Salve utenti,
Oggi mi son proposto di scrivervi questa guida, per l'attacco di un sistema informatico e le tecniche per trovare le falle..
Le procedure di controllo utilizzate per scoprire eventuali vulnerabilità dei sistemi operativi, sono note come tecniche di auditing.
Un sottoinsieme dell’auditing sono poi i penetration test, che non si limitano all’identificazione delle carenze del sistema attaccato, ma cercano di mettere concretamente in atto la violazione, "iniettando" codice arbitrario eseguibile nel sistema remoto.
Obiettivo principale di questa serie di attacchi preventivi è dunque quello di sfruttare i punti deboli (detti anche bug o falle) del sistema operativo vittima, o di alcuni programmi in esecuzione su di esso, per prenderne il controllo.
Un approccio simile viene utilizzato da molti virus che sfruttano queste "carenze strutturali" per diffondersi rapidamente.
La differenza tra virus e penetration test è che mentre il primo inietterà codice malevolo, il secondo avrà il solo scopo di farci capire se questo sia possibile, permettendoci di valutare l’adozione di ulteriori sistemi di difesa. Alla base di questi attacchi vi è dunque l’arte di sfruttare i bug dei sistemi operativi.
Il termine che si usa è exploit e identifica proprio un codice eseguibile che, sfruttando un errore di programmazione, riesce ad infiltrarsi e a farsi eseguire sul computer remoto.
Partendo quindi dall’assioma che i bug saranno sempre presenti nei software(negarlo sarebbe un errore), quello che conta nel campo della sicurezza è capire quanto essi siano pericolosi e quanto veloci siano gli sviluppatori a porvi rimedio.
Da qui si comprende l’importanza di aggiornare costantemente i sistemi operativi.
Il periodo di rischio per il sistema è quello che va dalla scoperta della vulnerabilità a quando questa viene rimossa.
Logicamente, più ridotto sarà questo periodo, minori saranno le probabilità che qualcuno possa sfruttarlo per scopi illegali.
I penetration test sono notoriamente di dominio di esperti amministratori di rete o di cracker (è il termine corretto con cui si indica un utente esperto che compie azioni illegali violando sistemi altrui), ma con gli strumenti giusti diventa alla portata di tutti. La funzione principale del software
Metasploit Framework che utilizzeremo nel nostro articolo, è proprio quella di rendere relativamente semplice l’esecuzione di un attacco basato su exploit.
Ma con una semplice accortezza: per evitare di danneggiare altri computer, magari non nostri e quindi compiere azioni illegali, è opportuno eseguire i vari test in un “mondo ristretto”, composto da due computer virtuali, uno attaccante e uno vittima.
Il grimaldello per PC
Metasploit Framework contiene tutti gli strumenti necessari per sferrare vari tipi di penetration test
verso un computer vittima e deve quindi essere installato sul sistema attaccante.
Ecco come fare.
1)tutto l’occorrente
Eseguiamo il file framework-3.3.3.exe per avviare l’installazione.
Tutti i passaggi sono guidati e le impostazioni di default vanno bene per la maggior parte delle configurazioni.
Al termine del setup, una finestra di dialogo chiederà se installare anche il portscanner nmap v5.10: è consigliabile cliccare su Sì.
2)la prima esecuzione
Al termine dell’installazione verrà eseguita la Modalità console del programma:
in questo modo avremo la possibilità di verificare se l’installazione è andata a buon fine e il numero di exploit e
payload disponibili.
Digitiamo show all al prompt comandi msf che appare e premiamo Invio per scorrerne il ricco elenco.
Attacchi sotto controllo
L’interfaccia grafica di Metasploit Framework è in realtà una pagina Web che viene caricata automaticamente nel browser quando si avvia l’applicativo. Tutta l’interazione avviene mediante i pulsanti disposti nella parte alta.
