У даній статті я розповім дещо про «easy hack» проти Windows 95/98 і Windows NT. Найбільшою проблемою є File and Printer Sharing сервіс, встановлений на перерахованих вище системах. Мені особисто незрозуміла мотивація користувачів, що встановлюють даний сервіс на своїх «Кватиркових» операційних системах без жодної на те потреби. Ймовірно, вони всі є членами надсекретної комп’ютерної секти — «let’s share the disks» і поклялися на старому 286 комп’ютері, який обслуговується в свій час Біллу Гейтсу, ділитися всіма ресурсами з усіма, кому не лінь їх використовувати… Іншого пояснення немає, напевно.

Встановивши даний сервіс і зашарив свої диски, не використовуючи пассворд, вони автоматично стають найбільш ласою здобиччю для всіх початківців і шукають пригод малознаючих «hacker»ів. Я не можу навіть підібрати визначення рівня наївності даного типу користувачів. Одна лише рекомендація — вимкніть підтримку File and Printer Sharing, якщо у вас немає на те потреби!!!

Якщо ви працюєте в компанії, яка не має firewall (тільки почали свій бізнес, не маєте ні найменшого поняття про те навіщо це і намагаєтеся заощадити гроші), тим не менш можливий обмін файлами — тільки попросіть адміністратора «вбити» WINS і використовувати NETBEUI на LAN. Це допоможе:)

Тепер про більш цікавому — користувачів Windows NT. Особливо dial-up користувачів…

Правило номер разів: модем — не кращий спосіб зв’язку. Існує DSL, ISDN та інша інша. Якщо вам так вже необхідно мати на своєму комп’ютері зашаренный ресурс, перенесіть його на диск або партішн, не має операційної системи. Захистіть його пассвордом, що складається не менше ніж з 8 символів або цифр.

Використовуйте «складні» пассворды — буква, номер, буква, номер… Пам’ятайте, будь-яка атака за словником складається зі словника, а отже містить у собі всім відомі слова або їх поєднання. Намагайтеся вигадати або використовувати редковстречающиеся словосполучення. Ви зможете їх вигадати і запам’ятати, хто вигадати їх знову навряд чи зможе. Правда, існують техніки, перебирающие символи, але це займає набагато більше часу, якщо до вашого комп’ютера не приєднаний зловмисник по LAN (1mb-100mb/s), якщо ви маєте dial-up доступ — я думаю, підібрати пароль перебираючи символи займе не менше 4 годин і більше, правда, знову ж таки, залежить від складності пассворда ).

Дивіться Security Log (обов’язково «увімкніть» audit v NT!!!!!!!) і ви побачите, що хтось намагався «зламати» ваш комп’ютер, використовуючи таке то login name. Побачивши це — міняйте пассворд в той же момент на щось адекватне по складності.

Правило номер два — отже, ви dial-up користувач. У вас є номер, за яким ви телефонуєте і у вас є емейл, який ви хочете перевірити, і у вас Windows NT версії 4.0 (workstation або server не має значення ). Ви телефонуєте по відомому вам номеру телефону, обмінюєтесь з сервером логіном і пассвордом і насолоджуєтеся порнографічними сайтами або сайтами, присвяченими Леонардо ДеКаприо, або як його, бідного, кличуть.

Піддаєте себе тим самим небезпеку? Напевно, ні, до тих пір, поки який-небудь, став раптом, популярним Вася Пупкін або Мупкин не виявить те що ви пользуете Windows NT і відповідно маєте включеними системні шаринги ( hidden sharings) на всі свої партишны або жорсткі диски, а так само ви маєте включеним IPC (назвемо її «трубою»), що дозволяє вашому комп’ютеру спілкуватися з собі подібними (з PDC i BDC та іншими NT комп’ютерами)

