Нашумевшие истории крупных взломов
В крупных банках, как правило, работают очень опытные системные администраторы. Пробиться в их систему практически невозможно. Но бывают и исключения, когда в организации служит немощный админ, на попечении которого находится дырявый сервер. Этот материал – яркий пример такого исключения.
Осмотр жертвы
Как-то раз один хакер, общаясь по аське, получил интересное сообщение от своего приятеля. Тот увлеченно рассказывал, что нашел некоторую подсеть, принадлежащую одному известному банку. Как ни странно, он редко когда видел, чтобы главный сервер светил все порты в инет. Но палиться и ломать банк самому ему как-то не хотелось, поэтому он предложил это сделать нашему герою.
Взломщик согласился и начал изучать этот сервер. Для начала он натравил свой любимый nmap на жертву. Оказалось, что на сервере открыто с десяток портов, среди которых оказался странный порт с номером 1100. Хакер впервые видел этот порт, поэтому пришлось лезть в инет за инфой. Как оказалось, на банковском серваке был установлен Web Tuner, позволяющий управлять антивирусом Касперского через удобный web-интерфейс.
Глючное удобство
Других дырок не обнаружилось, поэтому хакер решил исследовать этот самый Web Tuner. На самом деле это довольно продвинутая среда администрирования, поддерживающая SSL и различные способы аутентификации. К тому же этот сервис можно запустить в chroot и знать, что никакой злоумышленник не взломает твою систему. И это надо делать обязательно, поскольку Web Tuner работает под рутом. Но, как я уже говорил, админы в нашей стране ленивые, поэтому ожидать можно чего угодно.
Что же получил хакер от изучения работы Web Tuner’а? При заходе браузером на этот сервис не было запрошено никакого пароля. Более того, взломщик был уверен, что chroot также не настроен. Наплевательское отношение администратора к своему серверу очень удивило хакера, т.к. он знал, что в банках работают только профессионалы.
Итак, наш злобщик потыкался в различные менюшки среды Web Tuner’a. В них он заприметил одну весьма интересную вкладку – обновление антивирусных баз из Сети. Дело в том, что администратор мог указывать параметры для выполнения команды. Вполне вероятно, что программисты могли просто забыть сделать проверку спецсимволов в строке, поэтому хакер решил проверить защищенность сервиса.
Взломщик задал в качестве параметров кусок кода, открывающий шелл на 31337 порту, перенаправив сам код в файл /tmp/bindshell.c (hysteria.sk/sd/f/junk/bindshell/bindshell.c). Затем скомпилировал и запустил бинарник. Стал телнетиться. И соединившись с сервером, он получил РУТОВЫЙ шелл! Все логично - софтина работает под рутом, поэтому и доступ хакер получает соответствующий.
Изучение системы
Дальше начались сюрпризы. Сервер вертелся на старом дистрибутиве RedHat 6.0 (версия определилась при помощи команды cat /etc/redhat-release). Ядро, соответственно, было из ветки 2.2 – рутается обычным ptrace-эксплойтом. Но не понадобилось и этого – за все спасибо Web Tuner’у.
Решив посмотреть файрвол, хакер выполнил команду iptables –nvL. Оболочка сообщила, что такая команда отсутствует. Тогда взломщик задумался и вспомнил, что в ветке 2.2 в качестве файрвола по умолчанию используется ipchains. Пришлось немного помучиться – шел процесс вспоминания синтаксиса файрвола. В итоге хакер просмотрел таблицу INPUT. В ней содержалось всего два правила: ACCEPT на все соединения и ACCEPT для службы DHCP. Совершенно непонятно, зачем были нужны эти два рулеса, ведь политика цепи была также ACCEPT. Словом, впечатление об админе банка окончательно испортилось. Более того, вторым правилом админ полностью выдал предназначение сервера. Как оказалось, сервак играл роль шлюза между локальной сетью и интернетом. Этот вывод также подтвердила команда ifconfig.
Вообще, хакер мог с уверенностью сказать, что на втором конце находилась именно локальная сеть, а не демилитаризованная зона. С одной стороны, это радовало хакера, т.к. далеко не каждый может поиметь доступ к локальной сети банка. С другой стороны, взломщик опасался за собственную задницу, потому как его пребывание можно легко обнаружить, а статьи УК РФ все еще живы и ждут своих героев . Все взвесив, банколоматель решил не проникать дальше маршрутизатора. Поэтому, на всякий случай установив бэкдор, он покинул систему.
Месяц спустя
Почти через месяц хакер вспомнил, что когда-то он ломал сеть банка. Каково же было его удивление, когда он обнаружил, что бэкдор по-прежнему на месте, и ничего не изменилось. Взломщику это показалось весьма забавным. У него даже появились мысли дефейснуть index.html. Эта мысль грела хакера, но он понимал, что ничего хорошего от этого не получит. Разве что по голове настучат...
Тогда он решил просто поглумиться. Нашел одну деревяшку в асе, которая постоянно докапывалась к взломщику с глупыми вопросами (типа, как зарутать линукс или где достать крякер инета). Хакер вежливо постучался в его аську и задал вопрос: «Как ты думаешь, сложно ли взломать банк?» На что получил эмоциональный ответ: «Конечно, сложно!» После того как взломщик рассказал о том, что имеет рута на известном банковском сервере и даже может поделиться шеллом, у ламера чуть не случился инфаркт.