1)EXPLOITS: Permette l’accesso alla procedura guidata per “scatenare” un attacco: è il punto di ingresso per ogni primo test
2) AUXILIARIES: Da qui sono accessibili moduli ausiliari per seguire singole azioni non dirette verso un target, come ad esempio la cattura delle parole chiave di autenticazione che passano via rete
3)PAYLOAD: Cliccando questo pulsante si avvia l’esecuzione diretta del codice da iniettare sul computer vittima
4) CONSOLE: Apre una finestra con cui utilizzare la modalità console di Metasploit, sicuramente la scelta migliore per gli utenti più esperti, ma poco pratica per chi utilizza per la prima volta questo tipo di strumenti.
5)SESSIONS: Qui sono elencati tutti gli exploit effettuati durante la sessione di test con i relativi
programmi in esecuzione remota. Cliccando su un elemento presente nella lista verrà aperta la relativa finestra con cui “lavorare” sul sistema violato
6)OPTIONS: Per gli irriducibili della personalizzazione, qui sono raccolte alcune skin da utilizzare per l’interfaccia di Metasploit
7)ABOUT: Visualizza una breve descrizione del programma e dei suoi autori
8)MONITOR:È l’area principale in cui verranno aperte dal framework le finestre necessarie per interagire con l’utente.
Attenzione agli antivirus
Poiché alcune funzionalità del programma utilizzano tecniche simili a quelle che i malware adottano per infettare i computer, può capitare che alcuni antivirus segnalino l’eseguibile di Metasploit e i file necessari al suo funzionamento come potenziali minacce:
si tratta solo di un falso allarme!
Per continuare indisturbati con i nostri test di sicurezza, è opportuno disabilitare temporaneamente il software di controllo, ricordandoci però di riattivarlo al termine delle operazioni e comunque prima di ricollegarci a Internet.
Le configurazioni di rete
Per portare a termine gli attacchi, bisogna conoscere gli indirizzi IP dei computer interessati
dal test, per ragioni di sicurezza si possono impostare i due pc virtuali all’infuori della nostra LAN.
Come impostare la scheda di rete in Virtual Box:
Selezionare la macchina virtuale, da Impostazioni -> Rete -> connessa a “ Scheda con Bridge”, ripetere anche con l’altra macchina virtuale.
Ora, se si configurano IP statici nella stessa rete ma all’infuori della nostra LAN, i due PC si vedono solo tra di loro ma non si collegano a Internet. Se configuriamo IP nella nostra LAN si vedono e si connettono a Internet con la nostra scheda di rete. (usando le dovute precauzioni non dovrebbe essere pericoloso).
Bridged Networking viene utilizzato quando si desidera che la vm debba essere un componente della rete a tutti gli effetti, ovvero di essere esposto sulla rete come l’host o come un qualsiasi altro PC sulla rete. In questa modalità, una scheda di rete virtuale è il “ponte” per la scheda di rete fisica sul vostro host, in questo modo:
Verifichiamo le condizioni
Per facilitare l’esecuzione del nostro primo test, è opportuno che sul sistema virtuale sia installato Windows xP con Service Pack 1. Prima di iniziare bisogna anche controllare che la LAN virtuale funzioni correttamente.
1)Quanto sei aggiornato?
Per verificare che sulla macchina virtuale sia installato Windows XP con Service Pack 1, clicchiamo col tasto destro del mouse sull’icona Risorse del computer del desktop virtuale e scegliamo la voce Proprietà dal menu contestuale che appare.
I dati si trovano nella scheda Generale sotto la voce Sistema.
2)fare tutto manualmente
Rimaniamo nella schermata delle Proprietà del sistema e facciamo clic sulla scheda Aggiornamenti automatici per aprirla.
Nella nuova sezione togliamo il segno di spunta dalla casella di controllo "Mantieni aggiornato il computer" per evitare che Windows scarichi automaticamente le patch di sicurezza.
3)la connessione è attiva!
