Взлом


Следующий этап заключается в анализе самого нападения. Для этого нам нужно просмотреть сетевые пакеты honeypot. IDS Snort записала всю эту информацию и сохранила в виде двоичного системного журнала. Теперь мы просмотрим его, чтобы определить и проанализировать действия взломщика. Большинство действий производится с целью получения доступа к оболочке с правами root или корневому каталогу на удаленной системе. После получения доступа к корневому каталогу взломщик может запустить любую команду как администратор. Зачастую в файлы /etc/ passwd и /etc/shadow заносится учетная запись или создаются запасные ходы, например оболочка, привязанная к конкретному порту.
Взломщик начинает нападение, запрашивая у нашей DNS имя г. rsavings. net. Это очень странно: зачем удаленной системе запрашивать другое имя домена? Как мы скоро узнаем, именно так работает эта уловка. Нашу DNS дурачат. Обратите внимание, что IP-адрес, запрашивающий разрешение на системное имя г. rsavings. net, - это та же самая система, которая установила соединение TELNET с нашей системой в момент ее взлома.
Наш сервер DNS делает все, о чем его просят. Он разрешает имя г. rsavings.net для IP-адреса. Сначала DNS определяет IP-адрес имени сервера для имени домена г. rsavings. net: 63.226.81.13. Затем DNS запрашивает у этой системы IP-адрес г. rsavings.net. Однако несчастный сервер DNS не понимает, что взломщик расставил ловушки. Любая DNS, которая обращается с запросом к системе 63.226.81.13, будет взломана приемом Named NXT (см. приложение С).
Результат отвратителен. Вместо того чтобы предоставить IP-адрес, удаленный сервер имен 63.226.81.13 отвечает нападением. Мы видим, как разворачивается нападение, посылаются пакеты и все такое.
При этом взломе передается небольшая программа на компьютерном языке, известная под названием shellcode, и указанный процесс вынужден ее запустить. Именно эта программа устанавливает уже существующее соединение TCP с названным процессом как stdin, stdout, stderr, а затем выполняет /bin/sh. В результате взломщик получает на машине root shell, не устанавливая никаких дополнительных соединений. К счастью для нас, они были установлены открытым текстом, что дало возможность записать действия взломщика после совершения взлома. При анализе незакодированных данных гораздо проще использовать опцию Snort врезки сеанса связи ASCII. Помните, Snort не только создает предупреждения и регистрирует все пакеты в бинарном регистрационном файле, но также записывает весь текст ASCII и сохраняет его в файле. В данном случае мы можем просмотреть файл для выполненных команд. Приведенный ниже код показывает, что делал взломщик после создания команды оболочки с правами администратора. Сначала, чтобы засвидетельствовать успешный взлом, были выполнены команды, подтверждающие имя системы и UID оболочки.
Эти команды добавляют в систему две учетных записи пользователей -twin (UID 506) и hantu (UID 0) - с одним и тем же паролем. После того как они созданы, взлом завершен, миссия выполнена. Далее хакер может легко установить соединение TELNET и воспользоваться этими двумя записями для получения доступа, а затем командой su для получения привилегий администратора. В системных журналах, рассматривавшихся в начале этой главы, это учетные записи, при помощи которых нарушитель установил соединение TELNET со взломанной honeypot. Помните, большинство систем не разрешают для UID, равного 0, устанавливать соединение TELNET с машиной. Взломщик должен был создать учетную запись, которая обеспечила бы удаленный доступ, а затем учетную запись, дающую UID 0, то есть привилегии администратора.
Итак, на основании нашего анализа мы можем определить последовательность событий:
1. Судя по предупреждениям Snort, в две системы honeypot приходили запросы об используемой на них версии DNS, чтобы определить, насколько они уязвимы. Обычно это преддверие нападения.
2. Затем система 213.28.22.189 запросила у honeypot разрешения домена г. rsavings. net. Это первый этап взлома.
3. Honeypot определила, что сервер доменных имен г. rsavings. net - это сервер доменных имен 63.226.81.13, и запросила у этой системы IP-адрес имени г. rsavings. net.
4. Этот сервер доменных имен заминирован. При получении запроса он начинает атаку. Осуществляется взлом, и хакер создает на нашей honeypot две учетных записи - twin и hantu.
5. Взломщик устанавливает с honeypot соединение TELNET из системы 213.28.22.189, сначала заходит как twin, а затем получает привилегии администратора как hantu.
При работе с несколькими системами, как и в случае с данным нападением, упростить анализ данных помогут рисунки. На рис. 6.1 изображены пять этапов нападения. В большинстве случаев вам наверняка повезет, если вы сможете получить столько информации. Здесь мы проанализировали результаты большой работы и определили, при помощи каких инструментов и тактики была взломана система. Однако Honeynet может научить гораздо большему. Анализируя поведение хакера после взлома системы, можно многое узнать о его окружении. Теперь перейдем к приемам анализа данных о действиях взломщика после того, как он получил доступ к honeypot. Зачастую именно на этом этапе можно получить самую ценную информацию.