Pristup mrežnoj mapi pod NT AUTHORITY\NetworkService. Pažnja!!! Nt Authority\system je crv!!! Kako radi
Nedavno, točnije prije tjedan dana, zgrabio sam crva, a to se nikad nije dogodilo u cijelom mom kuhanju čaja! Noć je - ne možete nazvati tehničara, a novac je samo na kartici - 200 rubalja u džepu. Što da radim, očajnički mi treba računalo!
Preko telefona ulazim u tražilice i upisujem ime napisano u naslovu teme - majko moja, šta ja to saznam - to stvorenje živi na internetu od 1993. godine, a Microsoft Corporation zna za to, javio im je kreator posebno. Danas, kada ovaj crv uđe u vaše računalo, on dobiva administratorska prava i sposoban je izvoditi bilo kakve trikove.
Istraživši nekoliko desetaka foruma, pročitavši stotine savjeta u jednom danu, ne znajući kako spavati, penjem se u dubinu svog sustava i drhtavim rukama počinjem otvarati mape i datoteke o kojima čitam. gladnog vuka, tražim razlog, ali... Previše sam neiskusan za ovo. Opet, preko telefona, odem na našu web stranicu i pišem jednom od naših moderatora... Problem je vrlo škakljiv i da me ne bi mučio čovjek mi savjetuje da srušim sustav i stavim novi ali ja to nikad nisam napravio! Govori mi preko telefona (ne štedeći na međugradskim pozivima) kako to učiniti korak po korak, a ja sjedim i zapisujem. Nakon toga on čeka rezultat, a ja sjedim i shvaćam da mi je jako žao zbog nagomilanih informacija... i donosim odluku, ako je rušim, uvijek ću imati vremena, ali sada ću se boriti na svom vlastiti.
U svakom slučaju, znao sam da su uz mene naši gurui koji će me savjetovati što i kako. U međuvremenu, na vlastitu odgovornost i odgovornost, činim sljedeće:
1) Banner isključuje računalo da se ponovno pokrene nakon 60 sekundi - to znači da to vrijeme treba povećati, a prema savjetu jednog člana foruma ja Uspijem vratiti sat godinu dana unazad!
2) Već mirno i polako pregledavam cijeli registar i programe kroz AnvirTaskManager - on je jedini koji je pitao za izgled novi program, ali sam kao naivac dopustio da prođe.
3) ne shvaćajući ništa tamo, pokrećem potpuno skeniranje s AVAST-om, nakon što sam prethodno instalirao sva proširenja u postavkama.
nakon 3,5 sata dao mi je 6 zaraženih datoteka - evo ih
win32 malware-gen (2 komada)
Fakeinst-T (2kom)
Jednostavno uklanjam te nametnike, a da ih uopće ne pokušavam liječiti.
4) Zatim idem na Revo Unystailer i brišem sve što sam instalirao u zadnjih nekoliko dana, zajedno s AnvirTaskManager i Reg Organizier.
5) Učitavam AVZ i pokrećem ga.
I tu nastaje problem - disk mi je podijeljen na dva C i N. C skenira normalno i ne nalazi ništa, čim počne skenirati N cijelo računalo pada u stupor. Ponovno se pokrećem - banner se više ne pojavljuje i smirim se, Internet radi, ali mozilla se ne otvara, prolazim kroz Google Chrome.
Provjeravam N u on-line modu. Čisto! Otvorim N, pokušam odabrati mapu - opet se računalo smrzne! Nakon nekoliko pokušaja otvaranja, ponovno ga skeniram AVAST-om i, ne nalazeći ništa, odlučujem sve kopirati u C.
Nakon kopiranja u C, očistim sve N i uđem u kopiju - sve radi!!!
Prije sat vremena preuzeo sam i ažurirao Mozillu i sada uživam u životu. Sve sam provjerio i sada ću ažurirati Dr. W curellt i staviti ga preko noći - samo da olakšam svoju savjest! Dakle, imajte na umu, drage kolege, nije sve tako strašno. Radi sigurnosti vaših računala, učinite kako je navedeno u priloženoj datoteci!!!