Torniamo sul PC da cui sferrare l’attacco: da Start/Esegui digitiamo cmd e premiamo Invio per eseguire. Nella finestra del prompt dei comandi diamo il comando ping seguito dall’indirizzo IP della vittima target e premiamo Invio.
Nell’output devono apparire le risposte ricevute al ping.
Conoscere bene la vittima
Siamo pronti a prendere il pieno controllo da remoto del sistema virtuale per compiervi ogni sorta di "scorribanda" informatica. Per farlo, proveremo ad attivare un desktop remoto, ovviamente non autorizzato.
1)facciamo tutto via web
Dopo aver avviato le macchine virtuali , carichiamo l’interfaccia grafica di Metasploit per iniziare la procedura di violazione.
Dal menu Start del computer principale raggiungiamo la cartella Metasploit 3 ed eseguiamo lo script Metasploit Web. Il browser verrà avviato automaticamente.
2)Quale exploit usiamo oggi?
Per individuare il modulo da sfruttare per l’attacco, clicchiamo sul pulsante Exploit e digitiamone il nome nel campo SEARCH. Per il nostro test digitiamo ms08_067 e premiamo Invio in modo che appaia solo l’exploit Microsoft Server Service Relative Path Stack Corruption.
3)I comandi giusti
Clicchiamo sul nome dell’exploit e poi sull’opzione Automatic Targeting per identificare il sistema vittima. Nella nuova schermata dobbiamo scegliere il payload, ovvero il codice da eseguire sul PC vittima. Clicchiamo windows/vncinject/bind_tcp per prendere il controllo del desktop remoto.
4)Individuiamo la vittima
Nella schermata successiva inseriamo i parametri necessari all’attacco. Quelli fondamentali vengono indicati dalla scritta Required. Spostiamoci nella sezione STANDARD OPTIONS e, in corrispondenza di RHOST, digitiamo l’IP del computer vittima. Gli altri campi verranno compilati automaticamente.
5)che l’attacco abbia inizio
Scorriamo la pagina Web e clicchiamo sul pulsante Launch exploit: immediatamente verrà
scatenato l’attacco! La prima volta che lo eseguiamo, il firewall attivo sul nostro PC ci chiederà se tale attività sia voluta: spuntiamo l’opzione Reti private e poi attiviamo la regola cliccando su Consenti accesso.
6)tutte le fasi dell’exploit
In una nuova finestra del browser verrà mostrato l’evolversi dell’aggressione: dalla diagnosi
del tipo di target, all’apertura della sessione del codice malevolo (nel nostro caso un VNC Server, utile per prendere il controllo del desktop remoto).
Se l’attacco è in atto, apparirà la scritta Launched vncviewer.
7)Il controllo è totale
Terminata l’iniezione nel PC vittima di un server che usa il protocollo di comunicazione VNC,
verrà avviato un visualizzatore che permetterà di lavorare alla tastiera e al video remoti, senza averne ricevuto il "permesso" da parte della vittima. Chiudiamo la shell con lo sfondo blu digitando exit seguito da Invio.
8)lasciamo un segno
Nella schermata VNCShell in cui appare il desktop del computer che stiamo controllando, clicchiamo col tasto destro del mouse sul desktop e selezioniamo l’opzione Nuovo/Cartella dal menu contestuale che appare.
A questa directory assegniamo il nome attacco riuscito e poi premiamo Invio.
9)Il sistema target è compromesso
Terminiamo l’attacco chiudendo la schermata della VNCShell e spostiamoci sulla macchina virtuale su cui è ancora in esecuzione il SO compromesso. Sul suo desktop comparirà come per magia la cartella attacco riuscito, prova dell’avvenuto attacco...
Bene, la guida è a solo scopo informativo, ovviamente conoscendo questi tipi di attacchi sarete in grado di escogitare metodi per difendersi.
Non mi assumo nessuna responsabilità dell'uso di queste informazioni.
