Инвентаризация системного реестра

Другой способ получения информации о приложениях, установленных на удаленном компьютере, подразумевает получение доступа к содержимому системного реестра исследуемого ПК. Все современные приложения, корректно установленные на компьютере, оставляют заметные сведущему, опытному взгляду "следы" в системном реестре. Нужно только знать, в каких ключах системного реестра следует искать требуемую информацию. Кроме того, потенциальный взломщик, получивший доступ к системному реестру, может извлечь из него немало сведений о пользователях и параметрах настройки операционной системы. Проявив терпение, можно обнаружить сведения, которые могут упростить получение доступ к нужной информации. Однако, доступ к системному реестру по умолчанию разрешен лишь администраторам. Таким образом, этот метод обычно неприменим при использовании нулевой сессии. Однако из этого правила есть одно исключение, когда в ключе системного реестра HKLM\System\Current-ControlSet\Control\SecurePipeServer\Winreg\AllowedPathsзаданы другие параметры, открытые для доступа посредством нулевых сеансов. В этом случае по умолчанию доступ разрешен к ключу HKLM\Software\Microsoft\windowsNT\ CurrentVersion.

Подбор (перехват) пароля.

Пароли можно получить двумя основными путями – путем перехвата или путем подбора пароля. Есть еще и третий путь – обход процедуры аутентификации, но это уже взлом системы, а не пароля.

Самый простой и очевидный путь – это подбор. Метод заключается в переборе всех вариантов сочетаний букв и цифр, составляющих пароль. Ввиду того, что пользователи зачастую берут в качестве пароля не бессмысленный набор знаков, а осмысленные слова, часто можно применять перебор паролей по специальному словарю, составленному из общеупотребительных слов. К счастью, в настоящее время, как хоть самый малый результат пропаганды информационной безопасности, он стал сдавать свои позиции. Еще не так давно словарь в 5000 существительных давал положительный результат в 60% случаев.

Сегодня пользователи стремятся усложнить пароль, добавляя в парольную фразу цифры, "лишние” буквы и т. д. С другой стороны, методы подбора паролей тоже совершенствуются. Например, разрабатываются абстрактные языки составления пароля, которые позволяют описывать примерный процесс составления пароля пользователем, что дает возможность программе генерировать и "усложненные” пароли.

Следующей модификацией подбора паролей является проверка паролей, устанавливаемых в системах по умолчанию. В некоторых случаях администратор программного обеспечения, проинсталлировав или получив новый продукт от разработчика, не удосуживается проверить, из чего состоит система безопасности.

Основная часть подготовительной деятельности для проникновения в систему  уже проведена: цель выбрана, а ее ресурсы инвентаризованы и разложены по полочкам. Если при сканировании портов оказалось, что порты 135, 139и 445находятся в состоянии ожидания запросов, значит, данный узел, по-видимому, работает под управлением системы Windows. Более полная информация о системе Windowsможет быть получена при сборе идентификационных маркеров приложений. После выбора цели начинается процесс инвентаризации ее ресурсов. При инвентаризации обычно выявляется большое количество информации, что зачастую бывает трудно провести грань между тем, где заканчивается инвентаризация и где начинается непосредственно проникновение в удаленный компьютер. Обычно попытки взлома пароля следуют сразу же после выявленным именем пользовательской учетной записи. Анализируя данные, полученные с помощью методов инвентаризации, взломщик обычно всегда находит какие-то слабые места системы для выбора точки проникновения.

Главное правило, о котором нельзя забывать при обеспечении безопасности Windows, состоит в том, что потенциальный взломщик мало что может сделать, если он не обладает правами администратора на атакуемой машине. Поэтому взломщиками прилагаются все усилия по выявлению учетных записей пользователей, обладающих правами администратора. Получив в свое распоряжение имя такой учетной записи, следующим шагом в  получении привилегий администратора будет подбора пароля. Если на удаленном ПК запущена служба NetBIOS, с которой связан TCP-порт 139, то самым эффективным методом проникновения является удаленное подключение к выявленному ранее при инвентаризации ресурсов какому-либо совместно используемому ресурсу и подбор регистрационных пар вида логин/пароль до тех пор, пока одна из этих пар не окажется правильной. Найти такой ресурс не составляет труда. Стандартно присутствуют следующие ресурсы: ADMIN$, [раздел диска]$ (например C$), IPC$.

В случае неправильно настроенного уровня сеансовой безопасности, пароль можно перехватить по сети. Выход – уровень сеансовой безопасности – использование NTLM2. Другие методы получения информации о паролях — получение файла базы данных SAM. Но для этого необходим физический доступ к ПК.
Далее...