Следующий этап заключается в анализе самого нападения. Для этого нам нужно просмотреть сетевые пакеты honeypot. IDS Snort записала всю эту информацию и сохранила в виде двоичного системного журнала. Теперь мы просмотрим его, чтобы определить и проанализировать действия взломщика. Большинство действий производится с целью получения доступа к оболочке с правами root или корневому каталогу на удаленной системе. После получения доступа к корневому каталогу взломщик может запустить любую команду как администратор. Зачастую в файлы /etc/ passwd и /etc/shadow заносится учетная запись или создаются запасные ходы, например оболочка, привязанная к конкретному порту.
Взломщик начинает нападение, запрашивая у нашей DNS имя г. rsavings. net. Это очень странно: зачем удаленной системе запрашивать другое имя домена? Как мы скоро узнаем, именно так работает эта уловка. Нашу DNS дурачат. Обратите внимание, что IP-адрес, запрашивающий разрешение на системное имя г. rsavings. net, - это та же самая система, которая установила соединение TELNET с нашей системой в момент ее взлома.
04/26-06:43:04.883506 213.28.22.189:1045 -> 172.16.1.107:53 UDP TTL:40 T0S:0x0 ID:18882 IpLen:20 DgmLen:6O Len: 40
95 6B 01 00 00 01 00 00 00 00 00 00 01 72 08 72 . к r.r
73 61 76 69 6E 67 73 03 6E 65 74 00 00 01 00 01 savings.net
Наш сервер DNS делает все, о чем его просят. Он разрешает имя г. rsavings. net для IP-адреса. Сначала DNS определяет IP-адрес имени сервера для имени домена г. rsavings. net: 63.226.81.13. Затем DNS запрашивает у этой системы IP-адрес г. rsavings. net. Однако несчастный сервер DNS не понимает, что взломщик расставил ловушки. Любая DNS, которая обращается с запросом к системе 63.226.81.13, будет взломана приемом Named NXT (см. приложение С). Наша honeypot запрашивает у сервера имен г. rsavings. net следующим образом:
При этом взломе передается небольшая программа на компьютерном языке, известная под названием shellcode, и указанный процесс вынужден ее запустить. Именно эта программа устанавливает уже существующее соединение TCP с названным процессом как stdin, stdout, stderr, а затем выполняет /bin/sh. В результате взломщик получает на машине root shell, не устанавливая никаких дополнительных соединений. К счастью для нас, они были установлены открытым текстом, что дало возможность записать действия взломщика после совершения взлома. При анализе незакодирован-ных данных гораздо проще использовать опцию Snort врезки сеанса связи ASCII. Помните, Snort не только создает предупреждения и регистрирует все пакеты в бинарном регистрационном файле, но также записывает весь текст ASCII и сохраняет его в файле. В данном случае мы можем просмотреть файл для выполненных команд. Приведенный ниже код показывает, что делал взломщик после создания команды оболочки с правами администратора. Сначала, чтобы засвидетельствовать успешный взлом, были выполнены команды, подтверждающие имя системы и UID оболочки.
cd /; uname -a; pwd; id;
Linux apollo.honeynet.edu 2.2.5-15 #1 Mon Apr 19 22:21:09 EDT 1999 i586
unknown
/
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
Затем взломщик, скорее всего, вручную ввел следующие команды:
Эти команды добавляют в систему две учетных записи пользователей -twin (UID 506) и hantu (UID 0) - с одним и тем же паролем. После того как они созданы, взлом завершен, миссия выполнена. Далее хакер может легко установить соединение TELNET и воспользоваться этими двумя записями для получения доступа, а затем командой su для получения привилегий администратора. В системных журналах, рассматривавшихся в начале этой главы, это учетные записи, при помощи которых нарушитель установил соединение TELNET со взломанной honeypot. Помните, большинство систем не разрешают для UID, равного 0, устанавливать соединение TELNET с машиной. Взломщик должен был создать учетную запись, которая обеспечила бы удаленный доступ, а затем учетную запись, дающую UID 0, то есть привилегии администратора.
Итак, на основании нашего анализа мы можем определить последовательность событий:
1. Судя по предупреждениям Snort, в две системы honeypot приходили
запросы об используемой на них версии DNS, чтобы определить, на
сколько они уязвимы. Обычно это преддверие нападения.
2. Затем система 213.28.22.189 запросила у honeypot разрешения домена
г. rsavings. net. Это первый этап взлома.
3. Honeypot определила, что сервер доменных имен r. rsavings. net - это
сервер доменных имен 63.226.81.13, и запросила у этой системы IP-
адрес имени г. rsavings. net.
4. Этот сервер доменных имен заминирован. При получении запроса
он начинает атаку. Осуществляется взлом, и хакер создает на нашей
honeypot две учетных записи - twin и hantu.
5. Взломщик устанавливает с honeypot соединение TELNET из системы
213.28.22.189, сначала заходит как twin, а затем получает привилегии
администратора как hantu.
При работе с несколькими системами, как и в случае с данным нападением, упростить анализ данных помогут рисунки. На рис. 6.1 изображены пять этапов нападения. В большинстве случаев вам наверняка повезет, если вы сможете получить столько информации. Здесь мы проанализировали результаты большой работы и определили, при помощи каких инструментов и тактики была взломана система. Однако Honeynet может научить гораздо большему. Анализируя поведение хакера после взлома системы, можно многое узнать о его окружении. Теперь перейдем к приемам анализа данных о действиях взломщика после того, как он получил доступ к honeypot. Зачастую именно на этом этапе можно получить самую ценную информацию.
