2009 museli preč. Ak vám tieto (a novšie) bezpečnostné záplaty chýbajú určite neváhajte ani chvíľu.

Aktualizace Internet Explorer

V prvom rade si zaobstaráme poslednú verziu Metasploit Framework (v. 3.3-dev) príkazom:

svn co http://metasploit.com/svn/framework3/trunk/ metasploit

Spustíme Framework msfconsole

Metasploit banner

Vyhľadáme, zvolíme, nakonfigurujeme exploit options, payload options, spustíme ,,evil server“ a pavučina je pripravená ?

Start serveru Metasploit

Akým spôsobom zabezpečíte aby sa váš momentálny ISP chytil do takejto pavučiny je na vás. Skúsenejších užívateľov operačného systému BackTrack istotne ihneď napadne zopár možností pre automatizáciu procesu :) Samozrejme, ak je cieľ zraniteľný na niektorý zo starších exploitov (ms08_067_netapi), ktoré nepatria do kategórie browser, táto nutnosť odpadá. (postačí príkaz set RHOST IP) Náš cieľ klikne v IE7 na odoslaný odkaz a vuala:

Úspěšná exploitace Windows

Okno prehliadača IE od tohto momentu nejde vypnúť a správa sa približne takto:

Pád Internet Exploreru

Pre zahladenie stôp a stabilizáciu procesu bude výhodné migrovať z IE niekam do úzadia. Vyhneme sa tým aj strate spojenia v prípade ukončenia IE užívateľom pomocou Task Managera. Výhodou payloadu Meterpreter je jeho podpora príkazu migrate. Alebo si vytvoríme nový proces pre migráciu (napr. príkazom execute -H -f cmd.exe), alebo sa skryjeme do už existujúceho procesu. V našom prípade ideálne poslúžil už bežiaci proces s názvom GoogleUpdate.exe s PID -om 3612.

PS migrace

Neskoršie experimenty s príkazom migrate priniesli zaujímavý poznatok. Pri pokus o migráciu do procesu anti-spywarového programu Ad-Aware 2008 aplikácia vytuhla s upozornením o prieniku do systému a migrácia sa nezdarila. Pri pokuse ukryť Meterpreter v antivírusovom programe Eset Smart Security prebehla migrácia bez akýchkoľvek problémov! Paradoxne antivírusový software sa tak stal základňou pre ovládnutie operačného systému. Jedinou indíciou o incidente bol reštart programu po ukončení spojenia zo strany útočníka. Migráciu do procesu ekrn.exe znázorňuje nasledujúca snímka. Rovnako ako v predchádzajúcom prípade je skrátený výpis bežiacich procesov, nejde o nepodarenú fotomontáž iba o zlepšenie prehľadnosti.

Migrace Eset

Po úspešnej migrácii do vybraného procesu, spustíme keystroke sniffing. Príkaz keyscan_start priradí 1Mb zásobník pamäte pre uloženie zachytených znakov. Celý proces si vysvetľujem tak, že funkcia GetAsyncKeyState je volaná každých 30 ms podľa stlačenia kláves a vracia status každej stlačenej klávesy podľa tabuľky Virtual Key Codes. Po zadaní príkazu keyscan_dump je zásobník pamäte na cieľovom počítači vymazaný a zaslaný na počítač útočníka. Autor vylepšenia (HDM) uvádza, že pre úspešné zachytenie stlačených kláves musí príkazu keyscan_start predchádzať príkaz Grabdesktop, zabezpečujúci „hijack the input desktop“ , no z mne neznámej príčiny Meterpreter tento príkaz nepoznal. Vynechanie príkazu neovplyvnilo úspešnosť testu.

Sniffing stisků kláves

V súčasnej verzii je možné zachytiť len znaky zadané do klávesnice priamo, nie copy/paste, clipboard atd.

V teste sme sa sústredili iba na „neškodné šmírovanie“, no záleží iba na fantázii útočníka a rýchlosti internetového pripojenia ako použije cieľový počítač pre ďalšie svoje úkony. Rýchla prehliadka helpu payloadu Meterpreter ukazuje viac než tri desiatky príkazov pre ovládnutie počítača a inštaláciu ľubovoľného kódu.

How to pre ms09_002 v kombinácií s Apache nájdete na webe spl0it.org, referencie metaspl0it. Video tutoriál pre ms09_022 + DNS cache poisoning sa nachádza vo FTP sekcii Stuff v adresári Exploit.

Pre AMP písal Michal

Kam dál?



Přihlásit / Odhlásit odběr novinek

Počet přihlášených k odběru novinek

    2572