Análise de Backdoors em máquinas Linux
Há muito tempo Backdoors vêm se difundindo na internet: backdoors para Unix, Windows, etc
Se o Black Hat invade seu sistema, concerteza ele vai querer ter
acesso a sua máquina posteriormente, seja para obter informações, dados,
instalar sniffer, rodar exploits, ou usar sua máquina como Zumbi para
fazer um DOS.
Bom Pessoal aqui o assunto são backdoors para Linux( desde de backdoors
para simples, como o inetd backdoor, até backdoors ICMP, Acredito que
todos vocês que estuda a área de Pentest, , Segurança e Redes, já devem
está familiarizados com o Linux em si. Tentarei os métodos mais usados
em alguns casos, e de como achar rastros de um backdoor que esteje
instalado em seu sistema e como achar rastros de uma possivél invasão
em máquina, isso tendo em conta claro que você da área de Security já
tenha um conhecimento prévio em sistemas.
Lembrando que tudo o conteúdo que irei mostrar, estará presente em minha
apresentação sobre Pentest , que em breve estarei disponibilizando a
vocês. Let’s Go
– Backdoors no inetd são úteis por poderem ser acessadas remotamente caso o telnetd seja cortado no servidor.
A inted backdoor mais conhecida e mais simples é aquela colocado no /etc/inetd.conf
Vai um exemplo: ftp stream tcp nowait root /bin/sh sh-i
TCP Backdoors - O Backdoors é instalado em uma porta qualquer. Na
maiora das vezes é uma porta que o firewall não bloqueia e também onde
ficará fora do alcance do administrador mesmo usando o comando netstat.
O Backdoor também pode ser usado como uma porta de SMTP. Assim o firewall vai achar que não passa de um tráfego de E-mail.
UDP Backdoors - Para os administradores de sistema é muito fácil
encontrar um conexão TCP em sua rede, encontrar facilmente uma porta
estranha ou saber que alguém está acessando remotamente seu sistema
usando programas ou comandos.
Agora, Quando se trata de backdoors UDP, o comando netstat pode ser
configurado para não mostrar esse tipo de acesso em sua máquina.
Muitos Firewalls têm sido configurados para permitir pacotes UDP para
serviços especiais, por exemplo, O invasor coloca um backdoor em sua
porta de um DNS, isso vai fazer como que o firewall libere o acesso,
tornando muito dificil a identificação de um invasor no sistema.
ICMP backdoors- Este é um dos mais proativos, mais ainda: sua técnica é
pouco difundida:ICMP serve para transmitir dados, de tamaho qualquer,
para controle da conexão entre duas máquinas Cliente/Servidor.
O invasor pode colocar pode colocar dados nos pacotes do Ping ICMP Tunneling.
Muitos Firewalls internas, dando assim acesso para o invasor executar comandos remotos em sua máquina.
Se o Black Hat invade seu sistema, concerteza ele vai querer ter
acesso a sua máquina posteriormente, seja para obter informações, dados,
instalar sniffer, rodar exploits, ou usar sua máquina como Zumbi para
fazer um DOS.
Bom Pessoal aqui o assunto são backdoors para Linux( desde de backdoors
para simples, como o inetd backdoor, até backdoors ICMP, Acredito que
todos vocês que estuda a área de Pentest, , Segurança e Redes, já devem
está familiarizados com o Linux em si. Tentarei os métodos mais usados
em alguns casos, e de como achar rastros de um backdoor que esteje
instalado em seu sistema e como achar rastros de uma possivél invasão
em máquina, isso tendo em conta claro que você da área de Security já
tenha um conhecimento prévio em sistemas.
Lembrando que tudo o conteúdo que irei mostrar, estará presente em minha
apresentação sobre Pentest , que em breve estarei disponibilizando a
vocês. Let’s Go
– Backdoors no inetd são úteis por poderem ser acessadas remotamente caso o telnetd seja cortado no servidor.
A inted backdoor mais conhecida e mais simples é aquela colocado no /etc/inetd.conf
Vai um exemplo: ftp stream tcp nowait root /bin/sh sh-i
TCP Backdoors - O Backdoors é instalado em uma porta qualquer. Na
maiora das vezes é uma porta que o firewall não bloqueia e também onde
ficará fora do alcance do administrador mesmo usando o comando netstat.
O Backdoor também pode ser usado como uma porta de SMTP. Assim o firewall vai achar que não passa de um tráfego de E-mail.
UDP Backdoors - Para os administradores de sistema é muito fácil
encontrar um conexão TCP em sua rede, encontrar facilmente uma porta
estranha ou saber que alguém está acessando remotamente seu sistema
usando programas ou comandos.
Agora, Quando se trata de backdoors UDP, o comando netstat pode ser
configurado para não mostrar esse tipo de acesso em sua máquina.