Хм, думаєте ви, а як же так? Хм, кажу я і раджу вам йти в contro panel, в serices і вимкнути до такої та тралі валі сервіс під назвою SERVER. (При умови що ви існуєте самі по собі і ніхто не користується вашими ресурсами)

Що це вам дасть? Багато, при дотриманні наведених нижче рекомендації і вимиканням server services ніхто не зможе отримати з вашого комп’ютера наступну інформацію:

Інформацію про вашому принтері

Інформацію про кількість дисків на вашому комп’ютері

Інформацію про існуючих облікових записів (маючи логін, ви шукаєте лише пассворд, не маючи логіна ви шукайте і логін та пассворд, що робить «hack» більш скрутним )

Інформацію про історію ваших акаунтів — можна і це дізнатися, який аккаунт був створений слідом за яким какои з них є admin і так далі

Інформацію про зашаренных директоріях ( їх просто не буде дірок зашаренных )

Інформацію про вашому імені вашого домейна

Інформацію про назву вашої workgroup

Інформацію про комп’ютерах які ( при умови що ви PDC ) залогинлись .

Інформацію про які ці самі комп’ютери мають зв’язок з PDC ( якщо ви PDC )

Інформацію про імена і IP-адреси тих самих связаннах з PDC ( вами ) комп’ютерах

Інформацію про Вас, як про записі мають в даний момент контроль над комп’ютером ( ім’я вашого логіна )

Інформацію про вашій домашній директорії

Інформацію про вашому імені і прізвища

Інформацію про коментарі, який залишив адміністратор поруч з вашим ім’ям ( часто адміни, не повірите, але правда, пишуть пассворды у графі «Коментарі» поряд з іменем користувача «що б не забути». Мнда… Але сам бачив це не раз!

І багато іншого, про що я оповідати тут не буду 🙂

Так що ж зробити вам що б ця інформація не дісталася ворогові ?

1. Почнемо з елементарного, як зробити ваш компьютр невидимим для Network Browser? Використовуємо регістри:

HKEY_LOCAL_MACHINESystemCurrentControlsetserviceslanmanserverparameters поміняйте Hidden value замість 0 на 1.

поміняйте Hidden value замість 0 на 1.

Щоб використовувати це вам треба вимкнути комп’ютер (You should then reboot)

Інший спосіб: ви можете надрукувати в консолі: net config server /hidden:yes

Після того як ви перезавантажили ваш Windows NT ви можете з іншої машини досягти (боже мій, моя російська-комп’ютерний кошмар!!!) вашій власній використовуючи її ім’я, але ви не побачите її у browser ( ну не знаю як це по російськи, хоч ріжте мене:)

( How do I hide a machine Network from Browsers?

A. Using the registry editor set the key

HKEY_LOCAL_MACHINESystemCurrentControlsetserviceslanmanserverparameters and set value Hidden from 0

to 1. You should then reboot. You can also type

net config server /hidden:yes

You can still connect to the computer, but it is not displayed on the browser.)

2. Мій вам рада, якщо є можливість читати і доповнювати регістри вашої машини віддалено, а так само доповнити кою який файл в start-up директорію, перше, що буде сдеалано це внесені цікаві доповнення і зміни в регістри спрямовані лише на падіння вашої фортеці. Іншими словами існує таке поняття як *.reg файли. При використанні яких у ваші регістри буде дополненна опредленная, необхідна інтернет-хулігану інформація Що б уникнути доповнення можна змінити зв’язаність реєстраційних файлів *.reg. Для цього вам необхідно, змінити цю пов’язаність з regedit.exe на notepad.exe, тоді якщо хтось і прорветься на ваш комп’ютер і покладе вам в start-up машини щось підле пов’язане з використанням ваших регістрів — єдине, що ви побачите це notepad вікно з вмістом тієї самої гидоти.

Тож тепер саме по англицки:

Exported registry files associated with REGEDIT.EXE Data in registry keys can be exported to .reg files. If files with the extension .reg are associated with REGEDIT.EXE, they can be executed and merged with the contents of your registry, providing an easy and quick method for an unauthorized person to make changes to your registry.

