Analisando um Ataque (Parte 2)

Analisando um Ataque (Parte 1)

Dom Parker

Mostramos na primeira parte as informações que podem ser observadas ao abrir a sequência de pacotes enviada pelo Nmap. A sequência enviada começa com uma resposta de eco ICMP para determinar se o computador ou a rede recebeu um endereço IP.

Além disso, também podemos supor que a rede do computador atacado é uma rede baseada em Windows observando o ttl no pacote de resposta de eco ICMP que ele envia de volta. O que deve ser feito agora é continuar observando os pacotes restantes no scanner Nmap e descobrir as informações restantes para poder conhecer o perfil da rede vítima.

Continuar

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Os dois pacotes acima vêm depois dos pacotes ICMP que observamos na parte 1. O Nmap enviou um pacote ACK para o IP da rede da vítima 192.168.111.23 na porta 80. Como são informações falsificadas, não temos uma visão completa aqui. Observa-se apenas que o pacote ACK recebido do invasor era um pacote RST em resposta, já que esse ACK não era esperado. Essencialmente, não faz parte de uma conexão previamente estabelecida. Ainda temos um ttl de 128 correspondente ao ttl observado antes.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,..@.......o.
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Após a troca de pacotes ACK e RST, podemos ver que um pacote SYN real foi enviado do hacker para a rede da vítima, conforme evidenciado no pacote com o S em negrito. Isso nos permite deduzir que o pacote SYN/ACK está retornando da rede da vítima em sua porta 21. Essa troca é então encerrada pelo envio de um pacote RST do computador do hacker para a rede da vítima. Esses três pacotes agora contêm muitas informações sobre a falsificação.

Também temos ttl 128 da máquina da vítima, mas também win64240. Embora esse valor não esteja listado, é de fato um tamanho que já vi muitas vezes antes no Win32 (versões de 32 bits do Microsoft Windows, como Win NT, 2K, XP e 2K3). Outra limitação dos computadores Windows é que eles são imprevisíveis quanto ao número de IDs de IP. Neste caso, temos apenas um valor de ID IP. Precisamos de pelo menos mais um valor antes de podermos dizer com segurança que este computador é um computador Microsoft Windows. Observe que você deve observar os pacotes restantes da varredura do Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,..@.......o.
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

A primeira informação que o hacker analisa é se o número do ID do IP aumenta para 399. Esse IP DI é de fato 399, como podemos observar no meio do pacote. Com essas informações, o hacker fica bastante confiante de que o computador da vítima que ele está atacando é Windows NT, 2K, XP ou 2K3. Também é observado nesta sequência de pacotes que a porta 80 na rede da vítima parece ter um serviço, como evidenciado pelo pacote SYN/ACK, o pacote SYN/ACK é determinado examinando o campo de sinalizador no cabeçalho TCP, neste caso o valor hexadecimal sublinhado é 12 ou 18 em decimal. Este valor pode ser detectado adicionando o valor do sinalizador SYN 2 ao valor do sinalizador ACK 16.

Enumeração

Quando o hacker sabe que as portas 21 e 80 estão abertas para a empresa, ele entrará no estado de enumeração. O que ele precisa saber agora é que tipo de servidor web está escutando conexões. Não faria sentido para esse hacker usar uma vulnerabilidade do Apache em um servidor web IIS. Com isso em mente, o invasor abrirá uma sessão cmd.exe e descobrirá o tipo de rede.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Podemos observar o tipo de rede marcado acima ou a sintaxe nc.exe que o hacker digita no endereço IP da vítima, bem como na porta 80. Uma vez dentro, o hacker digitará o HTTP do método GET seguido por algumas frases gramaticalmente incorretas. Essa ação pode fazer com que o servidor web da rede da vítima envie informações de volta ao seu sistema quando não entende qual é a solicitação. É por isso que eles naturalmente listam as informações necessárias aos hackers. O hacker agora pode ver que está no Microsoft IIS 5.0. Notícias ainda melhores porque os hackers têm vários exploits para esta versão.

Conclusão

Ao realizar uma varredura na rede da vítima usando o Nmap, o hacker pode então receber uma série de pacotes de dados importantes. Dentro desses pacotes de dados, como vimos, há muitas informações para que hackers explorem vulnerabilidades na arquitetura, no sistema operacional, no tipo de rede e no tipo de servidor.

Resumindo, dessa forma, os hackers podem obter informações importantes sobre o host, a arquitetura e os serviços fornecidos. Com essas informações em mãos, o hacker pode lançar um ataque ao servidor web da rede da vítima. Na seção a seguir, apresentaremos mais sobre quais ataques os hackers podem usar para atacar usuários neste caso.

Analisando um Ataque (Parte 3)