Twee dagen Marcus Murray

Zoals ik in mijn vorige blog al vertelde had ik vorige week een drukke week. Op maandag eerst TechNet Live waar Marcus overigens ook een sessie verzorgde (die ik niet gevolgd heb omdat er teveel interessants te zien/horen was) en vervolgens woensdag en donderdag twee dagen luisteren/meedoen met Marcus Murray.

Marcus Murray is een Senior Security Architect bij het Zweedse Truesec. Er was mij vantevoren verteld dat hij zeer boeiend kon vertellen over de donkere wereld van hacking. Ook zou hij het hebben over de nieuwste beveiligingsfuncties van Windows Server 2008 en Windows Vista. Nou, dit alles was waar. Het waren twee leuke dagen…
De eerste dag zou het voornamelijk gaan over het hacken van netwerken, pc’s en internetsites en de tweede dag zou Marcus het hebben over het beveiligen van zowel pc’s als netwerken. De tweede dag zou in z’n geheel gewijd worden aan het beveiligen van het netwerk. Marcus demonstreerde e.e.a. op een Windows Server 2008 en een Vista werkstation. Marcus liet onder andere zien hoe een netwerk te beveiligen was dmv IPSec tunnels tussen de werkstations en de server. Was dit in Window Server 2003 nog wel even werk om het goed te configureren, onder Windows Server 2008 en Windows Vista (als client) was het een stuk eenvoudiger geworden.

Hacking
Marcus begon de eerste dag gelijk goed. Hij liet ons zien hoe eenvoudig je een Trojan zelf kon maken (m.b.v. de tool Beast). Vervolgens werd deze trojan ‘verpakt’ in notepad.exe en werd de signature van de file ‘even’ verandert mbv het programma PeLock en werd hij richting een ‘eindgebruikerpc’ gestuurd. Beast werkt eigenlijk op dezelfde manier als toosl als Netbus in het verleden. Zodra de pc ‘0wned’ (=de pc besmet was met de trojan) was liet hij zien hoe hij op een aantal eenvoudige manieren de complete pc kon overnemen. Iconen laten verdwijnen van het bureaublad, de dvd-lade open/dicht en zelfs screenshots maken en opslaan behoort tot de mogelijkheden!
Vervolgens kondigde Marcus aan dat hij een leuk geintje had uitgehaald met de wirelessverbinding in de zaal. Er was namelijk de mogelijkheid om je eigen laptop mee te nemen en terwijl hij demonstreerde aantekeningen te maken of mee te surfen over het internet. Wat de meeste mensen niet wisten, maar ik gelukkig wel, is dat Marcus een ‘fake’ accesspoint in het netwerk had hangen via welke diverse mensen het internet op gingen. Marcus legde uit (en ik had van een collega gehoord dat hij dit maandag ook al had behandelt bij TechNet Live en daarom was ik er niet ingetrapt) hoe makkelijk het was om laptops te laten verbinden met zijn accesspoint :

Een laptop met een WiFi kaart (en Windows XP erop!) zoekt namelijk automatisch als hij ingelogd is naar zijn ‘bekende’ accesspoints en probeert hiermee te verbinden. Het accesspoint van Marcus is zo ingericht dat hij ‘ziet’ met welke SSID een laptop wil verbinden. Het AP ‘faked’ dan die betreffende SSID en de laptop denkt dat het een van z’n bekende netwerken is (het maakt niet uit of het AP waarmee de laptop connectie mee denkt te maken encryptie (WEP/WPA) gebruikt of niet!!!) en stuurt z’n netwerksleutel om de verbinding tot stand te brengen. Het AP van Marcus accepteert deze sleutel zonder dat hij überhaupt kan checken of de sleutel juist is natuurlijk en de verbinding is een feit. Het enige probleem is dat de Windows XP laptop dit doet zonder (!!) iets te melden. Je bent gewoon verbonden met een voor Windows bekend AP. En nu is het een kwestie van sniffen en de wachtwoorden komen je tegemoet. Overigens is het niet zo heel moeilijk om het wachtwoord van de ingelogde gebruiker te achterhalen. Marcus demonstreerde een tooltje waarmee hij content van websites (die de laptopgebruiker opvroeg) kon manipuleren. Hij voegde eenvoudig een <img src> tag toe en verwees hierbij naar een unc path (op z’n eigen pc). Windows probeert hiermee in eerste instantie automatisch op aan te loggen met de credentials van z’n ingelogde gebruiker en dat is op Windows XP toch in veel gevallen de Local Administrator. Zodra die gegevens binnen zijn is het betrekkelijk eenvoudig om pc te 0wnen (=compleet in je macht te hebben). Marcus demonstreerde dit overigens op zijn ‘test-omgeving’. Op deze omgeving maakte hij gebruik van diverse Windows XP machines waarop de firewall gedisabled was. Marcus merkte op dat vooral in bedrijfsomgevingen de Windows Firewall uitgeschakeld was tbv beheerstaken etc. Het is in deze omgeving dus betrekkelijk eenvoudig om op een pc te kunnen komen. Marcus demonstreerde hiervoor diverse methoden. Hij maakte overigens ook gebruik van tools die het bedrijf waar hij werkt had ontwikkeld. Deze tools zwerven (voor zover Marcus wist te vertellen) niet in het ‘wild’ rond.

