◙ Biện pháp đối phó hiện tượng leo thang NetDDE.
ĐÁNH CẮP THÔNG TIN
Một khi đã có được Administrator-trạng thái tương đương, giới tin tặc sẽ tìm cách nhằm chiếm đoạt nhiều thông tin hơn những thông tin này có thể là đòn bẩy cho các vụ tấn công khác.
Khai thác thông tin mật khẩu Windows 2000
Giới tin tặc sẽ rất vui mừng khi biết được là LanManager (LM)hash được lưu trữ bằng cách mặc định trong Windows 2000 để cung cấp sự tương thích ngược với các máy khách không Windows NT/2000. phương pháp mặc định này là nguyên nhân chủ yếu của các điểm tấn công được thảo luận trong chương 5 cùng với phương pháp giải quyết. Tuy nhiên, với một phương pháp đối phó giản đơn, kỹ thuật tập hợp password hash tiêu chuẩn là rất hạn chế bởi một số đặc tính mới của Windows 2000, chủ yếu là SYSKEY. Nhưng rất hạn chế như chúng ta có thể thấy.
◙ Chiếm đoạt SAM
Tính phổ biến: 8 Tính giản đơn: 10 Tính hiệu quả: 10 Mức độ rủi ro: 9Trong bộ điều khiển vùng của Windows 2000, password hashes được lưu trữ trong Active Directory(%windir%\NTDSntds.dit). Với thiết bị mặc định các đối tượng đã được cài đặt, tệp này chiếm 10 megabytes, nằm trong một dạng thức bí ẩn, vì thế giới tin tặc không muốn gỡ bỏ tệp này để phân tích ngoại tuyến.
Trong bộ điều khiển phi lĩnh vực (DCs), tệp quản lý mục an toàn (SAM) vẫn là mục tiêu lựa chọn, và việc chiếm đoạt SAM được thực hiện chính xác như
được thực hiện dưới NT 4. Tệp SAM vẫn được lưu trữ trong % gốc hệ thống %\ hệ thống 32\ cấu hình và vẫn bị OS khóa. Khởi động với DOS và chiếm đoạt SAM vẫn có thể được thực hiện trong hệ thống tệp tin NTFS v.5 mới bằng cách sử dụng tiện ích NTFSDOS dễ bị tổn thương trên địa chỉ: http:// www.sysinternals.com/. Một bản sao tệp tin SAM vẫn xuất hiện trong \%gốc hệ thống%\ sửa chữa (tên “SAM” được thay bằng “SAM_” như trong NT 4), và tệp tin đó bao gồm tất cả người sử dụng cấu hình trong một hệ thống khi cài đặt. Tiện ích rdisk được tích hợp vào Microsoft Backup v.5 ứng dụng (ntbackup. exe), tệp tin có một chức năng tạo đĩa sửa khẩn cấp. Khi lệnh Create Emergency Repair Disk được chọn, hộp thoại hỏi: thông tin có sao chép sang thư mục sửa hay không như dưới đây:
Nếu đồng ý sự lựa chọn đó, Registry, bao gồm tập hợp SAM, được sao chép sang %windir% \sửa\ danh mục RegBack. Các thành viên của nhóm Users có truy cập Read với danh mục đó, và các thành viên của Power Users có truy cập Modify nếu ổ đĩa hệ thống được định dạng NTFS mặc dù chỉ Power Users có truy cập bổ sung với tệp tin đó, chứ Users thì không. Các vụ tấn công bản sao SAM phần nào được giảm nhẹ do tệp tin đó là SYSKEYed, và các kỹ thuật giải mã một tệp tin SYSKEYed (trái với pwdump2ing một SAM nóng không được phát ra tự nhiên.)
Chú ý
:Tệp tin SAM Windows 2000 đượclà SYSKEY mặc định (xem phầnsau) và phải được trích lọc ra cùng với pwdump2 hoặc 3.
◙ Giữ Clean Repair\Thư Mục RegBack
Lưu ý không lấy bất kỳ một cơ hội nào – di chuyển những file này tới một ổ đĩa có thể xoá được hay tới một điểm bảo mật thay thế, và không để những file này vào thư mục RegBack. Tuy nhiên, tốt hơn hết bạn không nên chọn Backup Registry Locally khi đang chạy tiện ích Create Emergency Repair Disk (Tạo đĩa khởi động khẩn cấp).
