ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12389
Скачиваний: 24
461
не могло быть за компьютером - в этом случае в свойствах файлов не
засветится реальная дата попытки проникновения в систему. Да, и не
забывайте подчищать следы своей деятельности в системном журнале
событий. Впрочем, все, что происходит при загрузке ПК с дискеты или до
регистрации
пользователя,
никоим
образом
аудитом
не
зафиксируется.Теперь на любом доступном ПК запускаем в LC+4
непосредственно сам подбор паролей по полученным хэшам и при удачном
стечении обстоятельств через несколько часов имеем полный список
учетных записей локального ПК вместе с их паролями. Сам процесс подбора
паролей по снятому дампу вряд ли есть смысл описывать - вся методология
достаточно подробно разжевана в документации к программе LC+4. С умом
выбранные настройки процесса подбора, основанные на наличии минимума
информации об установленном пароле (какая раскладка, есть ли цифры,
сколько букв), или большой словарь значительно сокращают необходимое
программе время. Скажу лишь, что даже такой длинный - 14 букв - пароль,
как slonhobotastiy, вычисляется часа за три-четыре на машине двухлетней
давности (а вот кажущийся более сложным пароль gjkmpjdfntkm - за одну
секунду, догадайтесь почему). Обратите внимание, что в зарубежных
программах, выполняющих снятие дампа хэшей паролей, имеется ошибка, не
позволяющая получить достоверные хэши паролей, если в операционной
системе имеются учетные записи с нелатинскими буквами в именах. В
программе LC+4 эта ошибка отсутствует, а потому нет смысла использовать
буржуйские аналоги. Единственный вариант, когда может пригодиться
импортный LC4, - перехват аутентификационных пакетов в сети.
Как же защититься от подбора пароля, если вы все же не смогли
предотвратить взлом CMOS и загрузку ПК со сменного носителя? Самый
надежный способ, который сведет на нет все усилия хакера по снятию дампа
или копированию файлов реестра, - это использование очень длинного
пароля. Почему-то считается, что пароль, состоящий из случайных букв и
символов, взломать сложно. Это не так. Какой бы сложный пароль вы ни
выбрали, если его длина составляет меньше 15 букв, то вычислить его вполне
реально, поскольку по умолчанию в Windows 2000 хранится два хэша одного
и того же пароля - NT-хэш и LM-хэш. LM-хэш используется для
совместимости с другими операционными системами - Windows 3.11,
Windows х и OS/2, и он содержит информацию о пароле без учета регистров
букв, что серьезно упрощает восстановление пароля! Более того, в LM-хэше
независимо друг от друга шифруются первые семь букв пароля и вторые
семь букв, то есть фактически нужно подобрать всего лишь два семи-
буквенного пароля, в которых не различается регистр букв. А вот если вы
будете устанавливать пароль длиной 15 букв, или еще больше, то легкий для
462
взлома LM-хэш не будет использоваться (он будет соответствовать пустому
паролю), и парольные взломщики SAMinside и LC+4, а также импортная
LOphtCrack его либо вообще не смогут вычислить в силу особенностей
шифрования, либо им потребуются месяцы и годы беспрерывной работы.
Правда, передачу по сети LM-хэ-ша и его сохранение в реестре можно
отключить и принудительно, даже если длина пароля меньше 15 символов.
Для этого используйте диалоговое окно Групповая политика - gpedit.msc или
редактор политик безопасности secpol.msc. Откройте раздел Конфигурация
компьютера > Конфигурация Windows > Параметры безопасности >
Локальные политики > Параметры безопасности, здесь необходимо изменить
значение параметра Уровень проверки подлинности LAN Manger (LAN
Manager Authentication Level), выбрав использование только протокола
NTLMv2 и Network security: Do not store LAN Manager hash value on next
password change, установив для него Enabled. В Windows 2000 последний
параметр придется установить напрямую в реестре, редактор политик это не
позволяет.
Надо лишь создать такой подраздел:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaNoLMHash
После проведения этих операций перегрузите ПК и непременно смените все
пароли, чтобы "убить" LM-хэш. Но в любом случае главное - длина
пароля!Кроме того, полезно будет ужесточить и другие политики паролей,
для этого откройте диалоговое окно Групповая политика > Конфигурация
компьютера > Конфигурация Windows > Параметры безопасности >
Политики учетных записей > Политика паролей и измените имеющиеся там
параметры в соответствии с вашими представлениями о защите системы. К
сожалению, установить минимально разрешенную длину пароля более 14
символов с помощью редактора политик Windows 2000 невозможно, а ведь
максимальная длина пароля в этих ОС - 128 символов! Конечно, имеется
масса рекомендаций по придумыванию наиболее устойчивого (в том числе к
подсматриванию через плечо) и при этом легко запоминаемого пароля -
одновременное использование букв разного регистра, цифр и символов
(ВасяСиДоРоФФ140$$); применение несуществующих или составных слов
(ГлавСнабГанджо-бас); записывание русских слов в английской раскладке
(:ehyfk Fguhtql); применение специальных символов типа вертикальной
черты, вводимой клавишами Ctrl+Backspace. Пробелы и прочие символы
типа тех, что можно задать только при нажатии клавиши Alt и вводе
цифрового кода, еще больше осложняют вычисление пароля. Например, для
ввода символа "возврат каретки", который не воспринимает программа
LOphtCrack, нажмите клавиши Alt+0+1+З на цифровой панели клавиатуры, а
463
для ввода символа неразрывного пробела - Alt+0+1+6+0. Но, опять повторю,
главное условие - длина пароля должна составлять более 14 букв! Чем
длиннее пароль, тем он надежнее.
2.3. Захват привилегий
После снятия дампа программа LC+4 показывает наличие пароля, длина
которого составляет более 14 букв, то нет смысла пытаться его вычислять.
Гораздо проще назначить своей собственной учетной записи максимум прав
или создать нового пользователя с правами администратора. Достаточно с
помощью Offline NT Password & Registry Editor прописать в реестре запуск
cmd.exe вместо scrnsave.scr (или просто переименовать cmd.exe в
scrnsave.scr), и вы получите командную строку с максимумом прав. Но этот
способ не очень удобен и в зависимости от версии Windows NT далеко не
всегда срабатывает. Есть способ гораздо лучше. А именно - программа
DebPloit (www.anticracking.sk/EliCZ/bugs/DebPloit.zip), которую без особого
труда можно найти в Интернете. Программа эта относится к классу
эксплоитов, то есть использует одну из известных уязвимостей Windows
2000, и после ее запуска в обычном сеансе пользователя с ограниченными
правами вы опять-таки получаете командную строку с правами
администратора. Из этой консоли можно вызвать любую другую программу,
например диалоговое окно Управление компьютером, и в меню Локальные
пользователи и группы добавить себя в группу администраторов, создать
нового пользователя или сменить пароль администратора. После того, как вы
используете права администратора по полной программе, не забудьте все
вернуть на место. Учтите только, что эксплоит DebPloit детектируют многие
антивирусы (хотя никаких деструктивных функций он сам по себе не
выполняет), что вполне логично. Поэтому, если в вашей системе установлена
антивирусная программа и вы не хотите, чтобы админ получил оповещение о
попытке запуска DebPloit, то перед использованием эксплоита антивирус
отключите. Для этого опять нужно загрузить ERD Commander или Offline NT
Password & Registry Editor и напрямую в реестре установить параметры,
выключающие антивирус. Какие это параметры для каждого конкретного
антивируса, вам придется выяснить заранее, установив на своем собственном
ПК с такой же ОС точно такой же антивирус и, отслеживая с помощью
деинсталлятора Ashampoo Uninstaller все изменения в реестре, определить,
какой параметр меняется при включении-выключении антивируса. Очень
распространенный в отечественных локальных сетях Norton Antivirus версии
7.61
Corporate,
например, отключается совершенно
элементарно:
464
HKEY_LOCAL_MACHINESOFTWAREINTELLANDeskVirusProtect6
CurrentVersionStoragesFilesystemRealTimeScan "OnOff"=dword:00000000.
Более свежие версии NAV 2002 и 2003 отключаются немного по-другому, но
еще проще:
HKEY_LOCAL_MACHINESYSTEMСиrrentControlSetServices
avapsvc
"Start"=dword: 00000003.
Уязвимость, которой пользуется DebPloit, присутствует в Windows 2000
вплоть до SP2. В третьем сервис-паке (а точнее, в одном из хотфиксов,
вышедшем после SP2) она была исправлена. Но и это нас не остановит!
