通过NetBIOS入侵(二)

: ExchAuthenticate() called with
NTServerName:[SAMPLESERVER]
NTDomainName[SAMPLESERVER] adminMailbox:[administrator]
adminLoginName:[administrator]
password:[PASSWORD]
很明显，这个文档包含有入侵者用来进一步破坏您的网络完整性的信息。
Profile.tfm：Profile.tfm是个由POP3客户机软件AcornMail生成的文档。在撰写本文时，AcornMail开始引起internet界的广泛关注。在检测该软件时，我们发现他是个很有效的POP3客户机，但其安装并不很好地兼容NTFS。在安装完该软件后，我们开始检查AcornMail生成的文档，发现Profile.tfm文档保存有用户名/口令。一开始，我们断定该软件完全正常，因为他确实以加密的形式存储口令。接着，我们意识到profile.tfm的允许权限被配置为Everyone/完全控制。这样就有了问题，因为任何人都能得到该文档的一个拷贝并把这个文档插入他们自己的AcornMail安装程式中。然后，入侵者就能
用已存储的信息来登录。下面是网络监测器中的俘获信息：
00000000 00 01 70 4C 67 80 98 ED A1 00 01 01 08 00 45 00 ..pLg........
.E.
00000010 00 4A EA A7 40 00 3D 06 14 88 CF 62 C0 53 D1 36 .J..@.=....b.
S.6
00000020 DD 91 00 6E 04 44 F6 1E 84 D6 00 32 51 EB 50 18 ...n.D.....2Q
.P.
00000030 22 38 64 9E 00 00 2B 4F 4B 20 50 61 73 73 77 6F "8d... OK.Pas
swo
00000040 72 64 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 rd.required.f
or.
00000050 68 6B 69 72 6B 2E 0D 0A jjohn...
00000000 98 ED A1 00 01 01 00 01 70 4C 67 80 08 00 45 00 ........pLg..
.E.
00000010 00 36 A4 02 40 00 80 06 18 41 D1 36 DD 91 CF 62 .6..@....A.6.
..b
00000020 C0 53 04 44 00 6E 00 32 51 EB F6 1E 84 F8 50 18 .S.D.n.2Q....
.P.
00000030 21 AC 99 90 00 00 50 41 53 53 20 67 68 6F 73 74 !.....PASS.xe
rox
00000040 37 33 0D 0A 63..

如您所看到的，用户名/口令确实是用纯文本传送的。这不是AcornMail的错，但是在POPvX中已有问题出现。这个“数据”文档对换/包取样的方法已由Rhino9小组在大量的软件上测试过，因此，这一攻击并不局限于AcornMail。
我们已对入侵者想要得到的文档（假如获得对您的硬驱的访问权限）进行了探讨，现在我们就来讨论一下安放特洛伊木马。假如有一种方法能使攻击者获得大量的 信息，那就是安放特洛伊木马。公开的文档共享攻击一般都会为安放特洛伊木马提供方便。在最容易安放和最广为人知的特洛伊木马中，有一个是捆绑在批处理文档中的PWDUMP实用程式。假如准备妥当，这个批处理文档就会最小化执行（也被称为聪明的文档，如viruscan.cmd），然后再运行PWDUMP实用程式，在运行了他的进程后删除PWDUMP实用程式，并最终删去文档本身。他一般都不会留下证据，并会在该台机器上生成一个完美的任何用户名/口令
的文本文档。
“游戏”规则：目标必须是NT主机，执行特洛伊木马程式的最终用户必须是管理员，这样，攻击者就能把批处理文档放在管理员启动文档夹中，开始等待。当下一次管理员登录到机器上时，批处理文档就执行和转储用户名/口令。然后，攻击者就会通过文档共享连接到该机器上并收集结果。入侵者可能尝试的另一个可靠的攻击方法是把按键记录器批处理文档放到启动文档夹中。这种方法可适用于任何用户，不但仅是管理员。这样即可收集任何该用户发出的按键信息，但没有最初的登录身份资料（这是NT的结构所致，他会在登录过程中终止任何用户方式进程）。然后，攻击者就能够连接到目标机上并收集记录下的按键信息。最致命的特洛伊木马攻击之一就是个以管理员的身份运行并采用AT命令建立预定事件的批处理文档。因为AT命令能作为系统运行，所以，他能生成SAM数据库和注册表的拷贝。能够想象得出攻击者采用这种方法时会享受到多么大的乐趣。如何防止此类攻击呢？不要把文档共享给Everyone群组，并在您的环境中加强口令机制。假如入侵者碰到一台每次都要向他提示输入身份证实信息的服务器，入侵者就会变得灰心丧气，随即离开。但是，有耐心的入侵者会继续进行Brute Force攻击。无庸置疑，Brute Force NetBIOS攻击最常用的工具是NAT。NAT（NetBIOS检查工具）工具让用户能够通过可能的用户名/口令列表使网络连接命令自动操作。NAT将通过所提供的列表中的每一个用户名和每一个口令试着连接到远程机上。这是个很漫长的过程，但攻击者往往会使用一个常见口令的缩短列表。一个成功的入侵者会通过上述信息收集方法建立他自己的用户名列表。入侵者准备使用的口令列表也是通过收集到的信息建立的。他们通常从不充实的口令列表开始，然后根据用户名建立其余的口令列表。这对于那些能找到给用户名配置的口令的安全专业人士来说完全是意料之中的事。攻击者能够指定一个要攻击的IP地址，也能够指定整个范围内的IP地址。NAT会尽力完成这项任务，并一直生成格式化报告 。