|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Roman Belov 2:5009/2.79 06 Nov 2001 23:23:21
To : All
Subject : !!Faq AntiNetHack ;)
--------------------------------------------------------------------------------
компьюторных систем от кражи пароля.
Давно известно, что операционная система Windows 9x
(95,98,ME) самая ненадежная и небезопасная из существующих.
В частности эта операционная система позволяет злоумышленнику
через интернет при определенных условиях читать файлы
пользователя подключенного к глобальной сети.
Условия такие: в свойствах сети должен быть активирован
пункт файлы и принтеры этого компьютера сделать общими. В окне
<Установка связи> отмечен чекбокс "Запомнить пароль" .
Алгоритм атаки состоит в следующем:
1. злоумышленник ставит себе на компьютер ОС Windows NT,
2000 или XP (это необходимо для удобства монтирования сетевых
дисков)
2. скачивает программу-сканер (например Essential NetTools c
http://www.tamos.com - это один из самых удобных и быстрых
сканеров ~1,2Mb) и программу для подбора пароля pwl файлов (
например PwlHack с http://www.geocities.com/SiliconValley/Hills/7827
- одна из самых быстрых программ для подбора пароля ~ 170kb)
3. узнает адрес подсети ip-адресов выделенных провайдеру
для dial-up'а , то есть адреса, которые получают пользователи при
дозвоне до провайдера. Их можно узнать подключившись к
интернету через интересуемого провайдера и выдав в командной
строке ipconfig(в Windows 9x - winipcfg) или посмотрев адрес в
свойствах сети. IP-Адрес это 4х байтовое число например
213.45.67.89. Значит для дозвона провайдеру выделен промежуток с
213.45.67.1 по 213.45.67.255.
4. запускает программу-сканер. Вводит в окне NBScan в полях
start adress -213.45.67.1 end adress - 213.34.67.255. Затем запускает
сканирование. В окне списка в поле Name появляются названия
компьютеров, но злоумышленника больше интересует поле Shares,
точнее его значение - Yes. Это означает что данный компьютер
может иметь "дырку" в безопасности. Конкретнее - его жесткие
диски могут быть доступны для просмотра или даже записи через
интернет.
5. щелкает правой клавишей на интересующем компьютере с
"открытой шарой" и выбирает "открыть компьютер". В открытом
окне выбирает диск С: , папку Windows и копирует файлы win.ini ,
system.ini и все файлы с расширением *.pwl . Имя пользователя
обычно можно узнать из имени pwl файла, но если оно больше 8
символов то приходится его узнавать из файла system.ini так как pwl
файлы хранятся в досовском формате "имяимяим.рсш" 8+3.
6. переносит pwl в директорию PwlHack. Запускает его с
параметрами PWLHACK.EXE /B:S <ИМЯФАЙЛА.PWL> <ИМЯ
ПОЛЬЗОВАТЕЛЯ>.Файл PWLHACK.CFG позволяет настроить
параметры подбора, например подбор русских букв. После того как
пароль найден PWLHACK.EXE /L <ИМЯФАЙЛА.PWL> <ИМЯ
ПОЛЬЗОВАТЕЛЯ> <ПАРОЛЬ>.Параметры с пробелами
заключаются в кавычки.
7.Если pwl файл не содержал логин и пароль, то он не
расстраивается. Он скачивает любой прострой троян ( например
Shtirlitz - в инете на каждом хакерском сайте )
8. получает почтовый ящик на любом бесплатном сервере
(например chat.ru) и настраивает троян.
9. прописывает в win.ini параметр run = < имя файла
трояна.exe >
10. переписывает измененный win.ini и троян в директорию
Windows.
11.переодически просматривает почтовый ящик в ожидании
аккаунта.
Hекоторые пункты он может автоматизировать написав
скрипт. Hапример пункт 5:
Файл Get.bat
Copy \\213.34.56.%1\c\windows\*.pwl *.pwl
Copy \\213.34.56.%1\c\windows\system.ini *.pwl
Copy \\213.34.56.%1\c\windows\win.ini *.pwl
Пункт 10:
Файл Upl.bat
Copy \\213.34.56.%1\c\windows\win.ini *.ini
Copy sysdev.exe \\213.34.56.%1\c\windows\*.exe
Знатокам перла намного легче они могут автоматизировать и
пункты 4,6,9.
Для того чтобы злоумышленника долгое время не могли найти
он пользуется психологией жертвы. Он ворует пароли только у тех
кто заплатил за анлимитный аккаунт - обычно это организации и
компетенция их в компьютерах оставляет желать лучшего. А тех кто
конекктится по карточке или заплатил например за 10 часов, он не
трогает - это люди бедные - заявят провайдеру обязательно. Узнать
за сколько заплатил человек обычно можно на сайте провайдера.
Кроме этого многие провайдеры посылают на е-маил жертве
информацию, что под его аккаунтом зашло 2 человека, поэтому
злоумышленник пользуется этим аккаунтом только ночью.
Статистика такова 60% обитателей сети имеют <открытые шары> 30% из них
позволяют запись.
В результате испытания этого алгоритма за полчаса работы
было найдено 2 логина и соответствующие им пароли
пользователей.
P.S. Любителям Темной Стороны Силы - шансов что вас
найдут 60%. Причем это функция от времени и стремится она к 99%.
C уважением, Roman Belov.
--- UNREG UNREG
* Origin: Сейчас буду из него пищевод добывать! (2:5009/2.79)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