Bene, per ora è tutto, un saluto :bye:
Oggi mi son proposto di scrivervi questa guida, per l'attacco di un sistema informatico e le tecniche per trovare le falle..
Le procedure di controllo utilizzate per scoprire eventuali vulnerabilità dei sistemi operativi, sono note come tecniche di auditing.
Un sottoinsieme dell’auditing sono poi i penetration test, che non si limitano all’identificazione delle carenze del sistema attaccato, ma cercano di mettere concretamente in atto la violazione, "iniettando" codice arbitrario eseguibile nel sistema remoto.
Obiettivo principale di questa serie di attacchi preventivi è dunque quello di sfruttare i punti deboli (detti anche bug o falle) del sistema operativo vittima, o di alcuni programmi in esecuzione su di esso, per prenderne il controllo.
Un approccio simile viene utilizzato da molti virus che sfruttano queste "carenze strutturali" per diffondersi rapidamente.
La differenza tra virus e penetration test è che mentre il primo inietterà codice malevolo, il secondo avrà il solo scopo di farci capire se questo sia possibile, permettendoci di valutare l’adozione di ulteriori sistemi di difesa. Alla base di questi attacchi vi è dunque l’arte di sfruttare i bug dei sistemi operativi.
Il termine che si usa è exploit e identifica proprio un codice eseguibile che, sfruttando un errore di programmazione, riesce ad infiltrarsi e a farsi eseguire sul computer remoto.
Partendo quindi dall’assioma che i bug saranno sempre presenti nei software(negarlo sarebbe un errore), quello che conta nel campo della sicurezza è capire quanto essi siano pericolosi e quanto veloci siano gli sviluppatori a porvi rimedio.
Da qui si comprende l’importanza di aggiornare costantemente i sistemi operativi.
Il periodo di rischio per il sistema è quello che va dalla scoperta della vulnerabilità a quando questa viene rimossa.
Logicamente, più ridotto sarà questo periodo, minori saranno le probabilità che qualcuno possa sfruttarlo per scopi illegali.
I penetration test sono notoriamente di dominio di esperti amministratori di rete o di cracker (è il termine corretto con cui si indica un utente esperto che compie azioni illegali violando sistemi altrui), ma con gli strumenti giusti diventa alla portata di tutti. La funzione principale del software
Metasploit Framework che utilizzeremo nel nostro articolo, è proprio quella di rendere relativamente semplice l’esecuzione di un attacco basato su exploit.
Ma con una semplice accortezza: per evitare di danneggiare altri computer, magari non nostri e quindi compiere azioni illegali, è opportuno eseguire i vari test in un “mondo ristretto”, composto da due computer virtuali, uno attaccante e uno vittima.
Il grimaldello per PC
Metasploit Framework contiene tutti gli strumenti necessari per sferrare vari tipi di penetration test
verso un computer vittima e deve quindi essere installato sul sistema attaccante.
Ecco come fare.
1)tutto l’occorrente
Eseguiamo il file framework-3.3.3.exe per avviare l’installazione.
Tutti i passaggi sono guidati e le impostazioni di default vanno bene per la maggior parte delle configurazioni.
Al termine del setup, una finestra di dialogo chiederà se installare anche il portscanner nmap v5.10: è consigliabile cliccare su Sì.
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
2)la prima esecuzione
Al termine dell’installazione verrà eseguita la Modalità console del programma:
in questo modo avremo la possibilità di verificare se l’installazione è andata a buon fine e il numero di exploit e
payload disponibili.
Digitiamo show all al prompt comandi msf che appare e premiamo Invio per scorrerne il ricco elenco.
Attacchi sotto controllo
L’interfaccia grafica di Metasploit Framework è in realtà una pagina Web che viene caricata automaticamente nel browser quando si avvia l’applicativo. Tutta l’interazione avviene mediante i pulsanti disposti nella parte alta.