Als je één pc overgenomen had is het eenvoudig om de hashes van de (standaard instelling!) 10 laatst aangelogde gebruikers te voorschijn te toveren. Indien een van deze gecachte hashes de gegevens van een Domain Admin bevat (misschien is de aangelogde gebruiker wel Domain Admin, dan is het feest compleet) is het wederom (voor Marcus) eenvoudig om hiermee aan te loggen op werkstations en servers (via RDP wat meestal gebruikt wordt om servers remote over te nemen). Je kunt je voorstellen wat voor schade hiermee is aan te richten.

Een collega van mij vertelde me overigens dinsdags nog een anekdote waarmee Marcus tijdens een sessie eerder in de week kwam : Hij was een keer gevraagd om de beveiliging van een niet nader te noemen netwerk te testen. Het enige waarover hij de beschikking had was z’n eigen laptop (met tools). De firma had hem geen credentials gegeven om aan te loggen, maar dat heeft Marcus ook helemaal niet nodig. De netwerkpatches waren zelfs beveiligd tegen onrechtmatig gebruik, maar Marcus maakte gebruik van een ‘gepatchte’ patch-kabel waarmee de switch niet kon detecteren dat er een device was aangesloten en de poort dus niet werd dichtgezet. Marcus hoefde alleen maar een sniffer op te starten (want hij kon het langskomende netwerkverkeer wel afluisteren) om vervolgens de sniffer een tijd te laten draaien. Het was nu een kwestie van tijd totdat de wachtwoorden (van gewone gebruikers en Domain Admins) ‘langskwamen’. Binnen één dag had Marcus de beschikking over een Enterprise Admin Account.

De woensdag was zo enorm boeiend, je kon een speld horen vallen in de zaal (de hele dag overigens)!

‘s Avonds was het tijd voor de TechParty. Tijdens deze party zou Marcus ons meenemen naar de duistere websites op het internet. Om eerlijk te zijn viel dit ‘duister’ allemaal wel mee, maar Marcus heeft ons zeker een aantal interessante tools laten zien waarmee bovenstaand allemaal mogelijk gemaakt wordt.

Rond een uur of 7 vind Marcus het tijd om te laten zien hoe hij laat zien dat ook live-websites echt niet allemaal even goed in elkaar zitten. Hij demonstreert live hoe hij bij een webshop een paar WII consoles besteld en terwijl hij laat zien wat de kosten zijn (het winkelwagentje) legt hij uit dat het standaard onmogelijk is om de prijs aan te passen. Marcus tovert het programma Paros uit z’n hoge hoed en laat zien hoe hij (net zoals ‘s middags met de truuk met de afbeelding) de content van de website eenvoudig kan manipuleren. Ne een refresh van het winkelwagentje kost de WII ineens geen $ 495,- meer, maar slechts $ 45,- . Marcus stopt op dit moment met de hack, want hij heeft aangetoond dat het mogelijk is. ‘I could do everything if I would because at this point I would own the box’. Maar verder gaat Marcus niet, want ‘if I click here and went on I would end up in jail’.
Overigens heeft de eigenaar van de webshop waar Marcus net z’n kunstjes liet zien een paar weken geleden al een e-mail gestuurd met daarin de melding van het lek, maar blijkbaar maakt het weinig indruk want hij toont aan dat het lek nog steeds werkt. Nu vraag je je natuurlijk af welke webshop dat is, maar dat ga ik je niet vertellen.

Rond een uur of acht vind Marcus het genoeg voor vandaag en wordt het tijd voor een stukje ontspanning: Guitar Hero spelen op de XBOX 360. Een van de mannen van Microsoft had voor de ontspanning z’n XBOX 360 meegenomen met een paar spellen. Omdat ik aangaf dat Guitar Hero mij wel leuk leek om eens te proberen werd ik door Tony Krijnen uitgenodigt om een stukje te jammen op de gitaar. Ik keeg de beschikking over een basgitaar (virtueel natuurlijk want in mijn handen had ik een plastic Guitar Hero gitaar), maar ik moet zeggen dat het nog best moeilijk was om de noten allemaal te raken…

Na mij melde zich een andere gitaar speler en deze meneer had het niet vaker gedaan, maar speelde in real life wel gitaar. Ik moet wel zeggen dat dat een groot voordeel was, want hij raakte alle noten. Hierna werden nog een paar potjes gespeeld, maar omdat er niet veel animo was voor Guitar Hero werd er een andere game in de XBOX gestopt en werd het tijd voor een partijtje ouderwets schieten met GRAW II (Ghost Recon Advanced Warfighter II). Hiervoor had Tony maar liefst 4 wireless controllers meegenomen en konden we dus op één scherm met vier man spelen. Ik moet zeggen dat het wel wat onduidelijk was op een kwart beamerscherm, maar het was te doen.

