Hozzáférés a hálózati mappához az NT AUTHORITY\NetworkService alatt. Figyelem!!! Az Nt Authority\system egy féreg!!! Hogyan működik
Nemrég, pontosabban egy hete fogtam egy kukacot, és ez még soha nem történt meg minden teafőzésem során! Éjszaka - nem hívhatja a mestert, és a pénz csak a kártyán van - 200 rubel a zsebben. Mit tegyünk, pontosan számítógépre van szüksége!
Telefonon keresztül bemászok a keresőkbe és beírom a téma címében írt nevet - anyám, mit tudom én - ez a lény 1993 óta él az interneten, és a Microsoft is tud róla - tájékoztatta őket az alkotó szándékosan. A mai napig ez a féreg a számítógépébe kerülve rendszergazdai jogokat szerez, és bármilyen trükköt meg tud csinálni.
Fórumok tucatjait bejárva, tippek százait elolvasva egy nap alatt, anélkül kúszom a rendszerem mélyére, hogy nem tudtam, hogy aludnék, és remegő kézzel nyitogatni kezdem a mappákat és fájlokat, amelyekről olvastam. Egy éhes farkas kitartásával , Keresem az okot, de ... túl tapasztalatlan vagyok ehhez.. Ismét telefonon keresztül felmászom az oldalunkra, és írok az egyik moderátorunknak... A probléma nagyon körülményes, és azért, hogy ne kínozzatok, az illető azt tanácsolja, hogy bontsam le a rendszert és telepítsek újat, de én magam soha nem csináltam! Lépésről lépésre elmondja telefonon (a távolsági hívásokra pénzt nem kímélve), hogy csináljam, én meg ülök és írok. Utána megvárja az eredményt, én pedig ülök és megértem, hogy nagyon sajnálom a felhalmozott információkat... és hozok egy döntést, ha le tudom rombolni, akkor mindig lesz időm, de most küzdök tovább saját.
Mindenesetre tudtam, hogy a guruink mellettem vannak, és ők tanácsot adnak, mit és hogyan kell csinálni. Addig is, saját kockázatomra és kockázatomra, a következőket teszem:
1) A szalaghirdetés kikapcsolja a számítógépet, hogy 60 másodperc elteltével újrainduljon – tehát növelnie kell ezt az időt, és én is, egy fórumtag tanácsára Egy évvel visszaforgathatom az órámat!
2) már nyugodtan és lassan átnézem a teljes regisztrációs adatbázist és a programokat az AnvirTaskManageren keresztül - ő volt az egyetlen, aki a megjelenésről kérdezte új program, de én, mint egy balek, megengedtem, hogy kihagyjam.
3) nem értek semmit, lefuttatok egy teljes vizsgálatot az AVAST-tal, miután korábban telepítettem az összes bővítményt a beállításokban.
3,5 óra múlva adott nekem 6 fertőzött fájlt - itt vannak
win32 malware-gen (2 darab)
Fakeinst-T (2db)
Egyszerűen eltávolítom ezeket a kártevőket anélkül, hogy megpróbálnám kezelni őket.
4) Ezután megyek a Revo Unystailerhez, és törlök mindent, amit az elmúlt napokban telepítettem, az AnvirTaskManagerrel és a Reg Organizierrel együtt.
5) Töltse be az AVZ-t és futtassa.
És itt egy probléma merül fel - a lemezem két C-re és H-ra van osztva. C normál esetben letapogat, és nem talál semmit, csak elkezdi vizsgálni a H-t, az egész számítógép kábulatba esik. Újraindítom, már nem ugrik fel a banner és megnyugszom, működik az internet, de a mozilla nem nyílik meg, átmegyek a Google Chrome-on.
A H-t on-line módban ellenőrizem. Tisztán! Megnyitom a H-t, megpróbálok mappát kiválasztani - ismét lefagy a számítógép! Többszöri megnyitási próbálkozás után újra szkennelek az AVAST-tal, és mivel nem találok semmit, úgy döntök, hogy mindent átmásolok C-be.
A C-be másolás után törlöm az összes H-t és bemászom a másolatba - minden működik !!!
Egy órája letöltöttem és frissítettem a Mozillát, most élvezem az életet. Mindent ellenőriztem, és most frissítem Dr. Wcurellt, és éjszakára felrakom - már a lelkiismeretem megnyugtatására! Ne feledje tehát, kedves kollégák - nem minden olyan ijesztő. Számítógépei biztonsága érdekében a mellékelt fájlban leírtak szerint járjon el!!!