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
1)EXPLOITS: Permette l’accesso alla procedura guidata per “scatenare” un attacco: è il punto di ingresso per ogni primo test
2) AUXILIARIES: Da qui sono accessibili moduli ausiliari per seguire singole azioni non dirette verso un target, come ad esempio la cattura delle parole chiave di autenticazione che passano via rete
3)PAYLOAD: Cliccando questo pulsante si avvia l’esecuzione diretta del codice da iniettare sul computer vittima
4) CONSOLE: Apre una finestra con cui utilizzare la modalità console di Metasploit, sicuramente la scelta migliore per gli utenti più esperti, ma poco pratica per chi utilizza per la prima volta questo tipo di strumenti.
5)SESSIONS: Qui sono elencati tutti gli exploit effettuati durante la sessione di test con i relativi
programmi in esecuzione remota. Cliccando su un elemento presente nella lista verrà aperta la relativa finestra con cui “lavorare” sul sistema violato
6)OPTIONS: Per gli irriducibili della personalizzazione, qui sono raccolte alcune skin da utilizzare per l’interfaccia di Metasploit
7)ABOUT: Visualizza una breve descrizione del programma e dei suoi autori
8)MONITOR:È l’area principale in cui verranno aperte dal framework le finestre necessarie per interagire con l’utente.
Attenzione agli antivirus
Poiché alcune funzionalità del programma utilizzano tecniche simili a quelle che i malware adottano per infettare i computer, può capitare che alcuni antivirus segnalino l’eseguibile di Metasploit e i file necessari al suo funzionamento come potenziali minacce:
si tratta solo di un falso allarme!
Per continuare indisturbati con i nostri test di sicurezza, è opportuno disabilitare temporaneamente il software di controllo, ricordandoci però di riattivarlo al termine delle operazioni e comunque prima di ricollegarci a Internet.
Le configurazioni di rete
Per portare a termine gli attacchi, bisogna conoscere gli indirizzi IP dei computer interessati
dal test, per ragioni di sicurezza si possono impostare i due pc virtuali all’infuori della nostra LAN.
Come impostare la scheda di rete in Virtual Box:
Selezionare la macchina virtuale, da Impostazioni -> Rete -> connessa a “ Scheda con Bridge”, ripetere anche con l’altra macchina virtuale.
Ora, se si configurano IP statici nella stessa rete ma all’infuori della nostra LAN, i due PC si vedono solo tra di loro ma non si collegano a Internet. Se configuriamo IP nella nostra LAN si vedono e si connettono a Internet con la nostra scheda di rete. (usando le dovute precauzioni non dovrebbe essere pericoloso).
Bridged Networking viene utilizzato quando si desidera che la vm debba essere un componente della rete a tutti gli effetti, ovvero di essere esposto sulla rete come l’host o come un qualsiasi altro PC sulla rete. In questa modalità, una scheda di rete virtuale è il “ponte” per la scheda di rete fisica sul vostro host, in questo modo:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Verifichiamo le condizioni
Per facilitare l’esecuzione del nostro primo test, è opportuno che sul sistema virtuale sia installato Windows xP con Service Pack 1. Prima di iniziare bisogna anche controllare che la LAN virtuale funzioni correttamente.
1)Quanto sei aggiornato?
Per verificare che sulla macchina virtuale sia installato Windows XP con Service Pack 1, clicchiamo col tasto destro del mouse sull’icona Risorse del computer del desktop virtuale e scegliamo la voce Proprietà dal menu contestuale che appare.
I dati si trovano nella scheda Generale sotto la voce Sistema.
2)fare tutto manualmente
Rimaniamo nella schermata delle Proprietà del sistema e facciamo clic sulla scheda Aggiornamenti automatici per aprirla.
Nella nuova sezione togliamo il segno di spunta dalla casella di controllo "Mantieni aggiornato il computer" per evitare che Windows scarichi automaticamente le patch di sicurezza.
3)la connessione è attiva!
