Компоновка и использование набора инструментов для расследования хакерских атак, то есть для "живого ответа" в системе Windows
Netstat
Инструмент Netstat отображает информацию о прослушивании и о текущих сетевых подключениях для машины-жертвы. Эта команда дает информацию о текущих подключениях и прослушивающих приложениях, которая помогает обнаружить подпольную деятельность и черный ход (backdoor) на машине-жертве. Инструмент Netstat может располагаться в каталоге C:\winnt\system32\netstat.exe на надежной машине с системой Windows NT или 2000.
Реализация
Использовать этот инструмент довольно просто. Наберите следующую команду, чтобы отыскать подключенные IP-адреса и всю информацию, касающуюся открытых портов взломанной системы:
D:\netstat -an
По флагу -a отображается вся сетевая информация, а флаг -n позволяет DNS-системе не выполнять обратный поиск внешних IP-адресов, перечисленных в выводе.
Следующий вывод был перехвачен после того, как инструмент Netstat был запущен на машине-жертве (в примере, приведенном в разделе "Пример из жизни" (в конце лекции)).
Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:7 0.0.0.0:0 LISTENING TCP 0.0.0.0:9 0.0.0.0:0 LISTENING TCP 0.0.0.0:13 0.0.0.0:0 LISTENING TCP 0.0.0.0:17 0.0.0.0:0 LISTENING TCP 0.0.0.0:19 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:25 0.0.0.0:0 LISTENING TCP 0.0.0.0:42 0.0.0.0:0 LISTENING TCP 0.0.0.0:53 0.0.0.0:0 LISTENING TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:443 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:515 0.0.0.0:0 LISTENING TCP 0.0.0.0:548 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING TCP 0.0.0.0:1034 0.0.0.0:0 LISTENING TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING TCP 0.0.0.0:1038 0.0.0.0:0 LISTENING TCP 0.0.0.0:1044 0.0.0.0:0 LISTENING TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING TCP 0.0.0.0:3940 0.0.0.0:0 LISTENING TCP 192.168.1.103:139 0.0.0.0:0 LISTENING TCP 192.168.1.103:1041 0.0.0.0:0 LISTENING TCP 192.168.1.103:1041 192.168.1.1:139 ESTABLISHED TCP 192.168.1.103:62875 0.0.0.0:0 LISTENING TCP 192.168.1.103:62875 192.168.1.1:2953 ESTABLISHED UDP 0.0.0.0:7 *:* UDP 0.0.0.0:9 *:* UDP 0.0.0.0:13 *:* UDP 0.0.0.0:17 *:* UDP 0.0.0.0:19 *:* UDP 0.0.0.0:42 *:* UDP 0.0.0.0:68 *:* UDP 0.0.0.0:135 *:* UDP 0.0.0.0:161 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1033 *:* UDP 0.0.0.0:1035 *:* UDP 0.0.0.0:1037 *:* UDP 0.0.0.0:1039 *:* UDP 0.0.0.0:1645 *:* UDP 0.0.0.0:1646 *:* UDP 0.0.0.0:1812 *:* UDP 0.0.0.0:1813 *:* UDP 0.0.0.0:3456 *:* UDP 127.0.0.1:53 *:* UDP 127.0.0.1:1030 *:* UDP 127.0.0.1:1031 *:* UDP 127.0.0.1:1032 *:* UDP 192.168.1.103:53 *:* UDP 192.168.1.103:67 *:* UDP 192.168.1.103:68 *:* UDP 192.168.1.103:137 *:* UDP 192.168.1.103:138 *:* UDP 192.168.1.103:500 *:* UDP 192.168.1.103:2535 *:*18.2.
Имея эту информацию, мы видим, что открыт порт TCP 62875, так же, как мы увидели это с помощью fport. Кроме того, мы видим, что IP-адрес 192.168.1.1 в настоящее время связан с этим портом. Это говорит о том, что кто-то все еще может находиться на нашей машине!
Можно заметить, что оба IP-адреса находятся в пределах одной и той же сети. На основе этой информации можно сделать два заключения: либо взломщик является "посвященным лицом", либо он взломал другую машину в пределах вашей сети и атакует с этой машины. В обоих случаях, этот сценарий - не из лучших!
Nbtstat
Nbtstat является инструментом NetBIOS, который также устанавливается с операционной системой Windows. Nbtstat.exe, подобно Netstat, может располагаться в каталоге C:\winnt\system32\nbtstat.exe. Хотя Nbtstat обеспечивает много функциональных возможностей, нас интересует его использование только для перечисления кэша имен NetBIOS в пределах компьютера-жертвы. Кэш имен NetBIOS дает список компьютеров, которые имели соединения по протоколу NetBIOS, то есть через Microsoft Windows File and Print Sharing (Служба совместного использования файлов и печати) в пределах короткого времени, обычно, менее 10 минут. Если в этом списке вы видите машины, которые не ожидали увидеть, вы, возможно, захотите провести дальнейшее расследование, в зависимости от того, расположены ли машины внутри или вне вашей сети.
Реализация
Для нашего живого ответа утилита Nbtstat выполняется со следующими опциями:
D:\> nbtstat -c
Ключ -c перечисляет все имена NetBIOS, имеющиеся в настоящее время в кэше машины-жертвы. Поэтому, если какие-либо NetBIOS-подключения были сделаны между какой-либо машиной и машиной-жертвой во время деятельности хакера, они могут быть замечены в выводе утилиты Nbtstat, если они произошли недавно.
Следующий вывод демонстрирует результаты действия этой команды на машине-жертве.
Local Area Connection: Node IpAddress: [192.168.1.103] Scope Id: [] NetBIOS Remote Cache Name Table Name Type Host Address Life [sec] ---------------------------------------------------------------- FREEBSD 20 UNIQUE 192.168.1.1 190
Мы не можем идентифицировать здесь никакой подозрительной деятельности, поскольку IP-адрес 192.168.1.1 является другой надежной системой в пределах той же сети. Однако если этот сервер был действительно взломан, то это может расширить рамки расследования, если между дисками компьютеров, перечисленных в выводе, был разрешен общий доступ.
ARP
Таблица протокола ARP (Address Resolution Protocol) показывает взаимное соответствие между физическими MAC-адресами машин (Media Access Control), то есть адресом Ethernet-карты и IP-адресами в подсети. Поскольку большинство сетей не защищают местную подсеть путем связывания определенного MAC-адреса с IP-адресом с помощью коммутатора, то любой может изменить ARP -таблицу или IP-адрес и вызвать разрушение. Это происходит, например, когда один служащий выдает себя за другого во внутренней сети. Используя команду ARP, вы увидите, каким IP-адресам соответствовали определенные MAC-адреса, и это может помочь вам выследить пользователя-жулика.
Инструмент ARP устанавливается с операционными системами Windows NT и 2000 и расположен в каталоге C:\winnt\system32\arp.exe.
Реализация
Инструмент ARP выведет содержание ARP -таблицы, если выполнить следующую команду:
D:\> arp -a
Следующий вывод показывает результаты действий этой команды на машине-жертве:
Interface: 192.168.1.103 on Interface 2 Internet Address Physical Address Type 192.168.1.1 00-bd-e1-f1-01-03 dynamic
Обнаружено, что для IP-адреса 192.168.1.1 физический адрес должен быть 00-bd-e1-f1-01-03. Мы можем использовать эти дополнительные факты для нашего расследования. Если бы мы хотели разыскать IP-адрес 192.168.1.1 в нашей сети, мы бы искали машину с MAC-адресом 00-bd-e1-f1-01-03.