TCNICAS DE ATAQUE Y DEFENSA I

5. PILFER (ROBO DE INFORMACIN)

Ing. Nicanor Sachahuaman Martnez CISM, ITIL, COBIT, CBCP, MCSE c12073@utp.edu.pe

Una vez obtenida una cuenta de acceso que permita alto privilegio, el siguiente paso es obtener tanta informacin como sea posible para consolidad la posicin dentro del sistema, y para poder extender el radio de accin a otros sistemas que sean alcanzables desde el sistema cuya seguridad fue comprometida. Con los pasos anteriores hemos logrado tal vez obtener alguna cuenta con privilegios administrativos en un win2003 Server miembro de la red. Ahora, con la cuenta de Server Operator que tena un password vulnerable porque los operadores rotaban demasiado y no se poda elegir un password difcil sin que comenzaran a olvidarlo (o peor: anotarlo en papel) podemos intentar llegar ms lejos. El principal punto a tomar en toda red win2003 es el PDC (Primary Domain Controller), pero a nuestros fines sirve cualquiera de los BDC (Backup Domain Controller), ya que contienen una copia del archivo de passwords del dominio win2003 denominado SAM (Security Account Manager).

 La SAM contiene los nombres de usuario y los passwords encriptados de todos los usuarios del dominio en los PDC y BDC. La SAM se guarda en un archivo llamado SAM en el directorio %systemroot%\system32\config en windows NT, y se encuentra bloqueada (inaccesible para cualquier usuario) en tanto que el sistema est corriendo. Asi mismo se encuentra en la registry, es una de las secciones principales de la misma (HKEY_LOCAL_MACHINE\SAM), pero es inaccesible (an como Administrator), Windows NT guarda un backup comprimido de la SAM en el directorio %systemroot%\repair, llamado SAM._, que puede descompactarse con el comando DOS expand:
C:\> expand sam._ sam Microsoft File Expansion Utility Version 2.50 Copyright Microsoft Corp 1990-1994. All rights reserved. Expanding sam._ to sam. sam._: 4545 bytes expanded to 16384 bytes, 260% increase.

 En windows 2003 solamente es posible editar o copiar el archivo SAM de la pc mas no de las cuentas de Active Directory, solamente pudiendo ver usuarios de la pc lo mismo ocurre con Windows XP y Vista que tienen su propio archivo SAM, la nica manera de poder editar esos archivos es con el software CAIN el cual fue utilizado anteriormente, para solucionar esto podemos proteger la base de datos del Administrador de cuentas de seguridad SAM de Windows 2003 mediante la utilidad SYSKEY la cual protege an ms la base de datos SAM si mueve la clave de cifrado de la base de datos SAM fuera del equipo basado en Windows. La utilidad SysKey tambin puede emplearse para configurar una contrasea de inicio que se debe escribir para descifrar la clave del sistema de manera que Windows pueda tener acceso a la base de datos SAM para esto se realiza los siguientes pasos:

1. 2.

3. 4.

5.

En un smbolo del sistema, escriba syskey y presione ENTRAR. En el cuadro de dilogo Asegurar base de datos de cuentas de Windows, observe que la opcin Cifrado habilitado est seleccionada y es la nica opcin disponible. Cuando se selecciona esta opcin, Windows siempre cifrar la base de datos SAM. Haga clic en Actualizar. Haga clic en Inicio con contrasea si desea exigir una contrasea para iniciar Windows. Utilice una contrasea compleja que contenga una combinacin de letras maysculas y minsculas, nmeros y smbolos. La contrasea de inicio debe tener al menos 12 caracteres de longitud y puede tener hasta 128 caracteres. Haga clic en Contrasea generada por el sistema si no desea solicitar una contrasea de inicio.

5. 6.

7.

8. 9.

10.

Seleccione cualquiera de las opciones siguientes: Haga clic en Almacenar la clave de inicio en un disco para almacenar la contrasea de inicio del sistema en un disquete. Esto requiere que alguien inserte el disco para iniciar el sistema operativo. Haga clic en Almacenar la clave de inicio localmente para almacenar la clave de cifrado en el disco duro del equipo local. sta es la opcin predeterminada. Haga clic en Aceptar dos veces para completar el procedimiento. Quite la clave de cifrado de SAM del disco duro local utilizando la opcin Almacenar la clave de inicio en un disco para lograr una seguridad ptima. Esto proporciona el mayor nivel de proteccin para la base de datos SAM. Cree siempre un disquete de copia de seguridad si utiliza la opcin Almacenar la clave de inicio en un disco. Puede reiniciar el sistema de forma remota si hay alguien disponible para insertar el disco en el equipo cuando ste se reinicia.

