Académique Documents
Professionnel Documents
Culture Documents
CURITIBA
2011
CURITIBA
2011
AGRADECIMENTOS
RESUMO
A presente pesquisa apresenta os principais meios de se invadir redes corporativas,
utilizando de ferramentas de cdigo aberto. Busca tambm mostrar aos
administradores de rede as tcnicas e ferramental que podem ser usados por
atacantes ao invadir redes e sistemas. Alm de apresentar as ferramentas os
conceitos utilizados tambm so explorados, possibilitando ao leitor um melhor
entendimento para correto uso e aplicao de um conjunto de ferramentas. Com
essa avaliao proposta na pesquisa, pode o administrador de rede focar nos
potenciais problemas e brechas existentes no ambiente digital, direcionando os
recursos e investimentos para correo de vulnerabilidades antes de serem
exploradas.
ABSTRACT
This paper presents the main ways to break into corporate networks using open
source tools. It also seeks to show network administrators the tools and techniques
that can be used by attackers to break into networks and systems. In addition to
presenting the concepts used tools are also explored, allowing the reader a better
understanding for the correct use and application of a set of tools. With this proposed
evaluation research, the network administrator can focus on potential problems and
gaps in the digital environment, directing resources and investments to correct
vulnerabilities before they are exploited.
LISTA DE FIGURAS
FIGURA 1 VARREDURA TCP Connect() ....................................................................... 25
FIGURA 2 VARREDURA TCP SYN (half-open) ............................................................ 26
FIGURA 3 VARREDURA TCP Null ............................................................................... 27
FIGURA 4 VARREDURA TCP FIN ................................................................................ 28
FIGURA 5 VARREDURA TCP Xmas ............................................................................. 29
FIGURA 6 VARREDURA TCP ACK .............................................................................. 31
FIGURA 7 VARREDURA DE JANELA TCP .................................................................. 32
FIGURA 8 VARREDURA TCP Maimon ......................................................................... 33
FIGURA 9 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 1 ............................... 35
FIGURA 10 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 2 ............................. 36
FIGURA 11 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 3 ............................. 37
FIGURA 12 VARREDURA FTP Bounce ......................................................................... 38
FIGURA 13 VARREDURA UDP ..................................................................................... 39
FIGURA 14 METASPLOIT FRAMEWORK: GUI .......................................................... 46
FIGURA 15 METASPLOIT FRAMEWORK: INTERFACE WEB ................................... 47
FIGURA 16 MANTENDO O ACESSO ............................................................................ 49
LISTA DE TABELAS
TABELA 1 COMANDOS PARA BUSCA DE HOSTS VIVOS ....................................... 22
TABELA 2 EXEMPLO USANDO A FERRAMENTA DNSSPOOF E ETTERCAP ........ 44
TABELA 3 SINTAXE EXPRESSES METASPLOIT FRAMEWORK .......................... 45
SUMRIO
1 INTRODUO ....................................................................................................... 9
2 SEGURANA EM REDES CORPORATIVAS .................................................... 11
2.1 PORQUE REALIZAR O TESTE DE INVASO.................................................. 12
2.2 DIFERENAS ENTRE UMA SIMULAO E UM ATAQUE REAL....................12
3 OBTENO DE INFORMAES ....................................................................... 13
3.1 ENGENHARIA SOCIAL..................................................................................... 13
3.2 TRASHING......................................................................................................... 14
3.3 WHOIS............................................................................................................... 15
3.4 DNS.................................................................................................................... 15
3.4.1 COLHENDO ENTRADAS DNS....................................................................... 16
3.5 GOOGLE HACKING.......................................................................................... 18
4 VARREDURAS .................................................................................................... 20
4.1 WARDRIVING................................................................................................... 21
4.2 MAPEAMENTO DE REDES.............................................................................. 21
4.2.1 Busca por hosts vivos....................................................................................... 22
4.2.2 Deteco de Servios....................................................................................... 22
4.2.3 Deteco de Sistemas Operacionais............................................................... 23
4.2.4 Port Scan.......................................................................................................... 23
4.3 VUNERABILIDADES......................................................................................... 39
5 INVASO............................................................................................................. 40
5.1 SNIFFING.......................................................................................................... 40
5.2 SEQUESTRO DE DNS..................................................................................... 41
5.3 ATAQUES A AQUIVOS HOSTS....................................................................... 43
5.4 SEQUESTRO DE DNS..................................................................................... 43
5.5 METASPLOIT FRAMEWORK........................................................................... 44
5.6 QUEBRA ONLINE DE SENHAS....................................................................... 47
6 MANTENDO O ACESSO .................................................................................... 49
7 CONCLUSO ...................................................................................................... 51
REFERNCIAS......................................................................................................... 52
GLOSSRIO ............................................................................................................. 54
9
1
INTRODUO
10
11
12
2.1
2.2
13
OBTENO DE INFORMAES
3.1
ENGENHARIA SOCIAL
O modo mais simples de ser obter uma informao pedindo por ela,
podendo ser usado da tecnologia como Cavalos de Tria ou Phishing ou at mesmo
contato pessoal direto ou telefnico.