Torniamo sul PC da cui sferrare l’attacco: da Start/Esegui digitiamo cmd e premiamo Invio per eseguire. Nella finestra del prompt dei comandi diamo il comando ping seguito dall’indirizzo IP della vittima target e premiamo Invio.
Nell’output devono apparire le risposte ricevute al ping.
Conoscere bene la vittima
Siamo pronti a prendere il pieno controllo da remoto del sistema virtuale per compiervi ogni sorta di "scorribanda" informatica. Per farlo, proveremo ad attivare un desktop remoto, ovviamente non autorizzato.
1)facciamo tutto via web
Dopo aver avviato le macchine virtuali , carichiamo l’interfaccia grafica di Metasploit per iniziare la procedura di violazione.
Dal menu Start del computer principale raggiungiamo la cartella Metasploit 3 ed eseguiamo lo script Metasploit Web. Il browser verrà avviato automaticamente.
2)Quale exploit usiamo oggi?
Per individuare il modulo da sfruttare per l’attacco, clicchiamo sul pulsante Exploit e digitiamone il nome nel campo SEARCH. Per il nostro test digitiamo ms08_067 e premiamo Invio in modo che appaia solo l’exploit Microsoft Server Service Relative Path Stack Corruption.
3)I comandi giusti
Clicchiamo sul nome dell’exploit e poi sull’opzione Automatic Targeting per identificare il sistema vittima. Nella nuova schermata dobbiamo scegliere il payload, ovvero il codice da eseguire sul PC vittima. Clicchiamo windows/vncinject/bind_tcp per prendere il controllo del desktop remoto.
4)Individuiamo la vittima
Nella schermata successiva inseriamo i parametri necessari all’attacco. Quelli fondamentali vengono indicati dalla scritta Required. Spostiamoci nella sezione STANDARD OPTIONS e, in corrispondenza di RHOST, digitiamo l’IP del computer vittima. Gli altri campi verranno compilati automaticamente.
5)che l’attacco abbia inizio
Scorriamo la pagina Web e clicchiamo sul pulsante Launch exploit: immediatamente verrà
scatenato l’attacco! La prima volta che lo eseguiamo, il firewall attivo sul nostro PC ci chiederà se tale attività sia voluta: spuntiamo l’opzione Reti private e poi attiviamo la regola cliccando su Consenti accesso.
6)tutte le fasi dell’exploit
In una nuova finestra del browser verrà mostrato l’evolversi dell’aggressione: dalla diagnosi
del tipo di target, all’apertura della sessione del codice malevolo (nel nostro caso un VNC Server, utile per prendere il controllo del desktop remoto).
Se l’attacco è in atto, apparirà la scritta Launched vncviewer.
7)Il controllo è totale
Terminata l’iniezione nel PC vittima di un server che usa il protocollo di comunicazione VNC,
verrà avviato un visualizzatore che permetterà di lavorare alla tastiera e al video remoti, senza averne ricevuto il "permesso" da parte della vittima. Chiudiamo la shell con lo sfondo blu digitando exit seguito da Invio.
8)lasciamo un segno
Nella schermata VNCShell in cui appare il desktop del computer che stiamo controllando, clicchiamo col tasto destro del mouse sul desktop e selezioniamo l’opzione Nuovo/Cartella dal menu contestuale che appare.
A questa directory assegniamo il nome attacco riuscito e poi premiamo Invio.
9)Il sistema target è compromesso
Terminiamo l’attacco chiudendo la schermata della VNCShell e spostiamoci sulla macchina virtuale su cui è ancora in esecuzione il SO compromesso. Sul suo desktop comparirà come per magia la cartella attacco riuscito, prova dell’avvenuto attacco...
Bene, la guida è a solo scopo informativo, ovviamente conoscendo questi tipi di attacchi sarete in grado di escogitare metodi per difendersi.
Non mi assumo nessuna responsabilità dell'uso di queste informazioni.
Bene, per ora è tutto, un saluto :bye:
