第2部分 终端和服务器攻击
第4章 攻击Windows
4.1 概述
主要分为三个部分:
(1)取得合法身份前的攻击手段
(2)取得合法身份后的攻击手段
(3)Windows安全功能
4.2 取得合法身份前的攻击手段
远程攻陷一台Windows系统的途径包括:
认证欺骗
网络服务
客户端漏洞
设备驱动程序
4.2.1 认证欺骗攻击
1、猜测和篡改身份认证证书亦依然是获取Windows系统未经授权访问的最轻松途径之一。
2、远程攻击Windows系统的传统方法是攻击Windows的文件和打印共享服务,这项服务运行在SMB协议上。若系统开放了SMB服务,入侵系统最有效的方法是古老但有效的远程共享加载。
3、如果只用账户名去登录目标系统时不成功,不妨试试“DOMAINaccount”语法。
4、空白口令应该用两个连续的引号(“”)来表示。
5、自动化口令猜测的工具:
enum、Brutus、THC Hydra、Medusa、Venom Venom可以通过WMI(Windows设备管理器)实施攻击。
6、口令猜测工具TSGinder
默认情况下,TSGinder用来搜索管理员的口令,但要猜测其他用户名的口令就要用-u开关来指明。
7、暴力破解终端服务/远程桌面服务口令Rdesktop
运行在大多数UNIX平台上。
8、针对口令猜测的防范对策:
(1)使用网络防火墙来限制访问可能存在漏洞的服务
(2)使用Windows的主机级防火墙来限制这些服务的访问
(3)禁用不必要的服务
(4)制定和实施强口令策略
(5)设置账户锁定阈值,并确保该阈值应用于内建的管理员账号
(6)将账户登录失败事件记入日志,并定期查看事件日志文件
9、使用网络防火墙来限制对有漏洞服务的访问
在网络边界防火墙或路由器上阻断对不必要TCP和UDP端口的访问
10、使用Windows防火墙来限制对有漏洞服务的访问
防火墙规则定义了保护的级别,实施时需要充分了解允许使用什么应用和限制什么应用。
11、使用不必要的服务
在Windows Vista、Windows 7 和Windows2008 Sever上,网络协议可以被禁用或在网络连接文件夹中删除。
12、制定和实施强口令策略
账号策略可以在“控制面板|管理工具”下找到或直接运行。账号策略特性允许系统管理员强行切断用户与服务器的连接。
13、实现自定义TS登录标语
为了阻止简单终端服务口令破解攻击,可以为Windows登录设置自定义的法律声明。
TSGrinder通过使用-b选项依然可以在猜测口令之前获取到所有登录标语,这即便不能对口令猜测攻击起到任何作用,但是定制登录标语是公认的好习惯,也可以为法律诉讼提供潜在的依据。
14、改变默认的TS端口
另一种缓解TS口令猜测的方法是阻塞默认的终端服务器监听端口。
15、审核日志
启用审核功能,并且定期检查日志,看看是否有入侵者留下的证据。
涉及的相关工具:
Dumpel工具
可以分析远程服务器上的日志,最多可以同时对10个时间ID进行筛选
DumpEvt工具
可以把整个安全日志文件以合适与Access或SQL数据库的格式导出来,但是这个工具不能筛选特定的事件。
Event Comb工具——多线程工具
ELM工具
能够向Windows的所有版本以及非Windows系统的Syslog和SNMP提供集中的、实时的事件日志监控和通知功能。
16、窃听网络上的口令交换通信
窃听Windows的攻击工具有:
LM、NTLM和Kerberos
用于攻击LM身份认证协议的工具有:
Cain、LCP、John The Ripper Jumbo以及具有SMB数据包捕获功能的L0pthcrack。
17、针对Windows身份认证窃听的防范对策
(1)关键是禁用LM身份认证。
(2)减少Kerberos窃听攻击——选用更强的口令。
18、中间人攻击
SMBRelay能够捕获网络口令哈希值,并导入到破解工具中去。攻击者可以中转这一连接,并且可以连接回发起这一连接的客户端自身,或者连接回能够接受该客户端提供的证书信息的任意其他服务器。
常用的漏洞攻击:
攻击者迫使受害者连接和认证到攻击者自己的恶意SMB服务器上;HTML连接或者发送点在邮件将受害者诱骗到恶意的Web服务器上,通过使用SMB协议获得受害者的资料。
常用的工具:
Squirtle、SmbRelay3 Cain工具不能实施完整的MITM攻击。
在依赖于NetBIOS命名协议的环境中,采用名称欺骗的方法能够为MITM攻击打开方便之门。
19、针对MITM中间人攻击的防范对策
(1)如果通信双方属于同一活动目录(AD)域中的成员,并且通过TPSec策略实现了端点之间的安全连接,那么Windows防火墙规则就能提供经认证和加密保护的通信。
(2)为应对SMB证书反射攻击,要确保所有的系统已经采用了在微软安全公告MS08-068中的补丁。
(3)直接禁用Name Service服务(NBNS)服务
(4)如果不得不使用NBNS,那么在网络中部署一个主要和一个辅助的Windows因特网名字服务。
20、传递哈希
传递哈希是攻击者利用用户口令的LM和或NTLM的哈希值与远程服务器进行身份认证的一项技术攻击。
针对传递哈希攻击的防范对策 :采用深度防御技术是最好的武器。
21、传递Kerberos票证
传递Kerberos票证攻击是听过Windows证书编辑器时间的。
4.2.2 远程非授权漏洞发掘
1、远程非授权漏洞发掘意在寻找Windows软件本身的设计和配置漏洞。
2、网络服务漏洞发掘
常用工具:Metsasploit
Metsasploit是最流行的框架工具之一,也是一款功能强大的Windows安全测试工具。
针对网络服务器漏洞发掘的防范对策
(1)测试并及时安装补丁
(2)阻止或关闭有漏洞的远程服务
(3)启用日志和监控
(4)禁止访问有漏洞嫌疑的TCP/IP端口能够减少很多漏洞。
(5)事先对有漏洞的系统进行监控同时制定被攻陷后的应急响应预案非常重要。
常用的补丁管理工具——SMS
3、终端用户应用程序的漏洞发掘
漏洞模块中的任何一个都可以被攻击者用于把选择的有效载荷配置成按钮植入受害者的系统。
针对终端用户应用程序攻击的防范对策
(1)安装一个个人防火墙,最好包括对外部连接的管理。
(2)及时打上所有相关软件的安全补丁
(3)运行能够自动扫描系统的防病毒软件,同时定时更新防毒软件。
(4)在控制面板上,合理地配置Windows因特网选项。
(5)使用最小权限运行
(6)部署网络防火墙
(7)使用纯文本格式阅读电子邮件
(8)尽量安全的设置办公软件
(9)在使用因特网时保持高度警惕
(10)保持计算设备的物理安全性。
4、设备驱动程序漏洞发掘
为了使驱动程序的接口高效地访问硬件底层,这些设备的驱动程序需要在操作系统的最高权限内核模式运行。只有当网卡处于非关联状态下这种攻击才能成功。
针对驱动程序漏洞发掘的防范对策
(1)及时安装厂商发布的补丁
(2)高风险的环境中禁用容易遭受攻击的功能
(3)使用用户模式驱动程序框架(UMDF),让驱动程序以低权限的用户模式,通过专用的API访问系统内核。
4.3 取得合法身份后的攻击手段
4.3.1 权限提升
1、常用工具:Getadmin是针对Windows NT4的重要的权限提升攻击工具。Getadmin必须在目标系统本地以交互方式运行。
2、该攻击采用的基本技术是“DLL注入"。
3、最重要的权限提升进攻路线是Web浏览和电子邮件处理。
4、SYSTEM账户比Administrator账户的权限还要高。有了Administrator权限,获得SYSTEM权限的方法是:利用Windows的调度程序服务(Scheduler)打开一个命令行shell。
使用免费的psexec工具甚至允许以远程方式获得和使用SYSTEM权限。
5、提升权限的防范对策:
(1)在代码级修补
(2)检查交互登录权限
4.3.2 获取并破解口令
1、获取口令哈希值
在Windows系统上,口令哈希值都存放在Windows系统的安全账户管理器(SAM)里。SAM是Windows系统的要害,UNIX系统上与此相对的是/etc/passwd文件。破解SAM是权限提升攻击和信任关系攻击活动中最为重要的工具之一。