Оказывается, в случае с DebPloit уязвим файл SMSS.EXE, а потому нам
ничего не стоит просто взять более старую версию этого файла из
дистрибутива Windows 2000 (или даже из SP2) и скопировать его в
%SystemRoot%system32 с помощью IMTFS for DOS Pro, предварительно
сохранив исходный файл. После того, как необходимость в DebPloit отпадет,
опять же верните исходный файл на место, таким образом убрав следы в
реестре.
Еще
один
аналогичный
эксплоит
-
GetAdm2
(smbdie.narod.ru/soft/exploit/getad/getad.rar) работает даже в Windows XP!
Принцип все тот же: запускаете сразу после перезагрузки ПК эксплоит, а он
уже загружает консоль с правами системы. Вы перетаскиваете в ее окно
значок C:WinNTSysyem32lusrmgr.msc, жмете Enter и получаете диалог Local
Users and Groups, в котором вносите себя в группу Administrators. И все!
Взлом Windows фактически занял две минуты... Если только антивирус не
заверещал... В Windows XP SP1 уязвимость, которой пользуется GetAdm2,
пофиксена, но при желании вы можете попробовать выяснить, обновление
какого файла прикрыло "дырку" GetAdm2. Думаю, что подмена старой
версией этого файла, как и в случае с DebPloit, вернет все на свои
места.Поскольку DebPloit и GetAdm2 далеко не первые эксплоиты для
Windows NT, боюсь, они далеко и не последние. В борьбе с такими
программами поможет только хороший, ежедневно обновляемый антивирус
да своевременная установка обновлений операционной системы и
прикладных
программ.
Не
помешает
и
регулярное
посещение
специализированных веб-ресурсов, посвященных вновь открытым уяз-
вимостям Windows, и даже хакерских сайтов.
2.4. Сброс пароля
В принципе, существуют и еще более простые способы получения прав
администратора, но они предназначены, скорее, для самих администраторов,
забывших или потерявших установленные пароли. Дело в том, что почти в
465
любой системе можно без особого труда просто сбросить, отменить или
изменить любой пароль. Для этого удобнее всего использовать программу
ERD Commander или тот же Offline NT Password & Registry Editor. Умеют
сбрасывать пароли локальных учетных записей также такие универсальные
программы,
как
О&О
BlueCon
XXL
(oo-
software.com/en/products/oobluecon/index.html), в составе которого, между
прочим, имеется еще и неплохой консольный редактор реестра и похожего
назначения утилита CIA Commander (www.matcode.com/ciacmd.htm). Хотя
имеются и несколько устаревшие аналоги, больше подходящие для Windows
NT 4: NTAccess (www.mirider.com/ntaccess.html), утилита NTFS driver &
Change a NT password (www.cgsecurity.org/ntfs.zip). Но опять-таки надо
учитывать, что практически все эти программы очень не любят, когда имя
учетной записи записано кириллицей (Администратор), и в этих случаях
могут возникнуть серьезные проблемы с последующей загрузкой ПК.
Поэтому прежде чем пойти на такой шаг, проведите эксперимент с вашей
версией подобной программы на тестовом ПК. Впрочем, изменить пароль с
минимумом усилий помогут и описанные выше эксплоиты DebPloit и
GetAdm2. Удаление же файла SAM, которое забывчивым администраторам
почему-то очень часто советуют в различных веб-конференциях для сброса
паролей, приведет всего лишь к невозможности загрузить операционную
систему, поэтому даже пытаться это делать бессмысленно. А вот еще один
интересный способ сбросить пароль администратора заключается в замене
системной библиотеки MSV1_O.DLL на ее пропатченную версию, в которой
отключена проверка пароля при авторизации пользователя в системе.
Фактически, необходимо таким образом исправить код этой библиотеки,
чтобы изменить порядка десяти условных переходов на безусловные.
2.5. Взлом вторичных паролей
Различных привлекательных для потенциального хакера паролей в Windows
может быть очень много, дело тут не ограничивается только лишь паролями
учетных записей. Нередко пользователю или администратору бывает
необходимо "вспомнить" пароль, установленный в настройках удаленного
доступа, то есть имя пользователя и пароль для выхода в Интернет через
модем. После получения администраторского пароля это, я думаю, вторая по
важности задача. И тут, к сожалению ответственных за безопасность
работников, дела с защитой совсем плохи. Даже в Windows ХР, в которой
Microsoft пошла на беспрецедентный шаг по защите паролей Dial-Up -
заменила звездочки на кружочки в диалоговых окнах, пароли удаленного
доступа вскрываются за доли секунды. И делает это программа Dialupass