(Foto: Computerworld)

Prøv de rigtige hackingværktøjer

Værktøjer som Armitage kan både true og redde din computer.

15. maj 2012 kl. 13.05

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Inden for de seneste ti år har hackingværktøjer gennemgået en kolossal forandring. De plejede at være kommandolinjesager med myriader af valgmuligheder, der smed resultaterne ned i filer, som man så skulle gennemgå for at finde spor, eller også skulle man manipulere sagerne med komplekse Perl-scripts.

De tider er forbi for alle andre end de mest avancerede hackere, fordi nutidens hackingværktøjer omsider er ved at indhente de fiktive brugerflader, man så på film i 1990’erne.

Begrebet ”script kiddie” var før et nedsættende udtryk, der blev brugt om nyomvendte hackere, der ikke rigtig vidste, hvad de foretog sig, men forbedringer i professionelle hackingapplikationer har nu lagt avancerede angrebsværktøjer i hænderne på nybegyndere. Kombinationen af brugervenlige værktøjer og avancerede brugerflader er farlig ude i vildmarken. Det kan man erfare ved at hacke sit eget private netværk.

Gå tilbage

Takket være udviklernes omfattende indsats for at samle teknikker til at udnytte sårbare operativsystemer og udsende ondsindet materiale har Metasploit Frameworks hackingværktøjer gjort mere for at bringe hacking ud til masserne end nogen anden. Den gratis udgave er ingen undtagelse. Det er så betydningsfuldt, at eksperter i netsikkerhed bruger en speciel Linux-distribution ved navn BackTrack. Her er alt det nødvendige samlet, kompileret og afprøvet. BackTrack indeholder desuden en glimrende tredjeparts-brugerflade til Metasploit Framework.

Den tager sig af alle de besværlige detaljer med at indstille flag og systemvariabler, så man kan koncentrere sig om arbejdet. Denne brugerflade hedder Armitage. For at demonstrere Armitages styrke arrangerer vi en mål-pc, der kører Windows XP, og en anden pc, der kører BackTrack via vores gamle ven VirtualBox. Vi har tidligere undersøgt, hvordan man med VirtualBox kan sniffe efter ikkekrypterede kodeord, og set på, hvordan hackerne kortlægger netværk før et angreb.

Hent VirtualBox’ eksekverbare installationsfil fra det officielle website. Dobbeltklik på installationsfilen, og accepter standardindstillingerne. Under installationen kommer der adskillige undervinduer, der spørger, om du vil installere forskellige moduler fra Oracle. De har med support til usb-enheder og så videre at gøre. Sig ja til at installere dem.

Når du kører VirtualBox, kommer VirtualBox Manager frem. Den opregner alle de virtuelle maskiner, du opretter, og giver mulighed for at modificere deres virtuelle hardware og tage snapshots af deres tilstand. Første gang du kører VirtualBox Manager, har du ingen operativsystemer installeret.

I virtualiseringssproget kalder man de operativsystemer, man installerer på virtuelle maskiner, for gæster. Det egentlige operativsystem, der kører på den rigtige hardware, kalder man værten. Vi går ud fra, at din vært er Windows 7.

BackTracks iso kan man downloade på det officielle website. Vælg Backtrack 5 R1, og bed om at få iso-versionen downloadet direkte.

Når du skal installere Backtrack som gæst, skal du oprette en ny virtuel pc og vælge ’Ubuntu Linux’ som typen. Accepter standardindstillingerne. Når den virtuelle pc er oprettet, vælger du den i VirtualBox Manager og klikker på ’Storage’ i feltet til højre. I det vindue, der kommer frem, klikker du på cd-symbolet ’Empty’. Drevets egenskaber kan du se i feltet til højre. Klik på cd-symbolet, og vælg ’Choose a virtual CD/DVD disk file’. Nu kommer der en filvælger frem. Gå til BackTrack-iso-filen, og klik ’OK’. Luk vinduet ved at klikke ’OK’, og start gæsten.

Du bliver hilst velkommen af en boot:-prompt. Tryk [Enter], og tryk også [Enter], når den grafiske bootskærm kommer frem. Operativsystemet booter ind i live-cd-tilstand. Når terminalen kommer frem, skal du skrive kommandoen startx for at boote ind i den grafiske desktop. Når den kommer frem, skal du installere den på gæstens virtuelle harddisk ved at dobbeltklikke på ikonet ’Install BackTrack’.

Du kan vælge alle standardindstillingerne under installationen ved at klikke på ’Forward’ i hvert skærmbillede. Til sidst klikker du ’Install’, og så begynder processen. Installationen varer omkring 20 minutter.

På vores målcomputer vil vi installere en gammel udgave af Windows XP Home. Luk begge virtuelle maskiner, og vælg en i VirtualBox Manager. Klik på ’Network’-sektionen i feltet til højre, så kommer der et undervindue frem. Klik på rullemenuen ’Attach to’, og vælg ’Bridged’. Klik ’OK’. Indstil begge gæs-ter til bridged networking på denne måde. Når de booter deres operativsystemer, vil de nu anmode om deres egne ip-adresser fra dhcp-serveren i din bredbåndsrouter. Boot gæsterne, og åbn en kommandolinje i Windows. Skriv kommandoen ipconfig for at notere dig denne adresse.

