Rompre réseau en cours d'exécution * gagner 2000 / XP

Hacking réseau en cours d'exécution * Win 2000 / XP (par Rel4nium)

Réseaux locaux connectés à Internet dans notre temps est très raspostraneny.Ni un établissement est non sans
LAN, et bien sûr les OS les plus fréquents tourbillonnant sur les médicaments - est gagner 2000 / XP.YA vous dire comment pirater
réseau fonctionnant sous Windows, en particulier pour le petit réseau domestique (20 ordinateurs) a été sélectionné dans l'un de l'ordinateur
clubs. Notez que j'ai accès à un ordinateur et un réseau (20 p heure :) .Vzlomat Un tel réseau est facile, mais l'objectif principal
Me livrer - il tient le système.

[Plan de rupture théorique:

+ Définition informatique
- La présence d'antivirus (mise à jour)
- La présence d'un coupe-feu
- Adresse IP de l'ordinateur (vous pouvez voir, comme antichat.ru, ip.xss.ru)
- La détection de sous-réseau (leader.ru)
+ Logiciel de formation
- Sélection du SRA
| Étude packer constatation unpackers déballage
| trouver kripter (signature ne figure pas sur les bases de données anti-virus)
| fichier kriptovka SRA
- Techniques supplémentaires (kriptovka bloc-notes)
+ Rempli sur une mise en scène de serveur gratuit
+ Ordinateur pour trouver SRA installé et lie une coquille
+ Utilisation des ressources d'information, réseau compromise.

Pour commencer à regarder, quel logiciel est installé pour protéger le réseau. Il est avéré être anti-virus Kaspersky et le Dr Web, antivirus
Les bases de données sont mises à jour tous les jours et l'installation sur la voiture d'un Troy n'a pas été possible.
Le pare-feu n'a pas été), ceci est un très heureux, parce que le trafic indésirable est certainement pas coupé et aucun port ne sont pas filtrés,
tâche un peu plus facile.
Sachant ce qui est installé sur la machine (anti-virus) et non sur chaque machine), 3 User, dont 2 ont des droits
Administrateur, et le troisième un utilisateur simple, sans aucun droit.
Maintenant, nous devons nous préparer pour le processus de piratage. Pour cela, nous devons: Troy (SRA), l'analyseur et unpackers kripter.
------ ------ ------
SRA - système de administratirovaniya à distance (RAT).
Analyzer - analyse la façon dont le fichier de programme de packer emballé (peid).
Déballeurs - un programme qui décompresse le fichier Programnyj (par exemple QUnpack).
Kripter - programme crypto (code) fichier de code.
------ ------ ------
Comme cya prendre RAT contrôle de X, puisque la taille du serveur est très faible. Fusionner la nouvelle base de données anti-virus, scanner
partie serveur de server.exe rata, il est déterminé par Casper (KAV 5.0.156 avec de nouvelles bases de données) .Zadacha est maintenant
Cacher troya.Ya regarder de plus près le processus de chiffrement de Troie Antivirus, car il considérait où peu (et si
a considéré que le procédé est plus valide).

[Hiding:

- Définir ce qui est emballé server.exe (via peid) il se trouve que UPX 0.89.6 - 1.02 / 01.05 à 01.24 -> Markus & Laszlo
- Pour le fichier brouillé pour décompresser d'abord décompresser, nous utiliserons un UPX simples (I
1.25) .Raspakovyvaem ainsi:
upx.exe -d server.exe
upx.exe - programme upx
-d - lambeaux avec laquelle nous extraire un fichier
server.exe - le fichier à décompresser
Le serveur avec succès déballés ... Taille * décompressé Encore une fois la pâte et peid Rien trouvé était seulement 17 kilobytes
(Auparavant, il était de 9,50 kb) test sur les performances du serveur. (Démarrer le serveur)
Lorsque vous exécutez pas d'erreurs, nous regardons dans le démarrage, voir XFLASH, regardez dans le Gestionnaire des tâches, voir xflash.exe,
Konekt le client lui-même, le succès Konekt, d'où le fichier dans l'état de fonctionnement, l'extraction est réussie. maintenant supprimer
à partir de démarrage (Server), complétant le processus et le retirer de la
C: \ WINDOWS \ system32 \ fichier xflash.exe.Libo juste Konekt à son client, accédez au système d'onglet à supprimer et appuyez
(Après avoir appuyé sur ce bouton, le serveur est supprimé de démarrage et de system32)
Après avoir retiré essayant brouillé fichier server.exe (décompressé).
- Je l'avais essayé une kripter grappe, les conditionneurs et les protecteurs, mais que leurs signatures sont déjà dans les bases de données de Kaspersky (et
et si elles ne sont pas, alors la procédure est pas kriptovki réussie) ils sont soit déterminés, ou tout simplement ne veulent pas courir. mais
Pourtant kripter a été trouvé par deNULL.Kripter pas très nouveau, mais apparemment il est pas dans les bases de données, et il est pas défini par Kaspersky.
bien sûr brouillés fichier, il n'a pas été détecté par Kaspersky, mais il se bloque dans le processus et peut être vu dans le dossier system32 (mon ami m'a envoyé
une ancienne version d'un cheval de Troie qui ne peut pas voir tout démarrage ou dans les processus de toute sistem32), après avoir eu
la version 1.3.5 de la RAT, j'ai fait un avec lui les mêmes opérations, et il est devenu invisible. Presque invisible prêt triple.
Qui est laissé à considérer est comment installer ce cheval de Troie.