Ao modelo o ataque de engenharia social importante utilizar-se dos 7 tipos
de perssuao, conforme descrito no livro de MITINICK.
Conformidade: Mostrar a Vitima que todo mundo est fazendo o que foi
proposta a vitima a fazer.
Lgica:
Apontar
duas
ou
trs
afirmativas
verdadeiras
sugerir
(erroneamente) que o que est sendo requerido a vitima faa uma conseqncia
natural dessas afirmativas;
Necessidade: O ser humano, salvo excees, gosta de ajudar o prximo.
Faz as pessoas se sentirem bem com elas mesmas e isso pode ser explorado em
seu ataque.
Autoridade: No precisa (e normalmente no deve) ser agressiva, mas uma
leve indicao informal de autoridade (um cargo ou ttulo na assinatura de um e-mail,
14
3.2
TRASHING
15
3.3
WHOIS
3.4
DNS
16
servidor
DNS
de
forma
interativa
ou
modo
'batch'
17
18
3.5
GOOGLE HACKING
19
20
VARREDURAS
21
4.1
WARDRIVING
4.2
MAPEAMENTO DE REDES
Para invadir uma rede necessrio antes entender sua topologia, mapear os
dispositivos, redes internas, Gateways, DMZ entre outros.
22
Varrer todas as portas de todos os IPs de uma rede alvo lento e muitas
vezes desnecessrio. Durante a busca por hosts vivos enviamos sondas solicitando
respostas que indiquem se um dado endereo IP est ativo (se est associado
naquele momento a algum host ou dispositivo). Uma rede 10.0.0.0/8 possui 16
milhes de endereos possveis, ento antes de procurar pelas portas abertas em
cada um deles, importante saber se o endereo est de fato vivo.
ICMP Echo
TCP SYS Pin
TCP ACK Ping
UDP Ping
ARP Ping
FONTE: O autor
Uma forma simples, mas nem sempre vlida de se descobrir o tipo de servio
escutando por conexes em determinada porta a obteno do banner (Banner
Grabbing). Para isso, basta se conectar ao alvo na porta em questo via telnet ou nc
(netcat) e verificar se algo de interessante aparece. Ex.: $ cat /etc/services | grep
PORTA
23
para
varrer
sistemas
atrs
de
Firewalls,
visto
que
muitos
24
25
FONTE: O autor
26
FONTE: O autor
Nesta varredura, enviamos um pacote com a flag SYN ativa, como se fosse
requerido abrir uma conexo TCP legtima. No entanto, logo aps a resposta ser
recebida, a comunico com o servidor interrompida e seguido para o prximo alvo
(IP ou Porta). Exatamente como no caso anterior, uma resposta positiva (SYN+ACK)
do alvo indica que a porta est aberta; um RST sugere que esteja fechada e
nenhuma resposta indica que a porta est filtrada.
Segundo a RFC 793, que especifica o protocolo TCP, pacotes que no
contenham as flags SYN, ACK ou RST ativadas, ao serem enviados para uma nova
porta aberta devero ser simplesmente descartados pelo alvo. Se a porta estiver
fechada, no entanto, deve retornar um pacote RST. Isso pode ser visualizado na
figura 3.
27
FONTE: O autor
28
FONTE: O autor
29
FONTE: O autor
30
filtrada. Mas se voc receber o RST de volta, o pacote provavelmente chegou a seu
destino com sucesso e a porta pode ser marcada como no filtrada. Mensagens de
erro recebidas via ICMP tambm costumam significar que a porta est filtrada.
31
FONTE: O autor
32
FONTE: O autor
Infelizmente cada vez mais raro encontrar sistemas com essa caracterstica
na Internet, ento no se deve confiar cegamente nos resultados. Em sistemas no
vulnerveis os resultadas dessa varredura indicaro todas as portas como fechadas
(o que no necessariamente verdade), e nesses casos importante confirmar com
outras varreduras, como a prpria ACK. s vezes, tambm, o resultado
exatamente o contrrio, portanto se a varredura de Janela TCP acusar todas as
portas abertas exceto uma ou outra (como a 80 e a 443) marcada como fechada ou
filtrada, o resultado por estar invertido.
A varredura TCP Maimon foi nomeado em homenagem a seu inventor, Uriel
Naimon, que descreveu a tcnica pela primeira vez na revista eletrnica Phrack
nmero 49 (1996). A varredura Maimon uma espcie de mistura entre a NUL, FIN,
XMAS e a varredura ACK. Uriel descobriu que, embora o RFC indique que um
33
pacote RST deve ser sempre enviado para um ACK sem conexo pr estabelecida,
alguns sistema simplesmente descartam o pacote ACK com a flag FIN ativa
(FIN/ACK) quando a porta est aberta. Assim, se o sistema for vulnervel a esse
ataque, no receber resposta indica porta aberta ou filtrada, e receber RST indica
que a porta est fechada. Essa varredura ilustrada na figura 8.
FONTE: O autor
O Idlescan foi demonstrado pela primeira vez por Antirez criador do hping, e
uma varredura completamente sub-reptcia j que nenhum pacote enviando ao
algo vindo do endereo real do atacante. Em vez disso, usamos algumas
caractersticas do protocolo TCP (j vistas anteriormente) para fazer com que uma
mquina qualquer na Internet faa a varredura por ns. Para que o Idlescan funcione
necessrio que essa mquina tenha duas caractersticas importantes: Esteja
34
ociosa, sem receber pacotes de rede que no os seus durante o tempo da varredura
e possua valor previsvel no campo ID dos pacotes retornados.
O comando acima do hping3 permite a rpida identificao de mquinas
suscetveis na Internet. Esse tipo de varredura ilustrado na figura 9.
35
FONTE: O autor
Para fazer o ataque, precisa ser enviado pacotes SYN/ ACK para o zumbi, o
que trar de volta pacotes RST com um valor de ID incremental. Em paralelo, feito
o alvo real achar (por IP Spoofing) que recebeu um pedido da abertura de conexo
desta maquina zumbi. Se a porta estiver aberta, o alvo retornar um SYN/ ACK para
o zumbi, que por sua vez enviar um RST ao alvo. Ao fazer isso, no entanto, ele
tambm incrementar seu campo ID e na varredura em paralelo ao zumbi ser visto
o campo ID retornado logo aps o fato, sendo +2 e no +1, indicando que o zumbi
precisou responder outra mquina (alvo) e que, conseqentemente, a porta est
aberta. A ilustrao dessa varredura pode ser vista na figura 10.
36
FONTE: O autor
Se, por outro lado, a porta estiver fechada, ao ser feito o alvo achar que
recebeu um pedido de SYN do zumbi, ele retornar um RST ao mesmo. Pela
especificao do protocolo, pacotes RST recebidos sem conexo relacionada devem
ser simplesmente descartados, no havendo portanto, resposta do zumbi ao alvo.