Held og lykke med søgningen

Før vi begynder at hacke fra BackTrack, skal vi sikre os, at vi har de nyeste opdateringer til det underliggende Metasploit Framework. Derefter skal vi starte Armitage-brugerfladen. Vi kan løse begge opgaver ved at åbne en terminal (der er på startbjælken øverst i skærmbilledet) og skrive kommandoen msfupdate ; armitage. Det opdaterer de exploit- og payloadbiblioteker, der starter Armitage.

Efter nogle minutters ordgyderi bliver du budt velkommen af en pop op-boks. Klik ’Connect’, og accepter tilbuddet om at starte Metasploit-serveren. Nu prøver Armitage at få forbindelse i nogle få sekunder, mens serveren starter.

Armitages brugerflade består af tre ruder. Øverst til venstre er exploit-biblioteket. Øverst til højre bliver de fundne mål vist, og ruden forneden viser Metasploit-terminalen. Der bliver føjet flere faner til den nederste rude, efterhånden som vi affyrer kommandoer.

Lad os først scanne målgæsten ved hjælp af portscanneren Nmap. Klik ’Hosts | NMAP scans | Intense scan, all TCP ports’. Skriv ip-adressen for den computer på dit netværk, som du vil scanne. Du kan skrive flere ip-adresser samtidig (192.168.1.3-5) eller enkeltvis (192.168.1.3,5). Det tager flere minutter for Nmap at klare opgaven, og fanen i den nederste rude bliver fyldt op med oplysninger om processen og om det, Nmap konstaterer, herunder oplysninger om operativsystemet.

Når processen er slut, bliver målet føjet til feltet øverst til højre. Nmap-proceduren bliver afsluttet af et pop op-vindue, der opfordrer dig til at scanne efter eventuelle angreb på de scannede computere. Det er her, det virkelig sjove begynder. Klik ’Attacks | Find attacks’. Et øjeblik senere bliver du belønnet med endnu et pop op-vindue, der ønsker dig god jagt.

Fjern-kodeord

Lad os nu kaste os over målet for alvor. Begynd med at højreklikke på målets ikon. Der er en Attack-menu. Under den er der yderligere undermenuer. Klik ’Smb | ms08_067_netapi’. Denne kommando kører en exploit mod målet for at drukne en buffer med kode. Nu kører målet af vanvare denne kode, der venter på, at Metasploit sender et større program ved navn Meterpreter. Dette program bruger exploitprocessen til at etablere et midlertidigt brohoved med henblik på fremtidig indtrængen i værten.

Der bliver åbnet en ny fane i Metasploit- ruden, og efter få sekunder bliver målets ikon rødt og iklædt lynstriber. Lad os nu stjæle målets krypterede kodeordsmarkeringer og cracke dem.

Først skal du sikre dig, at din konto på målet har et kodeord. Find det i en ordbog – de følgende aktiviteter viser, hvorfor det aldrig må blive brugt. I Armitage højreklikker du på ’Meterpreter | Access | Dump hashes | Isass method’.

Efter nogle få sekunder fortæller et pop op-vindue dig, at de manipulerede kodeord er blevet stjålet. Klik ’View | Credentials’ for at se dem i en fane i den nederste rude. Denne fane har en knap, der hedder ’Crack passwords’. Klik på den og på ’Launch’-knappen i det parametervindue, der kommer frem. Følg med, mens en funktion ved navn John the Ripper bliver afviklet og prøver at cracke de manipulerede kodeord. Ordbogsord, der bliver brugt som kodeord, har ikke en chance og falder inden for få minutter.

Få fuld adgang

Vi kan gå meget længere i vores udnyttelse af målcomputeren. Vi kan for eksempel se, hvad der kører på målet. Højreklik på målet, og vælg ’Meterpreter | Explore | Show processes’. Så kan du se, hvilke processer der kører på målet. Det ville dog være helt bedårende, hvis vi kunne logge ind i målet på afstand, som om der var tale om Linux.

Vi skal eskalere rettighederne for den Meterpreter-session, der kører midlertidigt på målet. Højreklik blot på målet, og vælg ’Meterpreter | Access | Escalate Privilege’. Nu kan vi bede Meterpreter køre cmd.exe på målet og sende outputtet tilbage til Metasploit. Højreklik på målet, og vælg ’Meterpreter | Interact | Commands shell’. Efter få sekunder kommer der en ny fane frem i den nederste rude, og den er sandelig en kommandoprompt!

Hvis du vil sikre dig, at den kører på målet og bliver ”skovlet” tilbage til Metasploit, skal du skrive kommandoen hostname, så bør målets værtsnavn komme frem. Prøv ipconfig, dir eller en hvilken som helst anden kommando.

