Enumeración de usuarios y sistemas

El proceso de Enumeración de usuarios y sistemas consiste en realizar conexiones activas en el sistema objetivo o sub-injectando consultas directas al sistema.

Enumerar también consiste en la extracción de nombres de usuarios, nombres de maquinas, recursos de red, shares, servicios, aplicaciones e información del sistema operativo.

La técnica de enumeración es conducida en un ambiente de Intranet (Red de computadoras privadas).

En la etapa de enumeración se identifican los recursos de sistemas des-configurados o mal configurados y/o versiones anteriores de programas con vulnerabilidades conocidas.

 

Técnicas de Enumeración:

Extraer nombres de usuarios usando SNMP (Simple Network Management Protocol)
Extraer nombres de usuarios usando email ID’s
Extraer información usando passwords por defecto (default passwords)
Uso de fuerza bruta (Brute Force) en Active Directory

 

NetBIOS Null Sessions (Sesiones nulas del NetBIOS):

Los sistemas operativos Windows dependen de la cuenta de usuario para el proceso autenticación.

Como los OS Windows han evolucionado a través de los años, el añadir grupos, políticas, derechos y medidas de seguridad al OS han hecho que la documentación del proceso de autenticación sea mas elaborado o complicado.

Los OS Windows soportan un tipo de usuario único llamado el usuario nulo (null user).

El usuario nulo es una pseudo-cuenta que no tiene nombre de usuario o password y que puede ser usada para acceder a cierta información en una red de computadoras.

Ya que la cuenta de usuario nulo no posee credenciales, es perfecta para los Hackers que quieren robar información y comprometer sistemas.

En el artículo anterior a este, Network Scanning, se hico el uso de escaneo de puertos para saber qué servicios estaban “corriendo” en los puertos escaneados o estaban en estado de “escucha” (listening).

Si un atacante durante un escaneo de puertos encuentra los puertos TCP 139 y TCP 445 abiertos o en estado de escucha este podrá ser capaz de de acceder al SMB el cual es el protocolo que soportan casi todos los sistemas operativos Windows (Windows 2000 en adelante) para compartir recursos entre computadoras.

El SMB es lo básico del NetBIOS (Network’s Basic Input/Output System) entre otros protocolos y es el que se encarga de “firmar” la autenticación entre el cliente y el servidor que mantiene hospeda o almacenada la data.

Cada sesión de SMB utiliza recursos del servidor. El establecimiento de muchas sesiones nulas y de manera repetitiva pueden hacer que el servidor pare de responder, trabaje lento o que colapse.

Las sesiones nulas también pueden ser utilizadas para establecer conexiones con “shares” incluyendo “shares” del sistema como \\servername\IPC$. El IPC$ es un “share” especial oculto.

Las sesiones nulas hacen que la enumeración de usuarios, maquinas y recursos sean fáciles para propósitos administrativos especialmente a través de dominios.

Una persona con conexión al NetBIOS hacia una computadora puede fácilmente obtener una descarga completa de todos los usuarios, grupos, shares, permisos, pólizas, servicios, etc.; usando al “usuario nulo”.

Como conectarse al Inter Process Communication share (IPC$):

1. Abra el command prompt

2. Entre: net use \\nombreComputadora, servidor o IP\IPC$ “ ” /u: ” ”

Ejemplo: net use \\10.0.0.68\IPC$ “ ” /u:” ”

3. Si todo está bien le debe aparecer una oración que dice: “The command completed successfully.”

4. Entre: net view \\nombreComputadora, servidor o IP

Ejemplo: net view \\10.0.0.68

Si todo está bien vera al sistema enumerado. Y al final la oración “The command completed successfully.

Si todo salió bien esto quiere decir que el establecimiento de una sesión nula en el sistema “objetivo” revela que la “raíz del sistema” (system root) puede ser comprometida fácilmente por que la configuración por defecto de “Everyone” no ha sido cambiada y los shares están visibles a "todo el mundo".

 

Enumeración del NetBIOS usando Netview:
Net view /dominio
Net view \\nombreComputadora

 

Herramientas para Enumeración:
1. Nbtstat (Herramienta de línea de comandos de Windows) Abra el command prompt y entre nbtstat, vea las diferentes opciones del programa y “juegue con ellas un rato”.

windows-nbtstat

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Advanced IP Scanner (Escáner de red fiable y gratuito para analizar LAN) Para Windows
http://www.advanced-ip-scanner.com/es/

Nota: Si tiene problemas de acceso con herramientas de escaneo, abra el command prompt y entre el comando: “net stop SharedAccess” antes de utilizarlas.

 

Algunas contramedidas para las sesiones Nulas:

1. Edite el “registry” para restringir los usuarios anónimos

  • Presiona la lupa o el simbolo de Cortana en la barra inferior derecha
  • Escribe regedit y seleccionalo para abrir el Registry Editory
  • Navega hasta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  • En el panel derecho Seleccione Restrict Anonymous  y has click con el boton derecho del mouse y Selecciona Modify...
  • Value Data: 2
  • OK 

Enumeración de usuarios y sistemas

 

 

2. Restringir el acceso remoto excepto para cuentas especificas y grupos

3. Bloquee los puertos del NetBIOS en el firewall para incrementar la seguridad de la red

4. Bloquee los siguientes puertos para prevenir conexiones a sesiones nulas y otros ataques que usan el NetBIOS:
135 TCP DCE/RPC Portmapper
137 TCP/UDP NetBIOS Name Service
138 TCP/UDP NetBIOS Datagram Service
139 TCP NetBIOS Session Service
445 TCP Microsoft-DS (Windows 2000 CIFS/SMB)

En el siguiente site encontrara una gran cantidad de herramientas para enumeración como PsExec, PsFile, PsGetSid, PsKill, PsInfo, PsList, PsLoggedOn, PsPassword, PsShutdown, etc. http://live.sysinternals.com

Algunos anti-virus reportan algunas de estas herramientas como un virus. Ninguna de ellas contiene virus, pero los virus usan estas herramientas. Por tal razón los anti-virus las reportan como virus.

Una de las mejores prácticas contra estos ataques es detener o inhabilitar todos los servicios que no son requeridos por el OS para que este funcione apropiadamente.

No hay comentarios.

Agregar comentario