Neka su nam PC-i zdravi!!!
S poštovanjem svim čitateljima Alexey!
Doslovno nekoliko dana prije nego što je broj otišao u tisak, Metasploit je preuzeo
novi modul o kojem jednostavno nismo mogli a da vam ne kažemo. Zahvaljujući
nova naredba getsystem, na kompromitiranom sustavu sada je moguće ići
s korisničke razine na prsten0, stjecanjem NT AUTHORITY\SYSTEM prava! A ovo - u bilo kojem
verzije sustava Windows.
19. siječnja 2010. ranjivost od 0 dana postala je javna, dopuštajući
povećanje privilegija u bilo kojoj verziji sustava Windows, počevši od NT 3.1, izdane u
1993., a završava s novonastalom "sedmorkom". Na exploit-db.com haker Tavis
Ormandy je objavio i izvore eksploatacije KiTrap0d i kompiliranu verziju
binarni, spreman za korištenje. Svatko može isprobati izvorni exploit
voljni. Da biste to učinili, samo trebate izdvojiti vdmexploit.dll i vdmallowed.exe iz arhive,
nekako ga prenesite na žrtvino računalo i tamo pokrenite exe datoteku. U
rezultat, bez obzira na to koji korisnički račun
pokretanje, pojavit će se konzola s korisničkim privilegijama sustava, odnosno NT
VLAST\SUSTAV. Da provjerite, možete pokrenuti Sploit na svom računalu,
nakon što ste se prethodno prijavili u sustav kao obični korisnik. Nakon lansiranja
Sploit će otvoriti novi cmd.exe prozor s maksimalnim privilegijama.
Što ovo daje? Zamislite situaciju u kojoj exploit probija neku aplikaciju i
dobiva školjku udaljeno računalo. Neka ovo bude okupljalište za Internet
Explorer - u ovom slučaju, napadač će imati pristup sustavu s pravima
korisnik pod čijim je računom preglednik pokrenut. Ne raspravljam, jako
često će to biti račun s administratorskim pravima (korisnik je kriv), ali
ako ne? Ovdje možete koristiti KiTrap0d za povećanje svojih privilegija
na NT AUTORITET\SUSTAV! Štoviše, čak i oni korisnici koji su članovi grupe
administrator, ne može pristupiti određenim područjima sustava, na primjer,
čitanje hashova korisničke lozinke (više o tome u nastavku). I račun NT sustava -
Može biti! Uz sve to, u trenutku objave članka nije postojao niti jedan patch od
Microsoft nije objavio popravak za ranjivost.
Preuzimanje operativnog sustava
Nećemo demonstrirati originalni exploit na djelu, jer 25
Siječanj je dodan u Metasploit novi scenarij, zahvaljujući čemu koristiti
KiTrap0d je postao još praktičniji. Opcija koja je prvobitno bila uključena u baze podataka modula bila je
nestabilan i nije uvijek radio, ali nije prošlo ni pola dana da se pojave sve greške
eliminiran. Sada je modul preuzet zajedno sa svim ostalim ažuriranjima,
pa za instalaciju samo odaberite stavku izbornika "Metasploit update".
Sada, s pristupom udaljenom sustavu, možete upisati "run kitrap0d" i donijeti
okupit će se u akciju. “Ali budući da je ovolika opijanja, idemo provesti ovu stvar
poseban tim", mislili su programeri Metasploita. Kao rezultat toga
Ovo je prekrasna naredba "podignite privilegije", dostupna putem
meterpreter ekstenzija - jako nam se sviđa :).
Dakle, imamo pristup udaljenom sustavu (ilustrativni primjer
operacija je dana u članku "Operacija Aurora") i mi smo u konzoli
metasploit. Da vidimo kako stojimo s pravima:
meterpreter > getuid
Da, redoviti korisnik. Možda je čak i dio grupe
administratori, ali to nam nije bitno. Povezujemo modul u kojem je implementiran
naredbu getsystem koja nas zanima i provjerimo je li se učitala prikazivanjem
ekran za pomoć:
meterpreter > koristiti priv
Učitavanje ekstenzije priv...uspjeh.
meterpreter > getsystem -h
Upotreba: getsystem
Pokušajte podići svoju privilegiju na onu lokalnog sustava.
