攻擊分析（第 3 部分）

分析攻擊（第 1 部分）
分析攻擊（第 2 部分）

唐·帕克

在本系列的第 2 部分中，我們留下了攻擊受害者網路所需的所有必要資訊。考慮到這一點，讓我們開始實際的攻擊。這次攻擊需要傳輸多個請求程序，以便進一步利用攻擊。

簡單地攻擊電腦然後撤退是沒有意義的，所以我們將進行強力攻擊。通常，惡意攻擊者的目標不僅是增加其在電腦網路上的存在，而且還要維持這種存在。這意味著攻擊者仍然想繼續隱藏自己的存在並執行一些其他操作。

有趣的問題

現在我們將使用 Metasploit 框架來促進真正的攻擊。這種工作機制非常有趣，因為它為您提供了許多不同類型的挖掘以及在選擇有效載荷時的許多不同選項。也許您不想要反向實用程式或 VNC 注入。有效載荷通常取決於您即將實現的目標、網路架構和最終目標。在這種情況下，我們將使用反向實用程式來完成此操作。這通常是更有利的方法，特別是在我們的目標位於路由器後面且無法直接存取的情況下。例如，您「攻擊」了一個網頁伺服器，但負載仍然是平衡的。無法保證可以使用正向實用程式連接到它，因此您需要電腦產生反向實用程式。我們不會介紹如何使用 Metasploit Framework，因為它可能已在另一篇文章中介紹過。因此我們只關注包級別之類的事情。

這次，我們不會採用透過簡短的圖像和程式碼片段介紹每個攻擊步驟的方法，而是展示不同的攻擊。我們要做的就是在 Snort 的幫助下重新建立攻擊。我們將在執行的攻擊中利用二進位日誌，然後透過 Snort 對其進行解析。理想情況下，它看起來就像我們所做的一切。事實上，將要實施的是一個證明包。這裡的目標是看看我們能多準確地拼湊出發生的事情。考慮到這一點，我們將使用記錄所有執行操作的二進位資料包日誌，並使用其一些預設規則透過 Snort 對其進行解析。

Snort 輸出

用於呼叫 Snort 的語法如下：

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

這個語法使Snort分析名為article_binary的二進位資料包，結果如下所示。我們截斷了 Snort 輸出，以便我們可以詳細查看每個部分。

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

這部分很有趣，因為一次攻擊行動觸發了 63 個警報。我們將查看 alert.ids 文件，它可以提供有關所發生事件的大量詳細資訊。現在，如果您還記得攻擊者做的第一件事是使用 Nmap 執行網路掃描，這也創建了由 Snort 觸發的第一個警報。

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

這樣，攻擊者就使用netcat來枚舉Web伺服器，以找出它是什麼類型的Web伺服器。此操作未觸發任何 Snort 警報。我們還想找出發生了什麼，所以讓我們仔細看看包的日誌。觀察完通常的TCP/IP握手過程後，我們將看到下面的資料包。

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%t@...u...o.
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

這個套件除了有一個 GET 請求以及隨後的一些內部問題（例如 slslsl）之外，沒有什麼特別之處。因此實際上，Snort 沒什麼可做的。因此，建立有效的 IDS 簽名（或特徵碼）來觸發此類枚舉嘗試非常困難。這就是為什麼沒有這樣的簽名。此後的下一個資料包是受害網路的網路伺服器列出自身的地方。

一旦枚舉完成，攻擊者就會立即向網路伺服器發送執行漏洞的程式碼。然後，此程式碼將在啟用 Snort 簽章的情況下給出一些結果。具體來說，對於下面顯示的漏洞，我們可以看到這個 Snort 簽章。

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

一旦攻擊者獲得了對網頁伺服器的存取權限，他將開始使用 TFTP 用戶端傳輸 4 個檔案：nc.exe、ipeye.exe、fu.exe、msdirectx.exe。一旦這些檔案被傳輸，攻擊者就會使用 netcat 將實用程式傳送回他的電腦。從那裡，他可以斷開初始攻擊所產生的其他實用程序，並在 netcat 實用程式中完成所有剩餘的工作。有趣的是，Snort 沒有記錄攻擊者透過反向實用程式執行的任何操作。然而，不管怎樣，攻擊者使用透過TFTP傳輸的rootkit來隱藏netcat的進程資訊。

結論

在本系列的第三部分中，我們看到了使用 Snort 的示範攻擊。除了使用 rootkit 之外，我們可以完全重現所做的事情之一。儘管 IDS 是一項非常有用的技術並且是網路防禦系統的一部分，但它並不總是完美的。 IDS 只能對它能夠感知到的流量發出警報。考慮到這一點，我們將在本系列的最後一部分學習如何建立 Snort 簽章。除此之外，我們還將學習如何測試數位簽章（簽章）以評估其有效性。