Legyen egészséges a PC-nk!!!
Tisztelettel minden olvasónak, Alexey!
A lapszám megjelenése előtt néhány nappal a Metasploit megvásárolta
friss modult, amiről egyszerűen nem tudtunk nem mesélni. Köszönet
új getsystem paranccsal, egy kompromittált rendszeren lehetségessé vált
Felhasználói szintről ring0-ra, NT AUTHORITY\SYSTEM megszerzésével! És ez bármelyikben benne van
Windows verziók.
2010. január 19-én nyilvánossá vált egy 0 napos biztonsági rés, amely lehetővé teszi
jogosultság eszkaláció a Windows bármely verzióján az NT 3.1-től
1993-ban, és az újszerű "héttel" végződött. Az exploit-db.com oldalon Tavis hacker
Ormandy közzétette a KiTrap0d sploit forrását és a lefordított változatot is
binárisan használatra kész. Bárki kipróbálhatja az eredeti szaggatást
hajlandó. Ehhez csak ki kell bontania a vdmexploit.dll és a vdmallowed.exe fájlt az archívumból,
vigye át valamilyen módon az áldozat gépére, és futtassa ott az exe fájlt. NÁL NÉL
eredmény, függetlenül attól, hogy melyik felhasználói fiókot
indításkor megjelenik egy konzol rendszerfelhasználói jogosultságokkal, azaz NT
HATÓSÁG\RENDSZER. Az ellenőrzés kedvéért futtathat egy sploitot a gépen,
korábban normál felhasználóval bejelentkezve a rendszerbe. Indítás után
A sploit egy új cmd.exe ablakot nyit meg maximális jogosultságokkal.
Mit ad? Képzeljünk el egy olyan helyzetet, amikor egy törés áttör valamilyen alkalmazáson és
héjat kap távoli számítógép. Legyen az internetre kiosztva
Explorer - ebben az esetben a hacker jogosultságokkal fér hozzá a rendszerhez
az a felhasználó, akinek a fiókja alatt a böngésző elindult. Nem vitatkozom, nagyon
gyakran ez egy rendszergazdai jogokkal rendelkező fiók lesz (a felhasználó a hibás), de
ha nem? Itt használhatja a KiTrap0d-t a jogosultságok növelésére
az NT AUTHORITY\SYSTEM-nek! Sőt, még azok a felhasználók is, akik a csoport tagjai
rendszergazda, nem tud hozzáférni a rendszer egyes részeihez, például a számára
felhasználói jelszavak hash-einek olvasása (erről lentebb). És NT rendszerfiók -
talán! Mindezzel együtt a cikk megjelenése idején egyetlen folt sem től
A Microsoft nem adott ki javítást a biztonsági réshez.
Operációs rendszer átvétele
Az eredeti felosztást nem mutatjuk be gyakorlatban, mert 25
A januárt hozzáadták a Metasploithoz új forgatókönyv, melynek köszönhetően használható
A KiTrap0d még kényelmesebbé vált. A modul adatbázisaiba eredetileg bekerült változat az volt
instabil és nem mindig működött, de még fél nap sem telt el, mint az összes hiba
Eltüntetett. Most a modul letöltődik az összes többi frissítéssel együtt,
így a telepítéshez válassza ki a „Metasploit frissítés” menüpontot.
Most, hogy hozzáfér a távoli rendszerhez, beírhatja a „run kitrap0d” parancsot, és gépelhet
működésbe olvad. "De mivel egy ilyen pia elfogyott, erre az esetre rá fogunk jönni
speciális parancsot" gondolták a Metasploit fejlesztői. Ennek eredményeként
olyan csodálatos "jogosultságok emelése" parancsnak bizonyult, amely a következőn keresztül érhető el
mérőmérő bővítmény - nagyon szeretjük :).
Tehát hozzáférésünk van egy távoli rendszerhez (szemléltető példa
A kiaknázást az "Aurora művelet" című cikk tartalmazza, és a konzolban vagyunk
metasploit. Lássuk, hogyan állunk a jogokkal:
meterpreter > getuid
Igen rendszeres felhasználó. Talán még a csoporthoz is tartozik
rendszergazdák, de minket ez nem érdekel. Csatlakoztatjuk azt a modult, amelyben megvalósul
a számunkra érdekes getsystem parancsot, és a on megjelenítésével ellenőrizzük, hogy betöltődött-e
képernyő súgó:
mérőmérő > priv
Bővítmény betöltése priv...sikeres.
meterpreter > getsystem -h
Használata: getsystem
Próbálja meg a helyi rendszer kiváltságait emelni.