OPCIJE:
H Pomoć banner.
-t Tehnika koju treba koristiti. (Zadano je "0").
0: Dostupne sve tehnike
1: Usluga - oponašanje imenovanog kanala (u memoriji/administrator)
2: Usluga - Oponašanje imenovanog kanala (Dropper/Admin)
3: Usluga - Dupliciranje tokena (u memoriji/Administrator)
4: Iskorištavanje - KiTrap0D (u memoriji/korisniku)
Kao što vidite, spajanje KiTrap0D implementira samo dio funkcionalnosti naredbe.
Ako ste uspjeli zgrabiti ljusku s korisnikom koji već ima prava
administrator, a zatim podići na razinu NT AUTHORITY\SYSTEM koju možete koristiti
tri druge tehnike (tipka -t omogućuje odabir one koja vam je potrebna). U svakom slučaju, bez preciziranja
bez ikakvih parametara, reći ćemo metasploitu što može koristiti
bilo koji od pristupa. Uključujući KiTrap0D, koji će povećati naše privilegije na razinu
„Sustav“, bez obzira koja prava trenutno imamo.
meterpreter > getsystem
...dobio sustav (preko tehnike 4).
Da, dobili smo poruku o uspješnom povećanju privilegija i za napad
Korišten je KiTrap0D - očito ima prioritet. Jesmo li stvarno
ruža u sustavu? Provjerimo naš trenutni UID (identifikator korisnika):
meterpreter > getuid
Jesti! Samo jedna naredba u metasploit konzoli i NT AUTHORITY\SYSTEM prava
nas u džepu. Dalje, općenito govoreći, sve je moguće. Da vas podsjetim, niti jedan jedini
Nije bilo Microsoftove zakrpe u vrijeme izdavanja časopisa.
Izbacivanje lozinki
Budući da već imate pristup računu sustava, morate izdvojiti iz ovog
nešto korisno. Metasploit ima prekrasnu hashdump naredbu -
naprednija verzija dobro poznatog uslužnog programa pwdump. Štoviše, u posljednjoj
verzija metasploita uključuje revidiranu verziju skripte koja koristi
modernizirano načelo za izdvajanje LANMAN/NTLM hashova i još nije otkriveno
antivirusi. Ali nije u tome stvar. Važno je izvršiti naredbu hashdump
Potrebna su prava NT AUTHORITY\SYSTEM. Inače će program izbaciti pogrešku
"[-] priv_passwd_get_sam_hashes: Operacija nije uspjela: 87". Ovo se događa jer
da se LANMAN/NTLM hashovi korisničkih lozinki pohranjuju u posebne grane registra
HKEY_LOCAL_MACHINE\SAM i HKEY_LOCAL_MACHINE\SECURITY, kojima čak nije moguće pristupiti
administratori. Mogu se čitati samo s privilegijama sistemskog računa.
Općenito govoreći, upotrijebite exploit, a zatim naredbu hashdump za
lokalno izdvajanje hasha iz registra uopće nije potrebno. Ali ako takav
Prilika postoji, zašto ne?
meterpreter > getuid
Korisničko ime poslužitelja: NT AUTHORITY\SYSTEM
meterpreter > pokreni hashdump
[*] Dobivanje ključa za pokretanje...
[*] Izračunavanje hboot ključa pomoću SYSKEY 3ed7[...]
[*] Dobivanje popisa korisnika i ključeva...
[*] Dešifriranje korisničkih ključeva...
[*] Izbacivanje hashova zaporki...
Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Gost:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
Haševi su primljeni. Ostaje samo da ih nahrani nekom od silnika, npr.
l0phtcrack.
Kako mogu vratiti svoje privilegije?