2、用pwdump工具提取口令哈希值
常用工具有:pwdump、pwdump3e、pwdump6
Pwdump系列工具利用了"dll注入"技术来把它本身的代码加载到另一个高优先级的进程空间里去,以便于提取口令的哈希值。
3、破解口令
破解口令可以细分为寻找薄弱的哈希算法,聪明地猜想、工具。
所有Windows口令哈希值还面临另外一个缺陷,即没有salt。
有两种方式为口令破解提供输入源:字典和暴力破解。
字典破解是最简单的破解模式。这种模式需要攻击者提供一个口令清单,依次对它们进行哈希计算并与哈希值清单逐个对比。
暴力破解是对使用给定字符集生成的随机字符串进行猜测。
时间-内存技术基本原理:将所有破解所需的运算工作预先加载到预计算所谓的彩虹哈希值表,同时采用了字典和暴力破解方法。
在windows平台上常用的口令破解工具:
LCP、Cain和基于彩虹表的Ophcrack
CacheDump工具可以自动把缓存在机器里的登录信息提取出来,Cain也有一个内置的登录信息缓存提取工具。
4、口令破解攻击的防范对策:
(1)在安全策略中设置“口令最大长度”为8位
(2)安全防范对策还包括限制口令重用和更新过期口令的策略。
(3)设置关闭对LM密文进行保存的功能。
5、获取缓存中的口令
LSA缓存处于注册表里的HKEYLOCALMACHINESECURITYPolicySecrets子键下,收录一下信息:
(1)服务账号的明文口令
(2)最近10位用户的口令哈希值也缓存在这里
(3)FTP和Web用户的明文口令
(4)Remote Access Services拨号账户的名字和口令
(5)用来访问域的计算机账户口令
6、针对从缓存中获取口令的防范对策
(1)只能是不让攻击者获得Administrator级权限
(2)要尽量避免在本地机器上用高权限的域账户来启动和运行各种服务
(3)修改注册表信息,价格Winlogon修改为0时,移动用户在不能访问呢域控制器的时候会无法登录。
7、导出内存中的哈希值
WCE可以是出由Windows认证子系统存储在内存中的认证证书。
针对导出内存中的哈希值的防范对策:
域管理员应该避免使用RDP连接到未知或者有安全隐患的系统,以确保自己口令哈希值的安全。
4.3.3 远程控制和后门
1、后门:一旦获得了Administrator权限,并获得了口令,入侵者一般会采用各种能远程控制的服务对控制系统的能力进行巩固。
2、命令行远程控制工具
netcat是最简便易用的远程控制后门之一,可以被配置成监听某个特定的端口并在有远程系统连接到这个端口时启动一个可执行程序。以隐秘模式启动netcat的语法如下:
nc -L -d -e cmd.exe -p 8080
想访问SMB服务,psexec将是最佳工具。
对基于浏览器的攻击,Metasploit也提供利用ActiveX漏洞的方法,可通过HTTP连接中的隐藏IEXPLORE.exe进程来执行。
3、图形化远程控制工具
常用工:VNC(virtual network computer)
4.3.4 端口重定向
1、基于shell命令的远程控制程序,使用它们的前提是必须有一条直接的远程控制连接。原理是:对指定端口进行监听,把发给这个端口的数据包转发到指定的第二目标。
2、fpipe工具
是一个TCP源端口转发/重定向工具。可以创建一个TCP数据流并允许指定一个源端口。
基本功能是端口重定向。最酷的功能是能够为连接通道指定一个源端口。
4.3.5 掩盖入侵痕迹
1、关闭审核功能
常用工具:Resource Kit工具暴力的auditpol程序可以让他们轻而易举地关闭审核功能。
2、清理事件日志
常用工具:elsave程序,就是一个能够清除事件日志的工具。
3、隐藏文件
(1)attrib命令
隐藏文件最简单的办法是把文件拷贝到一个子目录,再用古老的DOS命令attrib把它隐藏起来
attrib +h [directory]
但只要在资源管理器中选“显示所有文件”选项就能查看它们。