Contramedidas
Cada vez que se corra la herramienta NTBackup para hacer un backup de la informacin clave de configuracin del sistema, se guardar una copia compactada de la SAM en el directorio arriba mencionado. Es responsabilidad del administrador borrar este archivo una vez que el NTBAckup lo grab al CD de backup (y la mayora no lo hace). Migre sus servidores NT a windows 2003 con los ltimos service spack para esto puede utilizar la herramienta Active Directory Migration Tool v.2.0 para poder contar con su antigua estructura de Active directory incluyendo sus usuarios, equipos, polticas y dominios. Otra manera de apropiarnos de la SAM es mediante el Sniffing de la red ya sea que estemos como miembro local de la red de empres.com que utiliza un switch o que logre instalar un sniffer (como cuando se instalan troyanos) y luego pase a buscar los resultados, pueden sniffearse los hashes que circulan por la red cada vez que se realice una autenticacin.

Sin embargo, a partir del Service Pack 2, Microsoft incorpor una funcionalidad de encriptacin de la SAM, denominada SYSKEY, que impide que pwdump o L0pthcrack extraigan los hashes de la maquina controladora de dominio sin embargo el programa pwdump2 que permite extraer los hashes desde archivos de SAM encriptados con SYSKEY. De la misma forma que pwdump, pwdump2 debe ser lanzado desde una cuenta con alto privilegio, y utiliza el mecanismo de inyeccin de DLL ya mencionado cuando hablamos del getadmin. El proceso vulnerado por pwdump2 es lsass.exe (Local Security Authority Subsystem), y es necesario conocer el PID (Process ID) de lsass.exe para que pwdump2 funcione. Si bien el Service Pack 2 encripta la SAM con SYSKEY para evitar herramientas tales como pwdump y L0phtcrack, no existe un parche contra la extraccin con pwdump2 (ni siquiera en Windows 2003, salvo que toda la informacin se almacene en Active Directories, lo cual obliga a que toda la red sea homogneamente Windows 2003). Existen parches en Microsoft que permiten eliminar los passwords encriptados para LanManager, pero perderemos compatibilidad con versiones viejas de Windows. Debe considerarse la posibilidad de utilizar switches en lugar de hubs, con lo cual por lo menos se dificultar grandemente el uso de sniffers.

Podemos leer las contraseas con PWDUMP y L0phtcrack, tal y como se muestra en las siguientes imgenes.

Realizar prctica 6sacando contraseas con PWDUMP y L0phtcrack

Una vez obtenidos los hashes el siguiente paso es el crackeo de los mismos, donde tenemos herramientas para elegir. La primera de ellas es el famoso CAIN el cual puede obtener los hashes de diversas fuentes: desde el archivo SAM en si, desde el archivo de backup de la SAM, desde el archivo de salida de pwdump o pwdump2, y por sniffeo de la red. CAIN soporta la habilidad de grabar el proceso de crackeo para poder continuar ms tarde, y por ltimo mencionaremos que tiene un mtodo intermedio entre los ataques por diccionario y por fuerza bruta (llamado Hybrid) que permite agregar caracteres al azar a palabras de diccionario (para passwords como password123).

Contramedidas:
La nica forma de no utilizar un mecanismo vulnerable es eliminar los hashes encriptados con el algoritmo de LAN Manager. Establecer passwords complejos para la administracin del dominio y cambiarlos con frecuencia (mximo 30 das). Implementar polticas que prohban el uso de credenciales de nivel administracin de dominio en sistemas locales. Jams utilizar la cuenta administrativa para otros usos. El ltimo mecanismo para obtener informacin que mencionaremos para Windows 2003 es robar informacin desde los LSA Secrets (Local Security Authority), que es donde se guardan, por ejemplo, copias de los passwords de FTP, web, cuentas dial-up para RAS, passwords de workstations para acceso al dominio, etc en un cach. Una excelente herramienta que brinda la oportunidad de analizar los LSA Secrets es el LSASecretsView el cual muestra el texto almacenado en los LSA Secrets almacenados en el registro del sistema en forma hexadecimal y en cdigo ASCII

Realizar practica segn pasos indicado en el archivo tomando contrasea admin dominio Win2003.doc