☻Kết Xuất File Rối Với PwdumpX
Tính phổ biến 8 Tính đơn giản 10 Tính hiệu quả 10 Mức độ rủi ro 9SYSKEY giờ đây là cấu hình mặc định cho Windows 2000 (xem mục KB Q14375 và chương 5 để biết hiểu thêm về SYSKEY). Vì vậy, công cụ pwdump không thể trích xuất chính xác hết những mật khẩu từ mục Registry trong những sản phẩm máy chủ có cài Windows 2000. Để thực hiện công việc này cần có pwdump2 (xem chương 5 để hiểu thêm về pwdump và pwdump2, và tại sao pwdump lại không thể thực hiện chống SYSKEY). Hơn nữa, việc trích xuất thông tin cục bộ từ trình điều khiển miền cần có phiên bản mới nhất của pwdump2 (tại http://razor.bindview.com) vì những thông tin này phụ thuộc vào Active Directory (thư mục động) để lưu trữ những mật khẩu hơn là phụ thuộc vào SAM như trước đây.
Công nghệ kinh doanh điện tử, inc., vừa cho ra một phiên bản công cụ pwdump2 gốc của Todd Sabin có tên pwdump3e (http://www.ebiz- tech.com/html/pwdump.html). Pwdump3e cài đặt samdump DLL như một dịch vụ để trích xuất thông tin từ xa qua SMB (TCP 139 hay 445). Pwdump3e sẽ không hoạt động trên hệ thống cục bộ.
◙ Biện Pháp Đối Phó pwdumpX
Sẽ không có cản trở đối với pwdump2 hoặc pwdump3e nếu cài đặt DLL không hoạt động trong Windows. Tuy nhiên pwdumpX cần phải có đặc quyền của Administrator để thể hoạt động và nó phải được chạy trong mạng cục bộ. Nếu kẻ tấn công dành được lợi thế này, chúng có thể đạt được mục đích trên hệ thống cục bộ. (Tuy nhiên sử dụng sữ liệu từ SAM để tấn công hệ thống giao phó lại là một vấn đề khác).
☻Nhập Thông tin vào SAM bằng chntpw
Tính phổ biến 8 Tính đơn giản 10 Tính hiệu quả 10 Mức độ rủi ro 9
Nếu kẻ tấn công dành được truy cập vật lý vào một hệ thống, cùng với thời điểm ít được chú ý tương xứng để khởi chạy nó sang một hệ điều hành khác, chúng có thể thực hiện được một cuộc tấn công tinh vi được Petter Nordahl- Hagen mô tả tại trang http://home.eunet.no/~pnordahl/ntpasswd/. Trong hàng loạt trang liên kết của trang này, Petter đưa ra một số những dẫn chứng gây chú ý, bao gồm:
Những thông tin phân tách có thểđược đưa vào SAM ngoại tuyến, cho phép bất cứ ai có thể thay đối mật khẩu của người sử dụng hệ thống đó.
Petter tiếp tục một mô tả và cung cấp những công cụ để tạo lập một đĩa mền khởi động Linux có thể sử dụng đểđược khởi động lại một hệ thống NT/2000, thay đổi mật khẩu Administrator (thậm chí mật khẩu này đã được đổi tên), khởi động, và sau đó đăng nhập với một mật khẩu mới. Sau đây là một sự kết hợp thú vị:
Tính năng nhập chỉ hoạt động ngay cả trong trường hợp đã ứng dụng SYSKEY và tiến hành lựa chọn bảo vệ SYSKEY bằng một mật khẩu và lưu trên một đĩa mềm
“Đợi một giây”, chúng tôi được biết rằng : “SYSKEY áp dụng vòng mã hóa thứ hai 128 bit đối với nhứng thông tin phân tách mật khẩu sử dụng một khóa duy nhất được lưu trong Registry, vốn được bảo vệ tùy chọn bằng một mật khẩu, hay được lưu trong đĩa mềm (xem chương 5). Làm sao một người có thể cho những thông tin phân tách vào mà không biết khoá hệ thống được dùng để tạo ra chúng?”
Petter đã tìm ra cách tắt SYSKEY. Nghiêm trọng hơn, ông đã phát hiện ra rằng sẽ không phải thực hiện điều đó - những thông tin phân tách kiểu cũ nhập trong SAM sẽ tự động chuyển đổi thành dạng SYSKEY hóa ngay khi khởi động lại hệ thống. Chúng ta phải khâm phục Peter về phát kiến thiết kế đối chiếu này. Cúi đầu bái phục Peter!
1. Thiết lập HKLM\System\CurrentControlSet\Control\Lsa\SecureBoot về 0 để làm vô hiệu hoá SYSKEY (những giá trị có thể áp dụng cho khoá này là 0 – vô hiệu hoá; và 1 – khoá chưa được bảo mật được lưu trong Registry; 2 – khoá đã bảo mật bằng cụm mật khẩu trong Registry; 3 – khoá được lưu trong đĩa mềm.)
