Analisi di un attacco (parte 2)

Analisi di un attacco (Parte 1)

Don Parker

Nella prima parte vi abbiamo mostrato le informazioni che si possono osservare durante l'apertura della sequenza di pacchetti inviati da Nmap. La sequenza inviata inizia con una risposta di eco ICMP per determinare se al computer o alla rete è stato assegnato un indirizzo IP.

Inoltre, possiamo anche dedurre che la rete del computer attaccato è una rete basata su Windows esaminando il TTL nel pacchetto di risposta di eco ICMP che invia. Ciò che si dovrebbe fare ora è continuare a osservare i pacchetti rimanenti nello scanner Nmap e scoprire le informazioni rimanenti per poter conoscere il profilo della rete della vittima.

Continuare

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

I due pacchetti sopra riportati seguono i pacchetti ICMP che abbiamo osservato nella parte 1. Nmap ha inviato un pacchetto ACK all'IP di rete della vittima 192.168.111.23 sulla porta 80. Trattandosi di informazioni contraffatte, non otteniamo il quadro completo. Si vede solo che il pacchetto ACK ricevuto dall'attaccante era un pacchetto RST in risposta, poiché questo ACK non era previsto. In sostanza, non fa parte di una connessione precedentemente stabilita. Abbiamo ancora un ttl di 128 corrispondente al ttl osservato in precedenza.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Dopo lo scambio di pacchetti ACK e RST, possiamo vedere che un vero pacchetto SYN è stato inviato dall'hacker alla rete vittima, come evidenziato dal pacchetto con la S in grassetto. Questo ci permette di dedurre che il pacchetto SYN/ACK sta tornando dalla rete vittima sulla sua porta 21. Questo scambio viene quindi terminato da un pacchetto RST inviato dal computer dell'hacker alla rete vittima. Questi tre pacchetti ora contengono una grande quantità di informazioni sulla banconota contraffatta.

Abbiamo anche ttl 128 dal computer della vittima, ma anche win64240. Sebbene questo valore non sia elencato, si tratta in effetti di una dimensione che ho visto molte volte in precedenza da Win32 (versioni a 32 bit di Microsoft Windows come Win NT, 2K, XP e 2K3). Un altro limite dei computer Windows è l'imprevedibilità del numero di ID IP. In questo caso abbiamo un solo valore IP ID. Abbiamo bisogno di almeno un altro valore prima di poter affermare con sicurezza che questo computer è un computer Microsoft Windows. Da notare che bisogna osservare i pacchetti rimanenti della scansione Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

La prima informazione che l'hacker esamina è se il numero ID IP aumenta a 399. Questo IP DI è effettivamente 399, come possiamo osservare al centro del pacchetto. Grazie a queste informazioni, l'hacker è abbastanza sicuro che il computer della vittima che sta attaccando sia Windows NT, 2K, XP o 2K3. Si osserva inoltre in questa sequenza di pacchetti che la porta 80 sulla rete della vittima sembra avere un servizio, come evidenziato dal pacchetto SYN/ACK; il pacchetto SYN/ACK viene determinato esaminando il campo flag nell'intestazione TCP; in questo caso il valore esadecimale sottolineato è 12 o 18 in decimale. Questo valore può essere rilevato aggiungendo il valore del flag SYN 2 al valore del flag ACK 16.

Enumerazione

Una volta che l'hacker sa che entrambe le porte 21 e 80 sono aperte all'azienda, entrerà nello stato di enumerazione. Ciò che ora deve sapere è che tipo di server web è in ascolto per le connessioni. Sarebbe inutile per questo hacker sfruttare una vulnerabilità di Apache su un server web IIS. Con questo in mente, l'attaccante aprirà una sessione cmd.exe e scoprirà il tipo di rete.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Possiamo osservare il tipo di rete contrassegnato sopra o la sintassi nc.exe in cui l'hacker digita l'indirizzo IP della vittima e la porta 80. Una volta dentro, l'hacker digiterà l'HTTP del metodo GET seguito da alcune frasi grammaticalmente scorrette. Questa azione può far sì che il server web della rete vittima invii informazioni al proprio sistema quando non comprende la richiesta. Ecco perché elencano in modo naturale le informazioni necessarie agli hacker. Ora l'hacker può vedere che si trova in Microsoft IIS 5.0. Una notizia ancora migliore è che gli hacker hanno a disposizione diversi exploit per questa versione.

Conclusione

Eseguendo una scansione della rete della vittima utilizzando Nmap, l'hacker può quindi ricevere una serie di pacchetti di dati importanti. All'interno di questi pacchetti di dati, come abbiamo visto, sono presenti numerose informazioni che consentono agli hacker di sfruttare vulnerabilità nell'architettura, nel sistema operativo, nel tipo di rete e nel tipo di server.

In breve, in questo modo gli hacker possono ottenere informazioni chiave sull'host, sull'architettura e sui servizi forniti. Con queste informazioni in mano, l'hacker può lanciare un attacco al server web della rete della vittima. Nella sezione seguente spiegheremo più dettagliatamente quali attacchi gli hacker possono utilizzare per attaccare gli utenti in questo caso.

Analisi di un attacco (parte 3)