Во второй части этой статьи мы рассмотрели, как IDS может обнаруживать различные хакерские программы, а также узнали, как Snort обнаруживает активность Nmap. Теперь мы завершим эту серию и узнаем, как Snort обнаружит инструмент под названием Cain & Abel.
Если вы хотите ознакомиться с остальными частями этой темы, пожалуйста, прочитайте:
На протяжении прошлых двух статей и также в этой статье, мы узнаем, какие следы оставляют после себя различные хакерские инструменты. В частности мы рассматриваем следы, которые можно обнаружить с помощью IDS. Во второй части мы увидели, как легко обнаруживается Nmap при выполнении различных сканирований. Наличие знаний такого типа очень важно для ваших системных администраторов на сегодняшний день. То же самое касается людей, которым посчастливилось заниматься компьютерной безопасностью и которых не касается вся сложность работы системного администратора.
В достаточной степени все из вас, кто на сегодняшний день работают в сфере компьютерных сетей, понимают, что не все атаки происходят с удаленных компьютеров. Как насчет внутреннего злоумышленника? Это человек, который в действительности работает в вашей компании, но по некоторому роду причин затаил на вас злобу. Такой злоумышленник имеет огромное преимущество над удаленным хакером, т.к. они уже находятся внутри охраняемой сети. А внутри сети обычно используется очень мягкое программное обеспечение, которое очень уязвимо для хакерского программного обеспечения. На этой ноте мы рассмотрим инструмент под названием Cain & Abel.
Рисунок 1
Это программное обеспечение достаточно хорошо известно, и сделано оно достаточно искусно. Чем мы сейчас займемся – это увидим, сможет ли Snort обнаружить, как Cain & Abel делает MAC sweep в сети. Такое действие достаточно типично для злоумышленника, т.к. в результате него они получают некоторую основную информацию: какие другие компьютеры находятся в сети, а также их MAC/IP адреса. Как и в любой атаке, огромное количество времени обычно тратится на разведку. На этой ноте давайте перейдем к практической части нашей статьи.
Надеюсь, что вы перешли по ссылке, которую я приводил выше и загрузили копию программы Cain & Abel, т.к. сейчас мы ей воспользуемся. Из рисунка ниже вы можете увидеть, что у меня нажата кнопка, которая находится рядом с изображением папки.
Рисунок 2
После нажатия на эту кнопку запускается сетевой анализатор пакетов (packet sniffer). После того, как вы сделаете это, переместите курсор вашей мыши в белый раздел окна, т.е. на два сантиметра ниже кнопки, которую вы только что нажали для запуска сетевого анализатора пакетов. Нажмите правую кнопку мыши и появится всплывающее диалоговое окно. Просто выберите пункт “Scan MAC Addresses (сканировать MAC адреса)”. После этого в фоновом режиме начнут работу несколько процессов. Это как раз хорошее время, чтобы напомнить вам, что также в фоновом режиме у вас должен работать Snort, перед тем, как вы начнете определять MAC адреса с помощью Cain & Abel. Не беда, если вы еще его не запустили, просто настройте Snort и заново запустите определение MAC адресов. Ниже представлено то, что вы сообщит вам Snort.
==========================================================
Snort received 280 packets
Analyzed: 280(100.000%)
Dropped: 0(0.000%)
==========================================================
Breakdown by protocol:
TCP: 0 (0.000%)
UDP: 0 (0.000%)
ICMP: 0 (0.000%)
ARP: 256 (91.429%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 24 (8.571%)
DISCARD: 0 (0.000%)
===========================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===========================================================
Final Flow Statistics
,—-[ FLOWCACHE STATS ]———-
Memcap: 10485760 Overhead Bytes 16400 used(%0.156403)/blocks (16400/1) Overhead blocks: 1 Could Hold: (0)
IPV4 count: 0 frees: 0 low_time: 0, high_time: 0, diff: 0h:00:00s
finds: 0 reversed: 0(%0.000000)
find_sucess: 0 find_fail: 0 percent_success: (%0.000000) new_flows: 0
pcap_loop: read error: PacketReceivePacket failed
Run time for packet processing was 47.0 seconds
C:\Snort\etc>
Из всего представленного выше мы можем заключить, что Snort не обнаружил сканирование и сбор MAC адресов, которое производилось программой Cain & Abel. Ничего удивительного в действительности здесь нет, потому что мы не прописали такого правила в Snort. Вы можете это проверить, перейдя в директорию правил Snort (rules directory), а если более конкретно, к набору правил, касающихся сканирования (Scan ruleset). Я надеюсь, что сейчас кто-нибудь спросит меня, как конкретно выглядит пакет Cain & Abel при выполнении определения и сканирования MAC адресов. Не бойтесь, я также записал данные полученные с помощью tcpdump.exe. Пожалуйста, обратите внимание данные, которые представлены ниже.