2. Thay đổi một cờ hiệu đặc tả trong HKLM\SAM\Domains\Account\F cấu trúc nhị phân sang một hình thức tương tự như SecureBoot trước đây. Trong khi toàn hệ thống đang hoạt động, khoá này không thể tiếp cận mở được.
3. Chỉ riêng trong Windows 2000, khoá <mặc định> trong HKLM\security\Policy\PolSecretEncryptionKey cần phải đổi sang giá trị tương tự như hai khoá trước.
Theo Petter, chỉ thay đổi một trong hai giá trị đầu trong NT4 lên tới những giá trị SP6 sẽ xảy ra sự không nhất quán giữa SAM và những thiết lập hệ thống khi khởi động kết thúc,và SYSKEY được tái thiết lập. Trong Windows 2000, sự không nhất quán giữa ba khoá này dường như được thiết lập lại với giá trị có thể nhất khi khởi động lại.
CẢNH BÁO
: Sử dụng những kỹ thuật này có thể dẫn đến SAM bị hư hại, hoặc không dùng được nữa. Khi những kỹ thuật này không khởi động lại đượcnữa, chúng ta mới thử nghiệm chúng trên phần cài đặt NT/2000. Chú ý không nên chọn Disable SYSKEY trong mục chntpw trong Windows 2000. Những phản ứng cực kỳ nguy hại có thể sảy ra khi thực hiện kỹ thuật này, và thường phải tiến hành cài đặt lại từ đầu.
CHÚ Ý
:Kỹ thuật này sẽ không thay đổi những mật khẩu chương mục đối tượng sử dụng trong trình điều khiển miền có cài đặt Windows 2000 vì nó chỉ nhằm vào file SAM đã hỏng. Về DC, những thông tin phân tách mật khẩu được lưu trong Thư Mục Động, chứ không lưu trong SAM.◙ Biện Pháp Đối Phó pwdumpX
Cài đặt DLL không hoạt động trong Windows sẽ không cản trở pwdump2 hoặc pwdump3e. Tuy nhiên pwdumpX cần có đặc quyền của Administrator để hoạt động và nó phải được chạy trong môi trường mạng cục bộ. Nếu kẻ tấn công dành được lợi thế này, chúng có thểđạt được mục đích trên hệ thống cục bộ. (Tuy nhiên sử dụng sữ liệu từ SAM để tấn công hệ thống là một vấn đề khác).
☻Nhập Thông tin vào SAM bằng chntpw
Tính phổ biến 8 Tính đơn giản 10 Tính hiệu quả 10 Mức độ rủi ro 9
Nếu kẻ tấn công đã truy nhập vật lý vào một hệ thống, chúng có thể thực hiện được một cuộc tấn công tinh vi, được Petter Nordahl-Hagen giới thiệu trên địa chỉ http://home.eunet.no/~pnordahl/ntpasswd/. Trong hàng loạt trang liên kết trên địa chỉ này, Petter đưa ra một số những dẫn chứng gây chú ý, bao gồm:
Những thông tin phân tách có thểđược đưa vào SAM ngoại tuyến, cho phép bất cứ ai cũng có thể thay đối mật khẩu của người sử dụng hệ thống đó.
Petter tiếp tục một mô tả và cung cấp những công cụ để tạo lập một đĩa mềm khởi động Linux có thể sử dụng đểđược khởi động lại một hệ thống NT/2000, thay đổi mật khẩu Administrator (thậm chí mật khẩu này đã được đổi tên), khởi động, và sau đó đăng nhập với một mật khẩu mới. Sau đây là một sự kết hợp thú vị:
Tính năng nhập chỉ hoạt động ngay cả trong trường hợp đã ứng dụng SYSKEY và tiến hành lựa chọn bảo vệ SYSKEY bằng một mật khẩu và lưu trên một đĩa mềm
“Đợi một giây”, chúng tôi được biết rằng : “SYSKEY áp dụng vòng mã hóa thứ hai 128 bit đối với nhứng thông tin phân tách mật khẩu sử dụng một khóa duy nhất được lưu trong Registry, vốn được bảo vệ tùy chọn bằng một mật khẩu, hay được lưu trong đĩa mềm (xem chương 5). Làm sao một người có thể cho những thông tin phân tách vào mà không biết khoá hệ thống được dùng để tạo ra chúng?”