Muitos Firewalls têm sido configurados para permitir pacotes UDP para
serviços especiais, por exemplo, O invasor coloca um backdoor em sua
porta de um DNS, isso vai fazer como que o firewall libere o acesso,
tornando muito dificil a identificação de um invasor no sistema.
ICMP backdoors- Este é um dos mais proativos, mais ainda: sua técnica é
pouco difundida:ICMP serve para transmitir dados, de tamaho qualquer,
para controle da conexão entre duas máquinas Cliente/Servidor.
O invasor pode colocar pode colocar dados nos pacotes do Ping ICMP Tunneling.
Muitos Firewalls internas, dando assim acesso para o invasor executar comandos remotos em sua máquina.
Achando Rastros de uma invasão
Procure por rastros de uma invasão em seu sistema, alguns básicos e
precauções que poderão lhe evitar grandes dores de cabeça acredito eu.
Caso os Blach Hat’s intalem backdoors e tenham total a sua máquina em
qualquer hora, em qualquer local.
Procure por rastros no /etc/passwd
O invasor pode querer criar um usuário em seu sistema para pode ter acesso mais tarde
Digite:
[root@localhost /etc/]# grep “:0:0” /etc/passwd
Root:x:0:0:root/root:/bin/bash
Invasor::0:0::/:/bin/sh
Na linha o invasor em negrito, foi encontrado um user estranho .
O invasor foi encontrado - agora é hora de
ver se ele não deixou outros tipos de backdoors em seu sistema, vamos
procurar por outras 2 backdoors mais comuns: suidshell e inetdaemon.
Digite:
[root@localhost /etc/]# grep "sh" /etc/inetd.conf
courier stream tcp nowait root /bin/sh sh -i
Um variação disso pode ser
[root@localhost /etc/]# grep "\-i" /etc/inted.conf
swat stream tcp nowait root /usr/sbin/swat swat -i
veja o que serviço está chamando o /usr/sbin/swat com os mesmos atributos do /bin/sh vamos conferir para ver se swat é igual a sh
[root@localhost /etc/]# ls /bin/*sh
/bin/ash /bin/bsh /bin/ksh /bin/tcsh
/bin/bash /bin/csh /bin/sh /bin/zsh
[root@localhost /etc/]# cmp -c /bin/ash /usr/sbin/swat
/bin/ash /usr/sbin/swat differ: char 25, line 1 is 20 ^P 220 M-^P
[root@localhost /etc/]# cmp -c /bin/bash /usr/sbin/swat
[root@localhost /etc/]#
o comando cmp serve para comparar arquivos comente a linha no inted.conf e reinicie o inted
Para achar suidshells, use:
[root@localhost /etc/]# find / -type f\( -perm -04000 -o perm -02000 \) -use root
Vai ser exibida uma lista com todos os arquivos suids com owner root. Cabe a você, administrador, saber o que é programa do de linux e
o que foi criado pelos usuários
Use também o comando:
[root@localhost /root]# lsof –i
Com esse comando, serão listados todas as portas que estão sendo
usadas.
Procurar por portas suspeitas
Dica 1:
É comum Pessoal o invasor deixar as suidshells no mesmo diretório em que
eles deixam seus programs, tais como exploits, sniffers, e clearlogs. Uma outra
coisa imoprta é os diretórios usados são na maioria das vezes os com permissão
de all+rwx como /tmp e /var/tmp ou homedirs, Também há a possibilidade de que
eles criem os dir, por isso você pode procurar por estes com o comando:
[root@localhost /etc/]# find / -type –d perm 0777
Dica 2:
Outra dica é verificar as datas dos arquivos executavéis isso pode ser feito
com o comando:
Ls -|t | mor, que mostra os arquivos com suas respectivas datas em ordem
cronológica, esse comando deve ser executado em todos os diretórios em que
existam arquivos executavéis normalmente esses diretórios seriam:
/sbin
/sbin/
/usr/bin/
Usr/sbin
Pode ainda ser verificada a data dos arquivos de configuração no
diretório /etc.
Caso alguns desses arquivos tenha sido modificado, poderá ser necessária a
reinstalação do sistema.
Verifique se existe algum processo sendo executado que não deveria, para
examinar quais os processos que estão em execução, use o comando:
ps –aux | more.
Conclusão:
Backdoors são uma ameaça para seu sistema, portando todo cuidado é pouco.
Bom pessoal a dica é sempre se mantenham atualizados, e informados sobre
novos bugs, sempre se atualizando, e claro realizando testes de penetração em
suas próprias máquinas, passando scanners de vunerabilidades, configurando o
firewall para não responder a respostas do protocolo ICMP, restringir acesso a
determinadas portas do sistema. Ultilizar IDS para logar tentativas
de varredura de portas.