10:28:46.890625 arp who-has 192.168.1.1 tell 192.168.1.107
0x0000: 0001 0800 0604 0001 000c 29b0 1654 c0a8 ……….)..T..
0x0010: 016b 0000 0000 0000 c0a8 0101 .k……….
10:28:46.890625 arp reply 192.168.1.1 is-at 00:0f:66:46:17:8a
0x0000: 0001 0800 0604 0002 000f 6646 178a c0a8 ……….fF….
0x0010: 0101 000c 29b0 1654 c0a8 016b 0000 0000 ….)..T…k….
0x0020: 0000 0000 0000 0000 0000 ead1 0cfb …………..
10:28:46.906250 arp who-has 192.168.1.2 tell 192.168.1.107
0x0000: 0001 0800 0604 0001 000c 29b0 1654 c0a8 ……….)..T..
0x0010: 016b 0000 0000 0000 c0a8 0102 .k……….
10:28:46.921875 arp who-has 192.168.1.3 tell 192.168.1.107
0x0000: 0001 0800 0604 0001 000c 29b0 1654 c0a8 ……….)..T..
0x0010: 016b 0000 0000 0000 c0a8 0103 .k……….
10:28:46.937500 arp who-has 192.168.1.4 tell 192.168.1.107
0x0000: 0001 0800 0604 0001 000c 29b0 1654 c0a8 ……….)..T..
0x0010: 016b 0000 0000 0000 c0a8 0104 .k……….
10:28:46.953125 arp who-has 192.168.1.5 tell 192.168.1.107
0x0000: 0001 0800 0604 0001 000c 29b0 1654 c0a8 ……….)..T..
0x0010: 016b 0000 0000 0000 c0a8 0105 .k……….
А теперь спелое красное яблоко отправиться к тому, кто может мне сказать, как Cain & Abel удалось получить MAC адреса по представленным выше данным. Т.к. эта статья не интерактивная, то ниже я приведу ответ. Первые два пакета ARP, которые мы видим выше, показывают, что определение/сканирование MAC адресов прошло успешно. Мы видим, что команда “arp who-has” для адреса 192.168.1.1 вышла, а затем пришел ответ “arp reply”, в котором содержится и IP адрес и MAC адрес для 192.168.1.1 Это ARP сканирование отработало прекрасно. Следуя этому, мы видели, что Snort не определил сканирования.
Cain & Abel – это чрезвычайно мощный инструмент с огромным количеством встроенной в него функциональностью. Поэтому вам стоит потратить время для того, чтобы изучить все его возможности. Он может нанести огромный ущерб вашей внутренней сети, если вы будете ее охранять неправильно. Цель этого цикла статей заключалась в том, чтобы показать вам некоторые опасные инструменты хакера и способы противодействия им. Эта информация может быть очень полезна как для системных администраторов, так и для аналитиков по вопросам безопасности. Каждая небольшая, полученная нами частичка знаний, поможет нам лучше обезопасит наши сети.
Также очень жизненно важно понять все, что могут такие инструменты, не только на теоретическом уровне. Вы должны также сами изучить, как они работают. После этого вы лучше сможете понять, как от них защититься. Также очень полезно написать несколько сигнатур, которые еще не написаны для этого инструмента. А такие знания можно получить лишь после изучения работы этих инструментов на пакетном уровне. Я уже говорил выше и скажу еще раз, не слишком полагайтесь на результат работы ваших инструментов. Всегда старайтесь получить настолько сырые результаты, насколько это возможно. В нашем случае, это был tcpdump.exe. На этом я хочу завершить свою статью, и как всегда надеюсь, что эта статья была полезна для вас. До новых встреч.
Источник www.windowsecurity.com
Tags: analyze, cache, mac, redirect, tcpdump