Компоновка и использование набора инструментов для расследования хакерских атак, то есть для "живого ответа" в системе Windows

Netstat

Инструмент Netstat отображает информацию о прослушивании и о текущих сетевых подключениях для машины-жертвы. Эта команда дает информацию о текущих подключениях и прослушивающих приложениях, которая помогает обнаружить подпольную деятельность и черный ход (backdoor) на машине-жертве. Инструмент Netstat может располагаться в каталоге C:\winnt\system32\netstat.exe на надежной машине с системой Windows NT или 2000.

Реализация

Использовать этот инструмент довольно просто. Наберите следующую команду, чтобы отыскать подключенные IP-адреса и всю информацию, касающуюся открытых портов взломанной системы:

D:\netstat -an

По флагу -a отображается вся сетевая информация, а флаг -n позволяет DNS-системе не выполнять обратный поиск внешних IP-адресов, перечисленных в выводе.

Следующий вывод был перехвачен после того, как инструмент Netstat был запущен на машине-жертве (в примере, приведенном в разделе "Пример из жизни" (в конце лекции)).

Active Connections
  Proto   Local Address           Foreign Address       State
  TCP     0.0.0.0:7               0.0.0.0:0             LISTENING
  TCP     0.0.0.0:9               0.0.0.0:0             LISTENING
  TCP     0.0.0.0:13              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:17              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:19              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:21              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:25              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:42              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:53              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:80              0.0.0.0:0             LISTENING
  TCP     0.0.0.0:135             0.0.0.0:0             LISTENING
  TCP     0.0.0.0:443             0.0.0.0:0             LISTENING
  TCP     0.0.0.0:445             0.0.0.0:0             LISTENING
  TCP     0.0.0.0:515             0.0.0.0:0             LISTENING
  TCP     0.0.0.0:548             0.0.0.0:0             LISTENING
  TCP     0.0.0.0:1025            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:1026            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:1029            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:1034            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:1036            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:1038            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:1044            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:3372            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:3389            0.0.0.0:0             LISTENING
  TCP     0.0.0.0:3940            0.0.0.0:0             LISTENING
  TCP     192.168.1.103:139       0.0.0.0:0             LISTENING
  TCP     192.168.1.103:1041      0.0.0.0:0             LISTENING
  TCP     192.168.1.103:1041      192.168.1.1:139       ESTABLISHED
  TCP     192.168.1.103:62875     0.0.0.0:0             LISTENING
  TCP     192.168.1.103:62875     192.168.1.1:2953      ESTABLISHED
  UDP     0.0.0.0:7               *:*
  UDP     0.0.0.0:9               *:*
  UDP     0.0.0.0:13              *:*
  UDP     0.0.0.0:17              *:*
  UDP     0.0.0.0:19              *:*
  UDP     0.0.0.0:42              *:*
  UDP     0.0.0.0:68              *:*
  UDP     0.0.0.0:135             *:*
  UDP     0.0.0.0:161             *:*
  UDP     0.0.0.0:445             *:*
  UDP     0.0.0.0:1033            *:*
  UDP     0.0.0.0:1035            *:*
  UDP     0.0.0.0:1037            *:*
  UDP     0.0.0.0:1039            *:*
  UDP     0.0.0.0:1645            *:*
  UDP     0.0.0.0:1646            *:*
  UDP     0.0.0.0:1812            *:*
  UDP     0.0.0.0:1813            *:*
  UDP     0.0.0.0:3456            *:*
  UDP     127.0.0.1:53            *:*
  UDP     127.0.0.1:1030          *:*
  UDP     127.0.0.1:1031          *:*
  UDP     127.0.0.1:1032          *:*
  UDP     192.168.1.103:53        *:*
  UDP     192.168.1.103:67        *:*
  UDP     192.168.1.103:68        *:*
  UDP     192.168.1.103:137       *:*
  UDP     192.168.1.103:138       *:*
  UDP     192.168.1.103:500       *:*
  UDP     192.168.1.103:2535      *:*

Имея эту информацию, мы видим, что открыт порт TCP 62875, так же, как мы увидели это с помощью fport. Кроме того, мы видим, что IP-адрес 192.168.1.1 в настоящее время связан с этим портом. Это говорит о том, что кто-то все еще может находиться на нашей машине!