Eu costumo sempre dizer que não existe o sistema 100 % seguro como é de se
saber, mais também não existe a invasão perfeita, Os rastros sempre vai ser
deixado, agora cabe a você encontrá-lo.
Espero que seje de grande ultilidade para muitos que não só visão a
exploração e instrusão em máquinas quanto também aqueles que visão o outro lado
da moeda, a segurança em si.
Procure por rastros de uma invasão em seu sistema, alguns básicos e
precauções que poderão lhe evitar grandes dores de cabeça acredito eu.
Caso os Blach Hat’s intalem backdoors e tenham total a sua máquina em
qualquer hora, em qualquer local.
Procure por rastros no /etc/passwd
O invasor pode querer criar um usuário em seu sistema para pode ter acesso mais tarde
Digite:
[root@localhost /etc/]# grep “:0:0” /etc/passwd
Root:x:0:0:root/root:/bin/bash
Invasor::0:0::/:/bin/sh
Na linha o invasor em negrito, foi encontrado um user estranho .
O invasor foi encontrado - agora é hora de
ver se ele não deixou outros tipos de backdoors em seu sistema, vamos
procurar por outras 2 backdoors mais comuns: suidshell e inetdaemon.
Digite:
[root@localhost /etc/]# grep "sh" /etc/inetd.conf
courier stream tcp nowait root /bin/sh sh -i
Um variação disso pode ser
[root@localhost /etc/]# grep "\-i" /etc/inted.conf
swat stream tcp nowait root /usr/sbin/swat swat -i
veja o que serviço está chamando o /usr/sbin/swat com os mesmos atributos do /bin/sh vamos conferir para ver se swat é igual a sh
[root@localhost /etc/]# ls /bin/*sh
/bin/ash /bin/bsh /bin/ksh /bin/tcsh
/bin/bash /bin/csh /bin/sh /bin/zsh
[root@localhost /etc/]# cmp -c /bin/ash /usr/sbin/swat
/bin/ash /usr/sbin/swat differ: char 25, line 1 is 20 ^P 220 M-^P
[root@localhost /etc/]# cmp -c /bin/bash /usr/sbin/swat
[root@localhost /etc/]#
o comando cmp serve para comparar arquivos comente a linha no inted.conf e reinicie o inted
Para achar suidshells, use:
[root@localhost /etc/]# find / -type f\( -perm -04000 -o perm -02000 \) -use root
Vai ser exibida uma lista com todos os arquivos suids com owner root. Cabe a você, administrador, saber o que é programa do de linux e
o que foi criado pelos usuários
Use também o comando:
[root@localhost /root]# lsof –i
Com esse comando, serão listados todas as portas que estão sendo
usadas.
Procurar por portas suspeitas
Dica 1:
É comum Pessoal o invasor deixar as suidshells no mesmo diretório em que
eles deixam seus programs, tais como exploits, sniffers, e clearlogs. Uma outra
coisa imoprta é os diretórios usados são na maioria das vezes os com permissão
de all+rwx como /tmp e /var/tmp ou homedirs, Também há a possibilidade de que
eles criem os dir, por isso você pode procurar por estes com o comando:
[root@localhost /etc/]# find / -type –d perm 0777
Dica 2:
Outra dica é verificar as datas dos arquivos executavéis isso pode ser feito
com o comando:
Ls -|t | mor, que mostra os arquivos com suas respectivas datas em ordem
cronológica, esse comando deve ser executado em todos os diretórios em que
existam arquivos executavéis normalmente esses diretórios seriam:
/sbin
/sbin/
/usr/bin/
Usr/sbin
Pode ainda ser verificada a data dos arquivos de configuração no
diretório /etc.
Caso alguns desses arquivos tenha sido modificado, poderá ser necessária a
reinstalação do sistema.
Verifique se existe algum processo sendo executado que não deveria, para
examinar quais os processos que estão em execução, use o comando:
ps –aux | more.
Conclusão:
Backdoors são uma ameaça para seu sistema, portando todo cuidado é pouco.
Bom pessoal a dica é sempre se mantenham atualizados, e informados sobre
novos bugs, sempre se atualizando, e claro realizando testes de penetração em
suas próprias máquinas, passando scanners de vunerabilidades, configurando o
firewall para não responder a respostas do protocolo ICMP, restringir acesso a
determinadas portas do sistema. Ultilizar IDS para logar tentativas
de varredura de portas.
Eu costumo sempre dizer que não existe o sistema 100 % seguro como é de se
saber, mais também não existe a invasão perfeita, Os rastros sempre vai ser
deixado, agora cabe a você encontrá-lo.
Espero que seje de grande ultilidade para muitos que não só visão a
exploração e instrusão em máquinas quanto também aqueles que visão o outro lado
da moeda, a segurança em si.
Nenhum comentário:
Postar um comentário