Na een aantal potjes was ook hier geen animo meer voor en werd er nog een potje Guitar Hero gespeeld tussen Marcus en Tony en als afsluiting werd er nog wat nagepraat waarna de meeste mensen richting hun hotelkamer of huis vertrokken, want morgen was het weer vroeg dag.

Securing the network
De sessie van de dag ervoor lieten toch duidelijk zien dat het zeker niet onnodig is om sommig netwerk verkeer over IPSec tunnels te laten lopen. Vooral het verkeer tussen een ‘beheer’-werkstation en een server waarover wachtwoorden en andere gevoelige informatie gaan zou eigenlijk altijd geencrypt moeten zijn. Ook is het op deze manier mogelijk om ‘oude’ terminal applicaties over een beveiligde verbinding te laten gaan. Hiervoor laat je de client (Telnet/Reflection bv.) op een terminalserver draaien op een beveiligd stukje netwerk (met daarop dus ook het oude-mainframe). Om de client te kunnen opstarten zou je dan bv. Een VPN verbinding kunnen maken vanaf het unsecure-LAN of een tunnen over IPSec opzetten. Je kunt vervolgens een RDP sessie opzetten over deze tunnen en zo op een beveiligde manier gebruik maken van je oude terminalapplicatie (zonder dat de gegevens af te luisteren zijn).

Ik kan hier nog wel pagina’s over vertellen, maar het is een blog en ik vind dat het niet op een boek moet gaan lijken. Ow…ik wil graag eindigen met een lijstje van de tools die Marcus zoal gebruikt heeft. Ik vermeld alleen de namen en niet wat de tools doen (dat heb ik overigens niet opgeschreven), maar zoals altijd doet Google wonderen.

Door Marcus gebruikte Tools (Het gebruik van deze tools is op eigen risico!!)
Beast 2.07 – Trojans maken
Core Impact – Pen. testing
Pelock – file-signature aanpassen (virusscanner herkent virus niet meer)
XSS Shell Admin
Fiddler
Netwox535
CAIN – Web / WPA sniffing (http://www.oxid.it)
AirCrack – WPA sniffing
Hydra – OWA / FTP / etc / etc (http://www.thc.com)
Foundstone Hackme Tool
injector.pl – eigen gemaakte tool
Paros – local webproxy (om dataverkeer te monitoren) (om webpagina’s te manipuleren)
Rainbow tables
qsecdump.exe – dump logon hashes en wireless hashes
Nmap (www.insecure.org ?)
WinZapper (www.ntsecurity.nu)
Peachfuzz.pl (Reed Avrin reedarvin@gmail.com / http://reedarvin.thearvins.com/tools.html)
Netcap
MetaSploit Framework 3 (www.metasploit.com)
John The Ripper Password Cracker (http://www.openwall.com/john)
Getacct (account info)
enum-tool
Omnipeek personal (http://www.omnipeek.com/omnipeek_personal.php)

Websites (Ook hiervoor geld, gebruik is op eigen risico!!!)
www.sqlsecurity.com – Veel info over het beveiligen van SQL Servers
www.ntsecurity.nu – Veel informatie over security
http://reedarvin.thearvins.com/tools.html
Johnny ihackstuff (website ff zoeken via Google)
http://www.indianz.ch/ – HackingSoftware
http://www.hammerofgod.com/ – TS Server hacking Tools
www.nessus.org – Vulnerability Scanner
http://mirrors.easynews.com/defcon/tools – Allerlei hacking stuff
http://www.chasenet.org/ – Trojan website
http://www.megasecurity.org – Overzicht van nieuwe Trojans
http://www.nuclearwintercrew.com
http://www.trojanfrance.com/ – Veel Trojans en stuff
http://www.rootkit.com – Rootkit community
http://www.isecom.org/osstmm/

Het gebruik van bovenstaande tools en websites is op eigen risico. Ik kan geen enkele aansprakelijkheid aanvaarden indien je pc het begeeft na het gebruik van een van de tools en/of websites. Het is overigens aan te bevelen (Marcus werkt ook op deze manier) om een VirtualMachine in te richten met Windows XP waarbinnen je de tools gewoon kunt gebruiken. Maak wel even een snapshot zodat je terug kunt naar de initiële Windows XP installatie (Trojans, virussen hebben zo geen kans)!!