Можно заметить, что оба IP-адреса находятся в пределах одной и той же сети. На основе этой информации можно сделать два заключения: либо взломщик является "посвященным лицом", либо он взломал другую машину в пределах вашей сети и атакует с этой машины. В обоих случаях, этот сценарий - не из лучших!

Nbtstat

Nbtstat является инструментом NetBIOS, который также устанавливается с операционной системой Windows. Nbtstat.exe, подобно Netstat, может располагаться в каталоге C:\winnt\system32\nbtstat.exe. Хотя Nbtstat обеспечивает много функциональных возможностей, нас интересует его использование только для перечисления кэша имен NetBIOS в пределах компьютера-жертвы. Кэш имен NetBIOS дает список компьютеров, которые имели соединения по протоколу NetBIOS, то есть через Microsoft Windows File and Print Sharing (Служба совместного использования файлов и печати) в пределах короткого времени, обычно, менее 10 минут. Если в этом списке вы видите машины, которые не ожидали увидеть, вы, возможно, захотите провести дальнейшее расследование, в зависимости от того, расположены ли машины внутри или вне вашей сети.

Реализация

Для нашего живого ответа утилита Nbtstat выполняется со следующими опциями:

D:\> nbtstat -c

Ключ -c перечисляет все имена NetBIOS, имеющиеся в настоящее время в кэше машины-жертвы. Поэтому, если какие-либо NetBIOS-подключения были сделаны между какой-либо машиной и машиной-жертвой во время деятельности хакера, они могут быть замечены в выводе утилиты Nbtstat, если они произошли недавно.

Следующий вывод демонстрирует результаты действия этой команды на машине-жертве.

Local Area Connection:
Node IpAddress: [192.168.1.103] Scope Id: []
NetBIOS Remote Cache Name Table
       Name         Type      Host Address        Life [sec]
----------------------------------------------------------------
    FREEBSD     20  UNIQUE    192.168.1.1                  190

Мы не можем идентифицировать здесь никакой подозрительной деятельности, поскольку IP-адрес 192.168.1.1 является другой надежной системой в пределах той же сети. Однако если этот сервер был действительно взломан, то это может расширить рамки расследования, если между дисками компьютеров, перечисленных в выводе, был разрешен общий доступ.

ARP

Таблица протокола ARP (Address Resolution Protocol) показывает взаимное соответствие между физическими MAC-адресами машин (Media Access Control), то есть адресом Ethernet-карты и IP-адресами в подсети. Поскольку большинство сетей не защищают местную подсеть путем связывания определенного MAC-адреса с IP-адресом с помощью коммутатора, то любой может изменить ARP -таблицу или IP-адрес и вызвать разрушение. Это происходит, например, когда один служащий выдает себя за другого во внутренней сети. Используя команду ARP, вы увидите, каким IP-адресам соответствовали определенные MAC-адреса, и это может помочь вам выследить пользователя-жулика.

Инструмент ARP устанавливается с операционными системами Windows NT и 2000 и расположен в каталоге C:\winnt\system32\arp.exe.

Реализация

Инструмент ARP выведет содержание ARP -таблицы, если выполнить следующую команду:

D:\> arp -a

Следующий вывод показывает результаты действий этой команды на машине-жертве:

Interface: 192.168.1.103 on Interface 2
Internet Address        Physical Address    Type
192.168.1.1         00-bd-e1-f1-01-03   dynamic

Обнаружено, что для IP-адреса 192.168.1.1 физический адрес должен быть 00-bd-e1-f1-01-03. Мы можем использовать эти дополнительные факты для нашего расследования. Если бы мы хотели разыскать IP-адрес 192.168.1.1 в нашей сети, мы бы искали машину с MAC-адресом 00-bd-e1-f1-01-03.