Conseqentemente na varredura paralela a mquina zumbi no ser
apresentando o pico anterior (+2), permanecendo na constate incremental do campo
ID e indicando, portanto, que a porta do alvo est fechada.
37
FONTE: O autor
38
FONTE: O autor
39
FONTE: O autor
4.3
VUNERABILIDADES
40
INVASO
5.1
SNIFFING
41
5.2
SEQUESTRO DE DNS
42
43
Roteadores so essenciais para toda a rede, dos mais simples aos mais
robustos, e grande maioria pode ser configurada remotamente. Mesmo com toda a
importncia e poder associados, muitos roteadores rodam com firmware desatualizado
e vulnervel, ou mesmo com a senha padro. Conseguir acesso ao roteador da
empresa, mais do que possibilitar uma mudana de DNS, libera o atacante para
diversos ataques fulminantes a rede interna aos mais explcitos, como derrubar a rota
de sada da rede para a internet. Para se saber o que possvel fazer com o roteador
atacado deve-se consultar seu manual.
H ainda diversos ataques especficos a roteadores, no necessariamente
associados DNS. Entre eles: cge-13 (Cisco Global Exploiter).
5.3
5.4
SEQUESTRO DE DNS
44
DNS, sem correo evidente. O que se faz na indstria para mitigar o problema
adicionar dificuldade em criar respostas vlidas, usando valores aleatrios tanto para o
campo ID (de 16 bits, responsvel por identificar a transao solicitada) do header DNS
quanto para a porta de origem da solicitao. Assim a menos que o administrador de
rede esteja monitorando ativamente as requisies alvo do atacante, fica difcil prever
tais valores a fim de mandar respostas constantes ao alvo de envenenamento,
esperando que ele vena a corrida UDP.
Na tabela 2 mostrado exemplo usando a ferramenta dnsspoof e ettercap:
TABELA 2 EXEMPLO USANDO A FERRAMENTA DNSSPOOF E ETTERCAP
EXEMPLOS
5.5
METASPLOIT FRAMEWORK
45
46
FONTE: O autor
47
FONTE: O autor
5.6
48
HTTP, HTTPS, smb, Ms-sql, Mysql, ssh, cvs, snmo, smtp, pop3, imap, vnc, ldap,
entre muitos outros. No THC-Hydra possvel inserir um dicionrio, ou seja, arquivo
com palavras comuns que em muitos casos so utilizadas como senha. Por conta disso
como boa prtica para senha recomenda-se no usar nenhuma palavra existente.
Tambm possvel fazer um ataque de senha combinatria, em que ser feito a
combinao das senhas a serem testadas. Neste caso o ataque pode demorar muito e
at mesmo no poder ser concretizado, dependendo da complexidade da senha e
Tambm para a quebra online de senha pode se utilizar de varredura - sniffing
conforme discutido nos tpicos anteriores, em que possvel visualizar senhas em texto
puro trafegando pela internet ou rede.
Ataques Man In The Midle ou utilizando-se de engenharia social.
49
MANTENDO O ACESSO
FONTE: O autor
50
51
CONCLUSO
52
REFERNCIAS
53
WILSON, Marcia J. Demonstrating ROI for Penetration Testing (Part One). Symantec
Connect. Disponvel em <http://www.symantec.com/connect/articles/demonstratingroi-penetration-testing-part-one>. Acesso em: 09 de Julho de 2011.
ZWICKY, E.; COOPER, S.; CHAPMAN, D.B. Building Internet Firewalls. Estados
Unidos: O Reilly, 2000.
54
GLOSSRIO
Cavalo de Tria: Programa que parece realizar algum tipo de funo desejvel, mas
ocultamente realiza atividades maliciosas.
55
Spoofing: Ataque em que pessoa ou programa consegue se fazer passar por outro,
ganhando vantagem de forma legtima.
56