Smiješna situacija dogodila se kad sam pokušao vratiti prava u normalu
natrag korisnika. Naredba rev2self koju sam pronašao nije radila i još uvijek
ostao je "NT AUTHORITY\SYSTEM": očito je dizajniran za rad s tri
drugi pristupi implementirani u getsystem. Ispostavilo se vratiti
privilegije, potrebno je “ukrasti” token procesa koji je taj korisnik pokrenuo,
koji nam je potreban. Stoga sve procese prikazujemo naredbom ps i odabiremo iz njih
prikladan:
meterpreter > ps
Popis procesa
============
PID Naziv Arch User Path
--- ---- ---- ---- ----
0
4 Sustav x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\korisnik C:\WINDOWS\Explorer.EXE
...
Kao što vidimo, explorer.exe se pokreće samo pod normalnim korisnikom
računa i ima PID=1560. Sada, zapravo, možete "ukrasti token" korištenjem
naredba steal_token. PID mu se prosljeđuje kao jedini parametar
potreban proces:
meterpreter > steal_token 1558
Ukradeni token s korisničkim imenom: WINXPSP3\korisnik
meterpreter > getuid
Korisničko ime poslužitelja: WINXPSP3\korisnik
Sudeći po polju "Korisničko ime poslužitelja", operacija je bila uspješna.
Kako radi?
Konačno, vrijedi razgovarati o prirodi ranjivosti koja je dovela do pojave
Sploit. Do povrede sigurnosti dolazi zbog greške u procesoru sustava
#GP prekidi (koji se nazivaju nt!KiTrap). Zbog toga s privilegijama kernela
može se učiniti proizvoljni kod. To se događa jer sustav
neispravno provjerava neke BIOS pozive kada je na 32-bitnoj x86 platformi
pokrenuta je 16-bitna aplikacija. Da bi se iskoristila ranjivost, exploit stvara
16-bitna aplikacija (%windir%\twunk_16.exe), manipulira nekima
strukture sustava i poziva funkciju NtVdmControl() za početak
Windows Virtual DOS Machine (aka NTVDM podsustav), koji kao rezultat prethodnog
manipulacija dovodi do poziva #GP rukovatelja prekidima sustava i
kada se aktivira exploit. Usput, ovo vodi do jedinog ograničenja
exploit koji radi samo na 32-bitnim sustavima. U 64-bitnoj verziji
Operativni sustavi jednostavno nemaju emulator za pokretanje 16-bitnih aplikacija.
Zašto su informacije s gotovim exploitom postale javno dostupne? O dostupnosti
Autor exploita obavijestio je Microsoft o ranjivosti početkom prošle godine i
čak dobio potvrdu da je njegovo izvješće prihvaćeno na razmatranje. Samo kolica
a sada tamo. Godinu dana nije bilo službene zakrpe od tvrtke, a autor je odlučio
objaviti informacije javno, nadajući se da će se stvari brže odvijati. Da vidimo,
hoće li zakrpa biti dostupna do puštanja časopisa u prodaju :)?
Kako se zaštititi od iskorištavanja
Budući da još nema potpunog ažuriranja za rješavanje ranjivosti,
morat ćete koristiti zaobilazna rješenja. Najpouzdanija opcija je
onemogućite podsustave MSDOS i WOWEXEC, što će odmah lišiti exploit
funkcionalnost, jer više neće moći pozvati funkciju NtVdmControl().
za pokretanje NTVDM sustava. U starijim verzijama sustava Windows to se radi putem
registar u kojem trebate pronaći HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW granu
i dodajte neki simbol njegovom imenu. Za moderni OS
trebate postaviti ograničenje pokretanja 16-bitnih aplikacija putem
grupne politike. Da biste to učinili, nazovite GPEDIT.MSC, a zatim idite na odjeljak
"Korisnička konfiguracija/Administrativni predlošci/Komponente sustava Windows/Kompatibilnost
aplikacije" i aktivirajte opciju "Zabrani pristup 16-bit
aplikacije".
WWW
Opis ranjivosti od autora exploita:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Microsoftovo rješenje:
http://support.microsoft.com/kb/979682
UPOZORENJE
Informacije su predstavljene u obrazovne svrhe. Koristeći ga u
u nezakonite svrhe može dovesti do kaznene odgovornosti.
NT AUTORITET/GREŠKA SUSTAVA,
XP poruka - kako ukloniti virus
Ako imate rusku verziju, svakako promijenite jezik prije preuzimanja.