Keylogging

Vi kan også logge tastatursekvenser, som bliver skrevet af brugeren af målmaskinen. Højreklik igen på målet, og vælg ’Meterpreter | Explore | Log Keystrokes’. Metasploit åbner en fane, og efter noget ordgyderi får du navnet på den fil, som det vil logge tastatur- sekvenser til. Man kan også få loggede tastatursekvenser i Armitage ved at klikke ’View | Loot’. De filer, der er blevet gemt, bliver vist. Dobbeltklik på en af dem, så bliver den åbnet og viser de tastatursekvenserer, der foreløbig er blevet fundet.

Skriv nogle få tastatursekvenser på målcomputeren, og klik på ’Refresh’ i Armitage.

Denne omfattende ’pwning’ af mål-pc’en er mulig, fordi vi har angrebet en ubeskyttet XP-maskine. Forhåbentlig viser den nemhed, hvormed vi fuldstændig har udnyttet den, hvorfor det er afgørende vigtigt at holde sin computer forsynet med automatiske opdateringer, så snart de er til rådighed. Det er kedeligt at vente på, at computere lukker ned, mens de installerer større opdateringer, men alternativet kan være, at du mister alle dine hemmeligheder.

En af de urovækkende egenskaber ved Metasploit Framework er evnen til at hente skæmdumps fra en hacket pc. Det er praktisk, hvis man har behov for at få bevis for, at en computer er usikker.

Det er enkelt at hente skærmdumps fra en inficeret computer ved hjælp af Armitage, men hvis det skal virke, må man først udvide sine rettigheder på den hackede computer. Hvis du vi udvide dine rettigheder og få administratorstatus, skal du højreklikke på den inficerede computers ikon og derefter vælge ’Meterpreter | Access escalate privileges’. Nu kan du højreklikke igen og vælge ’Meterpreter | Explore | Screenshot’.

Det fikse ved denne funktion er, at man kan opfriske billedet, når man vil, ved hjælp af knappen ’Refresh’, men man kan også sætte Armitage til automatisk at tage et skærmdump hver tiende sekund med knappen ’Watch’. Mens folk arbejder på et dokument eller løser en anden opgave, kan du følge med i processen.

I den virkelige verden kan muligheden for at følge med i andres arbejde hjælpe en hacker med at holde øje med, hvad brugeren foretage sig. Forbindelsen til den hackede computer, der gør det muligt for hackeren at tage skærmdumps, kan vises med kommandoen netstat -a. Det burde være nok til at advare den kloge bruger i tilfælde af indtrængen.

I Armitage er Hail Mary et sidste forsøg på at inficere en computer, der ellers er sikret. Det underliggende Metasploit Framework har et modul, der hedder db_autopwn, og som sorterer i databasen med exploits og payloads. Det vælger dem, der ser ud til at virke bedst mod et mål. Det er kringlet at indstille dette modul, men i Armitage kræver det kun få museklik.

Først skal man scanne undernettet for mål ved hjælp af ’Hosts | Nmap scan | Intense scan, all TCP port’. Når denne scanning er slut, klikker man ’Attacks | Hail Mary’.

På baggrund af resultaterne fra Nmap, herunder resultaterne af en søgning efter et specifikt operativsystem og en specifik version, gennemgår Armitage en række trin. Først opsøger det alle de exploits, der ser ud til at kunne få adgang til målet. Dernæst opregner det de sessioner, som de vellykkede exploits har gennemført.

Dette trin kan vare nogle sekunder, mens målet svarer, og sessionerne bliver gennemført. Til sidst kører Meterpreter-koden på målet. Målets ikon bliver rødt, og når man højreklikker på det, får man en Meterpreter-menu for hvert vellykket exploit. Det er ikke ualmindeligt at have mange nummererede Meterpreter-menuer til rådighed efter et Hail Mary-angreb.

Begreberne sårbarhed, exploit og payload bliver sommetider brugt om det samme, men for en hacker eller en netsikkerhedsekspert har hvert af dem en specifik betydning.

En sårbarhed er en sikkerhedsbrist i et program, der kører en proces. Den kan hidrøre fra en misforståelse eller en formodning om den måde, hvorpå programmet bliver brugt. Sådan en formodning kan inddrage mængden af data, der skal behandles.

En udbredt fejl, som nogle programmører stadig begår, er at lade en buffer gemme indgående data uden at måle disse data for at se, om de kan være i bufferen. Tanken er, at disse data altid kan være der. Men hvis en hacker sender flere data, end bufferen har plads til, kommer der ’overflow’. En overfyldt buffer kan gøre det muligt for en hacker at uploade en exploit. En exploit er som et brohoved, der tillader yderligere adgang til den hackede computer. Det større program, der bliver overført af denne exploit, kaldes en payload og rummer mere komplekse opgaver, for eksempel keylogging.

Man hører ofte, at en ubeskyttet Windows-computer, der befinder sig ude på internettet, bliver hacket eller inficeret inden for et døgn. Det skyldes, at arbejdet med at finde disse computere, udnytte dem og levere en payload, er blevet automatiseret i stor stil. Hvis formålet er at opbygge et stort botnet, behøver hackeren kun at vide, at antallet af inficerede computere, der står til hans rådighed, stiger forrygende.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]