Escolar Documentos
Profissional Documentos
Cultura Documentos
Manutenção do Acesso
4
A fase de reconhecimento é preparatória onde o atacante procura coletar o maior número possível de
informações sobre o “alvo em avaliação” antes do lançamento do ataque.
• O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo,
contato telefônico pelo helpdesk ou departamento técnico.
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.
Esta fase apresenta um alto risco para os negócios de uma empresas, pois além de ser considerada pré-
ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan,
scanner de vulnerabilidade e network mapping.
Obtenção do acesso
Esta fase consiste na penetração do sistema propriamente dita. Nela são exploradas as vulnerabilidades
encontradas no sistema. Isto pode ocorrer através da internet, da rede local, por fraude ou roubo.
Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do
“alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido.
Nesta fase, o atacante poderá obter acesso no âmbito do: sistema operacional, da aplicação e da rede.
Manutenção do acesso
Nesta fase, o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de
outros atacantes através da utilização de “acessos exclusivos” obtidos por meio de rootkits, backdoors ou
trojans.
Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina
atacada. Nesta fase, o sistema atacado poderá ficar comprometido.
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o
objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos
computacionais.
• Packet Sniffing;
• ARP Spoofing;
• IP Spoofing;
Packet sniffing
Packet sniffing
Switches podem dividir a rede em mais segmentos, dificultando a captura de pacotes. Para realizar a captura
em redes segmentadas, podem ser utilizadas configurações de “mirror port” ou “SPAN Switch Port Analizer”,
que é a porta para a qual o switch enviará cópia de todo o tráfego.
Packet sniffing
Outra possibilidade para captura em redes segmentadas por switch, seria gerar tráfego com MAC de origem
falso para comprometer a MAC address table, quando o switch não sabe a interface do destino envia o
frame para todas as interfaces.
ARP spoofing
Enviar um frame com uma solicitação ou resposta ARP falso, desviando o tráfego para o host invasor
(apropriação de identidade).
Outra utilização do ARP Spoofing é a negação de serviço, evitando que o trafego válido chegue ao seu
destino.
IP spoofing
Fragmentação de pacotes IP
Fragmentação de pacotes IP
É uma técnica utilizada, objetivando dificultar a detecção de um ataque ou realizar uma negação de serviço
(DoS).
Fragmentação de pacotes IP
Normalmente, os hosts não tentam processar o pacote até receber todos os fragmentos, possibilitando um
overflow na pilha TCP/IP, se o buffer reservado for menor que o tamanho do pacote a ser reagrupado. Em
geral, trava o sistema caracterizando um ataque de DoS.
Fragmentação de pacotes IP
Fragmentação de pacotes IP
Exemplos:
Ping da Morte – pacotes com 65535 bytes; sobrecarga do buffer; trava o sistema. Protocolo ICMP.
Teardrop – a mesma técnica do Ping da Morte, só que para os protocolos UDP ou TCP.
A maioria dos sistemas atuais já corrigiu esses problemas.
Fragmentação de pacotes IP
Atualmente, a fragmentação é utilizada para tentar dificultar a ação dos firewalls ou sistemas de detecção
de intrusão (IDS), já que alguns desses equipamentos não suportam fragmentação. A ferramenta NMAP é
um exemplo, pode utilizar a técnica de fragmentação para fazer varreduras.
Abordados na fragmentação IP
Abordados na fragmentação IP
Ataque baseado no three way handshake do TCP, utiliza as características de abertura de conexão onde
quem inicia a conexão usa a flag SYN ligada. Realiza envio de uma grande quantidade de segmentos TCP com
o flag SYN ligado em conjunto com falsificação de IP de origem (IP Spoofing).
Ataque baseado no protocolo ICMP, mensagem do tipo echo request. Realiza uma grande quantidade de
pings destinados ao endereço de broadcast da rede e a origem é o endereço IP do host vítima (IP Spoofing).
Ataque fraggle é uma variação do ataque smurf . O smurf utiliza ICMP – echo request e o fraggle UDP echo.
A varredura (scanning) é uma técnica utilizada na fase enumeração, para obter diversas informações como
IP, porta, estado e serviço, podendo obter também versão do SO e dos Serviços.
Esse ataque se aplica somente a redes ethernet, sendo a forma mais eficiente de executar um ataque de
man-in-the-middle, onde o atacante se interpõe (logicamente) entre uma conversação de duas ou mais
estações, utilizando o ARP spoofing.
Para entender esse tipo de ataque, inicialmente é necessário relembrar a definição de:
Buffer – são áreas de memória criadas pelos programas para armazenamento de dados, que se encontram
em processamento. Esse buffer tem tamanho definido baseado na quantidade e no tipo dos dados a serem
armazenados.
O buffer overflow (estouro do buffer) pode deixar o programa receber mais dados que o buffer suporta
armazenar. Se o referido programa não tratar essa possibilidade, pode ocorrer o armazenamento em áreas
de memória próximas, corrompendo os dados ou travando o sistema e, na pior das hipóteses, executar um
código explorando alguma vulnerabilidade.
• NMAP
• HPING
• METASPLOIT
• MEDUSA
• THC-Hydra
Realizar uma varredura com objetivo de identificar as portas de serviços que estão abertas em um host ou
uma rede. Com a utilização de parâmetros, pode retornar a versão do sistema operacional e a versão dos
serviços em execução.
Exemplo:
Nmap 200.0.0.0/24 – realiza a varredura na rede, retornando porta, estado e serviço.
Facilidades do ZENMAP:
Funcionalidades:
• Teste de firewall
• Port scanning avançado
• Teste de diferentes protocolos e
• fragmentação na rede;
• MTU Discovery manual;
• Traceroute avançado;
• OS Fingerprinting
• Auditoria da pilha TCP/IP.
A partir de 2009, diversas variantes comerciais foram desenvolvidas. A versão livre e open source possui
algumas limitações em relação comercial.
É um framework, open source, criado por H. D. Moore, com o objetivo de acelerar o desenvolvimento, os
testes e a utilização de exploits, além de permitir a criação de seus próprios módulos de exploits.
Possui um número considerável de exploits, payloads e ferramentas para teste de vulnerabilidades em
diversas plataformas, sistemas operacionais e servidores.
É usada para ataques de força bruta a fim de descobrir login/senha remotamente. É uma ferramenta que
obtém enorme sucesso quando os usuários utilizam senhas fáceis (fracas). Resumindo, não há uma política
de senhas implementada, permitindo senhas fracas, como sequências numéricas, datas, palavras do
dicionário etc.
Além da política de senhas, o administrador deve bloquear usuários com falhas de logon sucessivas,
implementar um Sistema de Detecção de Intrusos (IDS) e realizar auditoria nos logs.
Ferramenta muito semelhante à Medusa. Ataca login/senha nos diversos protocolos, incluindo FTP, POP3,
IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, ICQ, Socks5, PCNFS e outros.