LEHETŐSÉGEK:
H Help Banner.
-t Az alkalmazandó technika. (Alapértelmezett "0").
0: Minden technika elérhető
1: Szolgáltatás – Névvel megszemélyesítés (memóriában/adminisztrátor)
2: Szolgáltatás – Névvel megszemélyesített cső (Droppper/Admin)
3: Szolgáltatás – Token sokszorosítás (memóriában/adminisztrátor)
4: Exploit - KiTrap0D (memóriában/felhasználó)
Amint láthatja, a KiTrap0D sploit a parancs funkcióinak csak egy részét valósítja meg.
Ha sikerült megragadnia egy shellt olyan felhasználóval, akinek már van joga
rendszergazda, használhatja
három másik technika (a -t kapcsoló segítségével kiválaszthatja a szükségeset). Így vagy úgy, pontosítás nélkül
egyáltalán nincs paraméter, azt mondjuk a metasploitnak, hogy használhatja
bármelyik megközelítés. Beleértve a KiTrap0D-t is, amely szintre emeli kiváltságainkat
A „rendszer”, mindegy, milyen jogaink vannak most.
meterpreter > getsystem
...rendszert kapott (a 4. technikán keresztül).
Igen, üzenetet kaptunk a privilégiumok sikeres eszkalációjáról és a támadásról
a KiTrap0D-t használták – úgy tűnik, ennek van elsőbbsége. Tényleg
bemászott a rendszerbe? Nézzük meg aktuális UID-ünket (felhasználói azonosítónkat):
meterpreter > getuid
Van! Csak egy parancs a metasploit konzolon és NT AUTHORITY\SYSTEM jogok
minket a zsebében. Továbbá általánosságban elmondható, hogy minden lehetséges. Hadd emlékeztesselek arra, hogy egyetlen
a magazin megjelenése idején nem volt javítás a Microsofttól.
Jelszavak kiírása
Mivel hozzáféréssel rendelkezik a rendelkezésre álló rendszerfiókhoz, ebből ki kell bontania
bármi hasznosat. A Metasploit arzenáljában van egy csodálatos hashdump parancs -
a híres pwdump segédprogram fejlettebb verziója. Ráadásul az utolsóban
A metasploit verziója tartalmazza a használó szkript átdolgozott verzióját
a LANMAN/NTLM hash-ek kibontásának modernizált elve, és még nem észlelték
antivírusok. De nem ez a lényeg. Fontos, hogy a hashdump parancs végrehajtásához
NT AUTHORITY\SYSTEM jogosultságok szükségesek. Ellenkező esetben a program hibát jelez
"[-] priv_passwd_get_sam_hashes: A művelet sikertelen: 87". Ez azért történik, mert
hogy a felhasználói jelszavak LANMAN/NTLM-kivonatait speciális nyilvántartási ágakban tárolják
A HKEY_LOCAL_MACHINE\SAM és a HKEY_LOCAL_MACHINE\SECURITY még csak nem is elérhető
rendszergazdák. Csak rendszerfiók jogosultságokkal olvashatók.
Általánosságban elmondható, hogy ehhez használja a sploit, majd a hashdump parancsot
a kivonat kibontása a rendszerleíró adatbázisból helyben egyáltalán nem szükséges. De ha ilyen
van rá lehetőség, miért ne?
meterpreter > getuid
Szerver felhasználónév: NT AUTHORITY\SYSTEM
meterpreter > hashdump futtatása
[*] A rendszerindító kulcs beszerzése...
[*] A hboot kulcs kiszámítása a SYSKEY 3ed7 használatával[...]
[*] A felhasználói lista és a kulcsok lekérése...
[*] Felhasználói kulcsok visszafejtése...
[*] Jelszókivonatok kiíratása...
Rendszergazda:500:aad3b435b51404eeaad3b435b51404ee:...
Vendég:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
Hashes kapott. Maradhat például, hogy megetetjük őket valamelyik brutális erővel,
l0phtcrack .
Hogyan lehet visszaadni a jogosultságokat?