Change association for .reg files A better alternative would be to associate both the Open and Edit actions for .reg files with NOTEPAD.EXE.

This is done by setting the following registry key’s value:

Hive: HKEY_LOCAL_MACHINE

Key: SoftwareClassesegfileshellopen

Name: command

Type: REG_SZ

Value: notepad.exe “%1”

3. Завжди дивіться, що і як у вас відбувалося з RAS (Remote Access Server) Незалежно від того на що ви змусили працювати свій модем — на дзвінок ISP або на прийняття дзвінків на ваш комп’ютер мати повний лог всієї активності вкрай важливо, може вас знайшли і будуть изпользовать?

Отже частина перша, йдемо читаємо

-> ЧИТАТИ <-

Частина друга:

Використовуємо регістри для того що б включити запис на всю активність вашого модема:

Hive:HKEY_LOCAL_MACHINE

Key:SystemCurrentControlSetServicesRasmanparameters

Name:Logging

Type:DWORD

Value:1

Після того як ви reboot ваш NT Workstation або Server вся інформація про діяльність вашої RAS буде записана у файл DEVICE.LOG за адресою: SYSTEM32RAS

Перевіряйте цей лог якщо ваш модем здатний дзвонити і приймати дзвінки!!!

4. Переходимо до водних проц-адурам:) Null — Session. Пам’ятаєте, я перерахував можливості отримання информции з вашого Windows NT? Юзер аккауты і так далі? Хочете знати, як це припинити? Прямуєте до цієї поради:

Отже, закриття Null-Session (Ще раз що таке Null Session — це коли користувач, не маючи пассворда і логіна на вашу систему може, тим не менш, отримати з неї інформацію про всіх зашаренных директоріях, про аркуші користувачів і так далі.)

Для того, щоб припинити це неподобство вам необхідно знову відкрити regedit.ехе і здійснити наступні перетворення: (якщо у вас не стоїть сервіс pack 3 або вище ви цього зробити не можете )

Отже вимикаємо NULL User Session :

Hive: HKEY_LOCAL_MACHINE

Key: SystemCurrentControlSetControlLsa

Name: RestrictAnonymous

Type: REG_DWORD

Value:1;

Якщо даний ключ не існує вам необдимо його люб’язного створити:)

Другий варіант для Windows NT Workstation: AutoShareServer

Hive: HKEY_LOCAL_MACHINE

Key: SystemCurrentControlSetServicesLanmanserverparameters

Name: AutoShareWks

Type: DWORD and press OK.

Value: 0.

Для Windows NT Server :

Hive: HKEY_LOCAL_MACHINE

Key: SystemCurrentControlSetServicesLanmanserverparameters

Name: AutoShareServer

Type: DWORD and press OK.

Value: 0.

Третій варіант (in English):

Ви можете використовувати «policy editor». Start the policy editor (poledit.exe), load the default computer profile, and expand the Windows NT Network tree, then Sharing and set «Create hidden drive shares» to blank for server/workstation.

There are a few other options though. The first is to use NTFS and set protections on the files so people may be able to connect to the share, but they will not be able to see anything. The second is to delete the shares each time you logon, this can be done through explorer, but it would be better to have a command file run each time with the lines net share c$ /delete and for all the other shares, however these shares are there for a reason so your machine can be administered by the servers, so if you delete them system managers may have something to say about it! ( по шиї дадуть проте:)

5. Тепер ми розглянемо варіант, коли Windows NT Wokstation або Windows NT Server сам по собі зашаривает всі ваші партишны або жорсткі диски. Як би ви їх не били і не вимикали шарінг на них — наступного разу ви увімкніть комп’ютер і побачите що ваш диск C: знову призначений для того що б ділитися файлами з нетворк юзерами

(By default Windows NT is configured to create system shares for local drives. These shares are for Administrative access only and the ACLs cannot be modified. Even if you delete the hidden shares, the operating system will recreate them on startup.)