(2)额外文件流
目标系统使用的NTFS文件系统。可以使用“黑客管理工具箱”toolkit——隐藏为文件中的信息流。
4、针对额外文件流的防范对策
常用工具:sfind程序可以发现NTFS文件流、Rootkit
4.3.6 通用防御措施:攻击者已经可以“合法地”登录到你的系统时该怎么办
1、在系统中的最高权账户被窃取之后,最好的对策是用值得信赖的备份开始重新安装系统软件。
2、文件名
仔细核查root.exe、sensepost.exe以及各种与cmd.exe文件长度类似的文件。
用于侦测和防止驻留在系统中的恶意文件的经典机制之一是:加装防恶意软件。
3、注册表项
使用命令行程序REG.EXE可以轻松地删除本地系统和远程系统上的这些主键。
4、进程
Scheduler服务用来启动恶意进程,Scheduler还可以用来获得某个系统的远程控制权和使用全能的SYSTEM账户启动各种进程。
5、端口
定期使用netstat命令检查有没有来历不明的连接是发现后门的最佳办法。
4.4 Windows安全功能
4.4.1 Windows 防火墙
保留了“exception”设置项,新增加了一个“Advanced”选项卡,可通过群组策略去配置防火墙。
4.4.2 自动更新
对外部攻击的最重要手段就是及时打上微软发布的补丁和服务包。
4.4.3 安全中心
安全中心可以让你集中查看和配置关键的系统安全功能:防火墙、自动更新、防病毒、因特网选项。
4.4.4 安全策略与群组策略
安全测试设置主要是针对独立的计算机。
GPO是对使用Windows 2000 及之后版本的大规模网络进行安全配置的终极手段,用secedit工具立刻刷新有关策略。
4.4.5 微软安全软件MSE(Microsoft Security Esstentials)
微软安全软件MSE包含了实时保护、系统浏览和清理、木马保护、因特网检查系统和自动更新功能。
4.4.6 加强减灾经验工具包
加强减灾经验工具包允许以每一个进程为基础启用或禁止这些技术。
4.4.7 Bitlocker和EFS
1、加密文件系统EFS是一种基于公开密钥的加密机制,能够实时、透明地对磁盘上的文件级数据进行加密,必须存在一个数据恢复代理。系统中默认的数据恢复代理是本地管理账户。
EFS能够让使用者在无需进行访问权限检查的情况下物理访问NTFS卷上的文件。
2、Bitlocker驱动加密工具能偶阻止针对EFS进行口令重设的离线攻击。
4.4.8 Windows资源保护(WRP)
1、依靠访问控制列表ACL为系统提供实时保护。
2、在默认配置下,只有如下操作才会替接受WRP保护的文件。
3、WRP的一个明显弱点是管理员账号能够更改呗保护资源的ACL,其主要目的是为了防止第三方安装软件修改对系统稳定性有重要影响的文件。
4.4.9 完整性级别(Integrity Level)、UAC和PMIE
执行某些要求具有管理员权限的操作会引发进一步的身份认证,这个认证权限要高于标准用户关联的访问令牌。
4.4.10 数据执行保护:DEP
DEP机制由硬件和软件协同构成,DEP机制将在满足其运行要求的硬件上自动运行,会把内存中的特定区域标注为“不可执行去”。实现了基于软件的DEP机制去阻断各种利用Windows异常处理机制中的漏洞的攻击手段。
4.4.11 Windows服务安全加固
Windows服务程序进行安全强化的5个内容:
(1)服务资源隔离
(2)最小权限服务
(3)服务重构
(4)限制网络访问
(5)会话0隔离
4.4.12 基于编译器的功能加强
1、GS是一个编译时技术,用来防止Windows平台堆栈缓冲溢出而产生漏洞,GS通过在本地变量和返回地址之间的堆栈上放一个随机值来达成这个目标。
2、SafeSEH工具:主要用来确保异常处理不被黑客利用
3、设计地址空间布局随机化(ASLR)的目的是用它来消减黑客预测内存地址从而获取大量有用的指令和控制信息的能力。
关于实践
Netcat工具
netcat工具可用于Windows系统和linux系统,将和下一章的内容一起总结。