Vicces helyzet történt, amikor megpróbáltam visszaadni a normálisak jogait
felhasználó vissza. A rev2self parancs, amit találtam, nem működött, és még mindig
Maradt az "NT AUTHORITY\SYSTEM": láthatóan hárommal való együttműködésre tervezték
a getsystemben megvalósított egyéb megközelítések. Kiderült, hogy visszatér
privilégiumok esetén el kell "lopni" az adott felhasználó által elindított folyamat tokenjét,
amire szükségünk van. Ezért az összes folyamatot megjelenítjük a ps paranccsal, és kiválasztunk közülük
alkalmas:
mérőmérő > ps
Folyamatlista
============
PID név Arch felhasználói elérési út
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...
Amint látjuk, az explorer.exe csak a szokásos felhasználó alatt indul el
fiók és PID=1560. Most tulajdonképpen "ellophatja a tokent" a használatával
steal_token parancs. A PID egyetlen paraméterként kerül átadásra.
kívánt folyamat:
meterpreter > steal_token 1558
Ellopott token a következő felhasználónévvel: WINXPSP3\user
meterpreter > getuid
Szerver felhasználónév: WINXPSP3\user
A "Szerver felhasználónév" mező alapján a művelet sikeres volt.
Hogyan működik?
Végül érdemes beszélni a megjelenéshez vezető sérülékenység természetéről
sploita. A biztonság megsértése a rendszerkezelő hibája miatt következik be.
#GP megszakít (amit nt!KiTrap-nek hívnak). Ő miatta kernel jogosultságokkal
meg lehet csinálni tetszőleges kód. Ez azért történik, mert a rendszer
32 bites x86 platformon bizonyos BIOS-hívásokat hibásan ellenőriz
egy 16 bites alkalmazás fut. A sérülékenység kihasználása érdekében a sploit létrehozza
16 bites alkalmazás (%windir%\twunk_16.exe), manipulál néhányat
rendszer strukturálja és elindítja az NtVdmControl() függvényt
Windows Virtual DOS Machine (más néven NTVDM alrendszer), amely a korábbiak eredményeként
manipulációk hatására a #GP trap kezelő meghívódik és
szétválást vált ki. Ez egyébként az egyetlen korlátot jelenti
Egy sploit, amely csak 32 bites rendszereken működik. 64 bites verzióban
operációs rendszerek egyszerűen nem rendelkeznek emulátorral a 16 bites alkalmazások futtatásához.
Miért kerültek nyilvánosan hozzáférhető információk a kész sploittal? Az elérhetőségről
sérülékenység – tájékoztatta a Microsoftot a spoit szerzője tavaly év elején és
sőt megerősítést is kapott, hogy jelentését megfontolásra elfogadták. Csak woz
és most ott. Egy évig nem volt hivatalos javítás a cégtől, és a szerző döntött
tegye közzé az információkat nyilvánosan, remélve, hogy a dolgok gyorsabban mennek majd. Lássuk,
kiadják a patch-et, mire a magazin eladásra kerül :)?
Hogyan védheti meg magát a rontástól
Mivel még nincs teljes körű frissítés a sérülékenység feloldására,
megkerülő megoldásokat kell alkalmaznia. A legmegbízhatóbb lehetőség
tiltsa le az MSDOS és WOWEXEC alrendszereket, ami azonnal megfosztja a sploittól
funkcionalitás, mert többé nem fogja tudni meghívni az NtVdmControl() függvényt
az NTVDM rendszer elindításához. A Windows régebbi verzióiban ez a következőn keresztül valósul meg
rendszerleíró adatbázis, amelyben megtalálható a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW ág
és adjunk hozzá valamilyen karaktert a nevéhez. Modern operációs rendszerhez
korlátoznia kell a 16 bites alkalmazások indítását
csoportszabályzat. Ehhez hívja a GPEDIT.MSC-t, majd lépjen a szakaszra
„Felhasználói konfiguráció/Felügyeleti sablonok/Windows-összetevők/Kompatibilitás
alkalmazások”, és aktiválja a „16 bites hozzáférés tiltása” opciót
alkalmazások".
www
A sérülékenység leírása a kiterjesztés szerzőjétől:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Megoldás a probléma megoldására a Microsofttól:
http://support.microsoft.com/kb/979682
FIGYELEM
Az információk oktatási célokat szolgálnak. Használata benne
törvénytelen célok büntetőjogi felelősséget vonhatnak maguk után.
NT HATÓSÁGI/RENDSZERHIBA,
XP bejegyzés - hogyan lehet eltávolítani a vírust
Ha van orosz verziója, akkor a letöltés előtt feltétlenül változtassa meg a nyelvet.
Egy kicsit magáról a vírusról:
Tegnap este, körülbelül 23 óra után moszkvai idő szerint, sok fórumon kezdtek megjelenni üzenetek a Windows 2000 és a Windows XP furcsa viselkedéséről a hálózat elérésekor: a rendszer üzenetet adott ki az RPC szolgáltatás hibájáról és az újraindítás szükségességéről. Az újraindítás után maximum pár perc múlva megismétlődött az üzenet, és nem volt vége.
A vizsgálat kimutatta, hogy az új hálózati féreg, a w32.Blaster.worm ma kezdődött járvány a hibás, amely az RPC DCOM szolgáltatásban július 16-án talált sebezhetőséget használja ki, amely mindenhol jelen van. operációs rendszer Windows 2000, Windows XP és Windows 2003 családok Ez a biztonsági rés puffertúlcsordulás, amelyet a megtámadott számítógép 135-ös, 139-es vagy 445-ös portjára érkező, megfelelően kialakított TCP/IP-csomag okoz. Lehetővé teszi legalább a DoS támadást (a DoS jelentése "szolgáltatásmegtagadás", vagy "szolgáltatásmegtagadás", ebben az esetben - a megtámadott számítógép újraindul), és legfeljebb - a megtámadott számítógép memóriájában található kódok végrehajtása.
Az első dolog, ami már a féreg megjelenése előtt felkeltette a hálózati közvélemény aggodalmát, egy nagyon könnyen használható exploit (sebezhetőség kihasználására szolgáló program) jelenléte volt, ami általában olyan helyzethez vezet, hogy bárki használhatja ezt a programot. és kezdje el nem békés célokra használni. De virágok voltak...
Ahogy az új féreg terjed, megtámadja a 135-ös portot, és ha sikeres, elindítja a TFTP.exe programot, amely letölti a futtatható fájl. Ebben az esetben a felhasználó üzenetet kap az RPC szolgáltatás leállításáról, majd újraindításáról. Az újraindítás után a féreg automatikusan elindul, és elkezdi keresni a számítógépről elérhető hálózatokat a nyitott 135-ös porttal rendelkező számítógépek után. Ha ilyeneket találnak, a féreg támadást hajt végre, és minden megismétlődik az elejétől. Sőt, terjedéséből ítélve Ebben a pillanatban, a féreg hamarosan előkerül a vírusirtó cégek listáján.
Három módja van a féreg elleni védekezésnek.
Először is, a Microsoft Bulletin hivatkozásokat biztosít az összes sebezhető javításhoz Windows verziók, bezárva egy rést az RPC-ben (ezek a javítások július 16-án jelentek meg, így azoknak, akik rendszeresen frissítik a rendszert, nem kell aggódniuk).
Másodszor, ha a 135-ös portot tűzfal zárja le, a féreg nem tud behatolni a számítógépbe.
Harmadszor, a DCOM letiltása végső megoldásként segít (ezt az eljárást részletesen leírja a Microsoft közleménye). Ezért, ha még nem támadta meg egy féreg, erősen ajánlott a lehető leghamarabb letölteni egy javítást az operációs rendszeréhez a Microsoft szerverről (például Windows szolgáltatások Frissítés), vagy konfigurálja a 135-ös, 139-es és 445-ös port blokkolását a tűzfalban.
Ha a számítógép már fertőzött (és az RPC hibaüzenet megjelenése egyértelműen azt jelenti, hogy fertőzött), akkor ki kell kapcsolnia a DCOM-ot (ellenkező esetben minden további támadás újraindítást okoz), majd töltse le és telepítse a javítást.
A féreg megsemmisítéséhez el kell távolítania a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr rendszerleíró kulcsból.
entVersion\Futtassa a "windows auto update"="msblast.exe" bejegyzést, majd keresse meg és törölje az msblast.exe fájlt – ez a féreg törzse. A féregeltávolítási eljárásról a Symantec webhelyén olvashat bővebben.
Jelenleg nem minden vírusirtó észleli a férget - csak a frissítések megjelenése után lehet védelmet remélni.
Beküldte: AHTOH, 2003-08-17, 23:29:
VESZÉLYES FÉREG! Nt Authority/System Error
__________________
Jót teszek, jót teszek...