Мій вам рада — убийте цей автоматичний шарінг. Як саме? Дивіться нижче:

NT 4.0 Server

Hive:HKEY_LOCAL_MACHINE

Key:SystemCurrentControlSetServicesLanmanserverparameters

Name:AutoShareServer

Type:DWORD

Value:0

NT 4.0 W

Hive:HKEY_LOCAL_MACHINE

Key:SystemCurrentControlSetServicesLanmanserverparameters

Name:AutoShareWks

Type:DWORD

Value:0

Після того, як ви виконали ці зміни не забудьте знищити шаринги на ваших драйвах або партишнах. Наступного разу, коли ви перезавантажте (ось, нарешті згадав, як по російськи reboot:) — вони не будуть мимовільно воспроиведены!

6. Давайте обговоримо що таки є до вашого комп’ютера кой-який локальний доступ (хоча це тема для статті на сто сторінок і я обов’язково про це напишу).

Отже, йдучи в туалет на перекур, в суд у порядку ви ЗАВЖДИ, ЗАВЖДИ, ЗАВЖДИ блокриуете ваш комп’ютер скрін сервером захищеним вашим логіном і пассвордом.

Сказати вам, що є самим простим способом інсталлірованія троянця на вашій «захищеній системі»? Правильно:) Те що ваша NT підтримує режим автозапуску CD перебуває у CDROM, іншими словами кажучи — AutoRun. NT автоматично буде запускати софт знаходиться на CD диску. Якщо «зловмисник» створить CD з трояном — ваша система буде його мати моментально. ( але він, зловмисник повинен спеціально створити цей auto-run trojan.exe 🙂

Вылючаем Autorun:

Hive:HKEY_CURRENT_USER

Key:SoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer

Name:NoDriveTypeAutorun

Value:181 (Decimal)

7. Останній на сьогодні рада: Всі ми знаємо що таке Virtual Memory. В Windows NT Server або робочої станції це важлива річ, коли вашому комп’ютеру не вистачає пам’яті (RAM) операційна система буде використовувати якийсь вказаний вами або автоматично виділений об’єм жорсткого диска як еквівалент. Будемо повільно, буде блимати лампочка і чути скрегіт HD, але нічого вдіяти не можемо. Здається все добре, але мало хто знає що містить цей самий pagefile. А він містить багато смачного: ваші імена користувачів і навіть пассворды.

Як же зробити так що б цей pagefile знищувався кожен раз, коли ваш Windows NT комп’ютер був перезавантажений безаварійно (тобто ви самі його вимкнули а не тоді коли він «вмирає сам по собі і microsoft must die»)

Hive: HKEY_LOCAL_MACHINE

Key: SystemCurrentControlSetControlSession ManagerMemory Management

Name: ClearPageFileAtShutdown

Type: REG_DWORD

Value: 1

На цьому все на сьогодні:) Дякую вам за увагу і я щиро сподіваюся, що розповів вам щось нове:)

Поскриптум

Я не торкнувся такі речі як

1. OS2 subsystem — це коли 16 бітні character-based додатки продлжают працювати після того як ви використовували log-off команду в Windows NT. Словом повірте — не завадить. Давайте почитаємо як це справа вбити на корені. Знову нам потрібен regedit.

2. Disable Lan Manager Authentication — Enable NTLM or NTLMv2 authentication instead, і навіщо це потрібно…

3. How do I enable or disable DCOM? І що це таке…

4. Права користувачів на доступ до директорій і файлів

5. Права користувачів на доступ до регістрів

6. IE і ваш NT

7. Proxy і ваш NT

8. IIS і ваш НТ

9. Майл сервера і ваш NT

10. І багато багато іншого, сподіваюсь наступного разу зможу вам розповісти про це докладніше.