Дальше пошли длительные объяснения, как же зателнетиться на самопальный бэкдор и задефейсить сервер. Для этого хакер специально нарисовал стильную картинку и дал ее ушастому ломателю. Последний, конечно, с радостью задефейсил сайт банка. Так вот хакер «помог» бедному пользователю.
Реконструкция сервера
Дефейс убрали только через день. Админ все-таки заметил, что его сервер поимели. Но несмотря на это бэкдор хакера продолжал работать и ждать новых подключений. Недолго думая, наш герой дефейснул сайт еще раз. Спустя пару часов дефейс убрали, а еще через полчаса сервер вообще перестал отвечать на запросы.
Правда, через некоторое время сервер стал пропинговываться. Быстро просканив порты, взломщик догадался, что админ полностью переустановил систему на серваке. Естественно, никакого Web Tuner’а там уже не было – остались только стандартные сервисы. Наш ломалкин быстренько проглядел их баннеры и чуть не упал со стула – баннер OpenSSH был настолько старый, что его можно было порутать заплесневевшим x2. В наше время таких демонов вообще не найти, но в этой ситуации администратор видимо просто не успел переустановить sshd, заменив его более новым.
Что же, действовать нужно было быстро. Залив эксплойт на свой шелл, хакер натравил его на сервер банка. Спустя две минуты хакер опять получил рутовый шелл . В системе находились два рута с разных консолей. Как и предполагал взломщик, админ полностью снес систему и поставил ее заново. Так что хакер вовремя заглянул к нему на огонек.
Локальная атака
На этот раз наш пионер решил прошарить локалку на предмет ценной инфы. Скан портов показал, что в локальной сети лишь три компьютера были живыми, причем ни один из них не был уязвимым (на момент взлома мир еще не знал о существовании таких дыр, как RPC DCOM и т.п.). Поэтому взломщик поставил обычный sniffit (packetstormsecurity.nl/sniffers/sniffit/sniffit.0.3.5.p1.tar) и стал ждать какого-нибудь улова.
Ждать пришлось недолго. Парочка пользователей часто проверяли свою почту, поэтому снифер быстро выловил их пароли. Просмотрев почту этих юзеров, хакер не нашел ничего интересного – как выяснилось, спам читают даже банковские сотрудники. Интересен был другой вопрос: совпадет ли пароль с администраторским на клиентской машине? Закачав бинарник smbclient’а на сервер (пакет samba отсутствовал), хакер начал свое бета-тестирование. Попробовал соединиться, но в ответ получил надпись NT_WRONG_PASSWORD. Тогда он попробовал сделать коннект на вторую машину. Как ни странно, пароль подошел. В итоге взломщику удалось соединиться к шаре IPC$ с правами админа.
Как оказалось, сетевой ковырятель попал на компьютер менеджера банка. Об этом говорили документы, лежавшие прямо в корне диска. Покопавшись в других каталогах, хакер не нашел для себя ничего интересного (хотя банковские данные могли быть полезны другим лицам). Но выкачивать файлы было лень, поэтому взломщик просто покинул сервер.
Заметив, что горе-администратор закончил настройку сервера, хакер решил забрать архив почты с сервера (база почтовых сообщений находилась в каталоге backup у админа). Там также не оказалось ничего интересного. Не было даже вакансии для системного администратора банка .
Послесловие
Поначалу наш герой опасался админа (хотя знал, что тот ни на что не способен, кроме как на переустановку системы) и редко появлялся на сервере. Но потом он осмелел и стал вешать разного рода баунсеры и прокси-серверы, юзая маршрутник как средство для понта. Когда взломщик (и скрипткидди, который получил доступ к баунсеру) появлялся с хостом банка, его знакомые долгое время интересовались, как же он поимел такой аккаунт. А ответ прост – какой админ, такая и защита.
Но спустя два месяца администратор все-таки переустановил систему, и хакер потерял акцес к серверу. Вполне вероятно, что директор банка просто уволил старого админа и нанял нового.
Как видишь, в России (да и во всем мире) до сих пор очень много дырявых серверов и беспечных системных администраторов, плохо отрабатывающих свою зарплату. И такие админы встречаются даже в банках.
Что помогло хакеру при взломе?
1. Хакер всегда смотрит баннеры сервисов. Он знал, что на старой системе и софт будет старый (админ просто не успел его переустановить), поэтому без проблем проник на сервер с помощью старого эксплойта.
2. По левому правилу файрвола, открывающему DHCP-запросы, взломщик догадался, что сервер является шлюзом между локальной сетью и интернетом.
Доказательство взлома
Несмотря на то, что админ убрал дефейс, картинка, на которой красовалась надпись «Я бы мог оставить вас без копейки денег, но деньги это грязная мотивация, поэтому я презираю деньги» до сих пор лежит на сервере. Это еще раз доказывает, что никаких мер по нейтрализации хакера принято не было.
INFO
Ответ команды ifconfig о наличии серой сети не может полностью говорить о том, что сеть именно локальная. Возможно, это просто демилитаризованная зона (DMZ), которая находится между локалкой и интернетом.
WARNING
Все трюки, выполненные хакером, описаны лишь в ознакомительных целях. Повтор этих методов взлома может повлечь уголовную ответственность.
---------------------------------------
И еще много интересного (в том числе и про Украину) читайте здесь:
http://forum.vseprodrocheno.com/index.php?showtopic=145&st=0& Спасибо Neff`у за ссылку :-)