[Réglage de Troy:

] Des vulnérabilités dans ie (par exemple sploit Ani exploitent), mais il est pâturées par Kaspersky, cette option est coupée.
] Des vulnérabilités dans RPC DCOM, etc. (sploitov kaht2, RPC GUI v2 - r3L4x, LSA smallsoft) La version est pas mal, le piratage peut être fait
à distance et via ftp télécharger et exécuter le fichier Trojan.
], Remplissez simplement le type de fichier de service gratuit www.webfile.ru assis et dépeignant télécharger lamer et exécuter un troya.Variant de fichier
Il peut même être la plus optimale, puisque l'utilisation d'exploits besoin de connaître l'IP de l'ordinateur sur le réseau, ouvert à + ftp,
fichier de pompage .. ce long, donc je vais me concentrer sur 3 points.
Maintenant, nous sommes prêts à pénétrer dans le réseau, mais dans le but d'avoir un pied dans certains système (depuis qui sait la signature
kripter pourrait bientôt arriver à la base de données antivirus) .Je souhaite utiliser la méthode décrite dans son article Proteus
(Le moyen idéal pour propager du code "malveillant") Se référant vous pensez que tout fichier, personne ne songerait à retirer du système? Il peut
être un ordinateur portable, calculatrice .. tout est seulement limité par votre voobrazheniem.Delaem parce
écrit Proteus, dans la section de téléchargement il y a une annexe à un article sous la forme de multi-thread + se lie section Shelah prise sur la date
Il LordPE (ngh.void.ru/soft/d/bind.rar)

[Trouver un ordinateur sur le réseau après la pause:

Trouver la machine compromise dans un réseau, d'abord aller au chemin de www.leader.ru par Voiz ip tout ordinateur du réseau.
Et après un fichier de bloc-notes des changements, et installer le Troy informatique côté serveur peut être trouvé en balayant toutes les adresses
le sous-réseau (prendre ip tout ordinateur sur le réseau et sur leader.ru idёi)

Informations générales
Hostname
namehost.ru <hostname
IP
195.19. ???. ??? <Adresse Ip (que nous avons testé)
préférable MX
mail.server.ru <serveur de messagerie

Réseau d'information
nom
nom <nom
plage d'adresses
193.18.166.32 - 193.18.166.79 <ce qui nous intéresse (gamme pris le bulldozer)
propriétaire
nom, etc.)
emplacement
Rick, 50a, rue REd, le code de ville, pays
Informations de contact
nom, téléphone, etc.

L'information du domaine
nom
name.ru <adresse du site
propriétaire
RED <nom du propriétaire
les noms de serveurs
ns.1.ru, ns.1.ru
statut
ENREGISTRÉ, DELEGUE

Module de leader Whois v 4.0 (C) par Alexander K. Yezhov,
[email protected]

dans mon cas, une gamme de 193.18.166.32 - Maintenant 193.18.166.79, vous numérisez seulement pour port ouvert 4444 (sur
ce port pendu lie un shell intégré dans certains fichiers quelconques)


[Hacking:
Il est simple, vous allez dans la chambre avec la rupture du réseau local, vous vous asseyez pour une heure "chat"), fusionne les fichiers téléchargés sur
www.webfile.ru, il kriptovat serveur Troy et le notebook "légèrement modifiée". Lance fichier Trojan qui remplace l'ordinateur portable
nouveau fichier. Et avec spoykoynoy âme dosidev le temps de rentrer chez vous, Konekt au réseau (sur la façon de trouver ip ci-dessus)
et que vous utilisez la machine compromise à leur avantage.

[La protection de
Et pour protéger contre le piratage est très simple, il vous suffit de couper le chemin principal pour l'attaquant. Mise à jour de la base de données anti-virus chaque
jour - pas une panacée, de sorte que le pare-feu (je conseille Agnitum Outpost Firewall) - il est tout ce que nuzhno.Faervol difficile
l'opération ci-dessus, écrit tout ce qui se passe dans log.Poetomu exploits de piratage tels est pas possible pour le PKK
ce port est filtré par le pare-feu, télécharger le fichier en utilisant des bogues dans ie pas non plus possible d'avoir le pare-feu + mode furtif y
(Dans lequel l'ordinateur comme il est pas en ligne, il ne répond pas au ping, etc.) LANs .Administratory certainement entendu
qu'il existe un pare-feu, je ne sais pas ce qui les empêche d'utiliser (une licence ne peut pas avoir l'argent, et ils ne savent pas ce que la fissure :) ou
il arrive juste à cause de l'administrateur de la paresse naturelle. Mais si le feu a été installé, les problèmes à l'avenir auraient été
beaucoup moins que sans le pare-feu installé.
Si nous dirigeons donc pas envie de télécharger, installer, nastravit (bien que cela peut être fait en 5 minutes), le pare-feu, qui est,
Sinon, il suffit d'installer les correctifs (patch) et par le PKK et d'autres bugs de Windows), que pensez-vous combien cela va peser
tous ces patchs? ? Et combien d'entre eux dans le montant sur les résultats XSpider scan a révélé ce que vous devez installer sp2 (sp2 - ensemble
patches + un semblant de "faerola"), sinon défini, alors vous devez définir l'ordre de 13 - 14 patches (à partir de la télécommande
exécuter des commandes à débordement de tampon) .Razmer 1 correctif plus de 5-6 Mo (FIRE pèse 5 Mo) et les installer plus de
5 min) => Définit l'Outpost et tout ira bien.

pour préserver les exigences de sécurité du réseau:
- Mise à jour anti-virus au moins 1 fois par semaine
- Installation du pare-feu, les journaux de suivi et open Potro
- Installation des patchs (s'il y a des vulnérabilités graves qui ne sont pas sauver FIRE)
- Les droits de l'utilisateur (mot de passe administrateur est pas sur les chiffres :)
- Veille sur les utilisateurs ou installer le programme de surveillance à travers lequel nous pouvons voir que l'utilisateur est
Il est en train de faire sur votre PC.