Malo o samom virusu:
Jučer navečer, nakon otprilike 23:00 sata po moskovskom vremenu, na mnogim su se forumima počele pojavljivati poruke o čudnom ponašanju sustava Windows 2000 i Windows XP prilikom pristupa mreži: sustav je prikazao poruku o pogrešci usluge RPC i potrebi ponovnog pokretanja. Nakon restarta poruka se ponavljala nakon najviše par minuta i tome nije bilo kraja.
Istraga je pokazala da je za to kriva danas počela epidemija novog mrežnog crva w32.Blaster.worm koji iskorištava ranjivost otkrivenu 16. srpnja u servisu RPC DCOM, koji je prisutan u svim operativni sustavi obitelji Windows 2000, Windows XP i Windows 2003. Ova ranjivost je prekoračenje međuspremnika, koje je uzrokovano ispravno izrađenim TCP/IP paketom koji stiže na port 135, 139 ili 445 napadnutog računala. Omogućuje, u najmanju ruku, izvođenje DoS napada (DoS znači "uskraćivanje usluge", ili "uskraćivanje usluge"; u ovom slučaju, napadnuto računalo se ponovno pokreće), i, u najvećoj mjeri, izvršavanje bilo kojeg koda u memoriji napadnutog računala.
Prva stvar koja je izazvala zabrinutost među mrežnom zajednicom i prije pojave crva bila je prisutnost vrlo jednostavnog exploita (programa za iskorištavanje ranjivosti), što obično dovodi do situacije da bilo tko može preuzeti ovaj program i početi ga koristiti u nemiroljubive svrhe. Ipak, to je bilo cvijeće...
Kada se novi crv proširi, napada port 135 i, ako uspije, pokreće program TFTP.exe s kojim preuzima svoj izvršna datoteka. U ovom slučaju, korisnik dobiva poruku o zaustavljanju RPC usluge i ponovnom pokretanju. Nakon ponovnog pokretanja, crv se automatski pokreće i počinje skenirati mreže dostupne s računala za računala s otvorenim portom 135. Ako ih otkrije, crv kreće u napad i sve se ponavlja iznova. Štoviše, sudeći prema brzini širenja ovaj trenutak, crv će uskoro zauzeti prvo mjesto na listama antivirusnih tvrtki.
Postoje tri načina da se zaštitite od crva.
Prvo, Microsoftov bilten pruža poveznice na zakrpe za sve pogođene Windows verzije, zatvarajući RPC prazninu (ove zakrpe su objavljene 16. srpnja, tako da oni koji redovito ažuriraju sustav ne bi trebali brinuti).
Drugo, ako je port 135 zatvoren vatrozidom, crv neće moći prodrijeti u računalo.
Treće, onemogućavanje DCOM-a pomaže kao posljednje sredstvo (ovaj postupak je detaljno opisan u Microsoftovom biltenu). Stoga, ako još niste bili napadnuti od strane crva, toplo se preporučuje da preuzmete zakrpu za svoj OS s Microsoftovog poslužitelja što je prije moguće (na primjer, koristite Windows usluge Ažuriraj) ili konfigurirajte blokiranje portova 135, 139 i 445 u vatrozidu.
Ako je vaše računalo već zaraženo (a pojavljivanje RPC poruke o pogrešci jasno znači da je zaraženo), tada trebate isključiti DCOM (inače će svaki sljedeći napad izazvati ponovno podizanje sustava), zatim preuzeti i instalirati zakrpu.
Da biste uništili crva, morate ga ukloniti iz ključa registra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Pokreni unos "windows auto update"="msblast.exe", zatim pronađite i obrišite datoteku msblast.exe - ovo je tijelo crva. Više o postupku uklanjanja crva možete pročitati na web stranici Symanteca.
Trenutačno ne otkrivaju svi antivirusi crva; zaštiti od njih možete se nadati tek nakon izdavanja ažuriranja.
Objavio AHTOH 17.08.2003 u 23:29:
OPASNI CRV! Nt ovlaštenje/pogreška sustava
__________________
Činim dobro, činim dobro...