Petter đã tìm ra cách tắt SYSKEY. Nghiêm trọng hơn, ông đã phát hiện ra rằng những thông tin phân tách kiểu cũ nhập trong SAM sẽ tự động chuyển đổi thành dạng SYSKEY ngay khi khởi động lại hệ thống. Chúng ta phải khâm phục Peter về phát kiến thiết kế đối chiếu này. Xin cúi đầu bái phục Peter!
4. Thiết lập HKLM\System\CurrentControlSet\Control\Lsa\SecureBoot về 0 để làm vô hiệu hoá SYSKEY (những giá trị có thể áp dụng cho khoá này là 0 – vô hiệu hoá; và 1 – khoá chưa được bảo mật được lưu trong Registry; 2 – khoá đã bảo mật bằng cụm mật khẩu trong Registry; 3 – khoá được lưu trong đĩa mềm.)
5. Thay đổi một cờ hiệu đặc tả trong HKLM\SAM\Domains\Account\F cấu trúc nhị phân sang một hình thức tương tự như SecureBoot trước đây. Trong khi toàn hệ thống đang hoạt động, khoá này không thể tiếp cận mở được.
6. Chỉ riêng trong Windows 2000, khoá <mặc định> trong HKLM\security\Policy\PolSecretEncryptionKey cần phải đổi sang giá trị tương tự như hai khoá trước.
Theo Petter, chỉ thay đổi một trong hai giá trị đầu trong NT4 lên tới những giá trị SP6 thì sẽ gây ra sự không nhất quán giữa SAM và những thiết lập hệ thống khi quá trình khởi động kết thúc,và SYSKEY được tái thiết lập. Trong Windows 2000, sự không nhất quán giữa ba khoá này dường như được tái thiết lập bằng giá trị có thể nhất khi khởi động lại.
CẢNH BÁO: Sử dụng những kỹ thuật này có thể khiến SAM bị hư hại, hoặc hỏng hoàn toàn. Khi những kỹ thuật này không khởi động lại được nữa, chúng ta mới thử nghiệm chúng trên phần cài đặt NT/2000. Chú ý không nên chọn Disable SYSKEY trong mục chntpw trong Windows 2000. Những phản ứng cực kỳ nguy hại có thể xảy ra khi áp dụng kỹ thuật này, và thường phải tiến hành cài đặt lại từ đầu.
CHÚ Ý:Kỹ thuật này sẽ không thay đổi những mật khẩu chương mục đối tượng sử dụng trong trình điều khiển miền có cài đặt Windows 2000 vì nó chỉ nhằm vào file SAM đã hỏng. Về DC, những thông tin phân tách mật khẩu được lưu trong Thư Mục Động, chứ không lưu trong SAM.
◙ Những Biện Pháp Đối Phó chntpw
Khi kẻ tấn công đã thực hiện được truy xuất vật lý không hạn chế tới một hệ thống, chúng ta vẫn có một số biện pháp đối phó tấn công kiểu này. Công việc khảo sát đầu tiên là thiết lập SYSKEY tạo thành sự can thiệp cần thiết vào quá trình khởi động hệ thống bằng cách nhập một mật khẩu hoặc một khoá hệ thống từđĩa mềm (xem chương 5 để biết thêm chi tiết về ba hình thức của SYSKEY). Vì vậy, ngay cả khi kẻ tấn công muốn thiết lập lại mật khẩu Administrator thì vẫn phải nhập mật khẩu SYSKEY để khởi động hệ thống. Tất nhiên, kẻ tấn công vẫn có thể sử dụng chntpw để vô hiệu hóa toàn bộ SYSKEY, nhưng chúng có thể gây hỏng hệ thống mục tiêu nếu là Windows 2000.
Giả sử Petter đã vô hiệu hoá toàn bộ SYSKEY, lựa chọn duy nhất với hệ nhị phân chntpw—điều gì sẽ xảy ra nếu nó được thiết lập về 1 thay vì về 0, để lưu khoá hệ thống trong mạng cục bộ. Điều này có thể vô hiệu hoá chế độ bảo vệ SYSKEY dạng password-hoặc ploppy, làm biện pháp đối phó này trở nên vô dụng. Bộ mã gốc cho chntpw có trên trang Web của Petter … và cách thức sử dụng hiệu quả chntpw trong chế độ hiệu chỉnh Registry cũng được giới thiệu trên cùng địa chỉ này.
Nếu không có chế độ bảo mật của SYSKEY dạng password hoặc ploppy, bạn phải dựa vào những thủ thuật bảo mật cũ, như đảm bảo những hệ thống quan trọng phải được bảo mật vật lý và thiết lập mật mã BIOS hoặc vô hiệu hóa những truy xuất từ ổ đĩa mềm lên hệ thống.
