Hackeo de Sistemas

La idea central del Hackeo de Sistemas es el romper o adivinar passwords o claves para poder tener acceso a los sistemas, cuentas de e-mail, información confidencial, etc.

Una vez se tiene acceso al sistema comprometido lo próximo es escalar privilegios, ejecutar aplicaciones, esconder archivos y cubrir las huellas para no poder ser detectado.

Los passwords o claves pueden ser rotos o adivinados de manera manual (difícil) o con herramientas automatizadas (fácil) como ataques de diccionario y de fuerza bruta.

Para romper passwords manualmente siga estos pasos:

  1. Encuentre una cuenta valida de usuario, como Administrador o Guest.
  2. Cree una lista de posibles passwords.
  3. Ordene la lista de alta a baja probabilidad.
  4. Pruebe cada password.
  5. Inténtelo hasta que el password sea encontrado.

 

Hacerlo de manera manual no es muy efectivo y consume bastante tiempo. Pero es bueno practicarlo porque no siempre vamos a tener a la mano herramientas automatizadas que hagan el trabajo por nosotros.

Los SO Windows y Linux tienen un archivo donde guardan los passwords (en forma de hash) para propósitos de logon o login al sistema, así que la manera más efectiva de romper un password para tener acceso a un sistema es teniendo acceso a este archivo.

En Windows los passwords son guardados en el archivo llamado SAM (Security Accounts Manager) pero este archivo está asegurado (locked) cuando el SO está funcionando, por lo tanto es imposible copiar o mover el archivo.

Más adelante le decimos como copiar el archivo SAM en Windows. En Linux los passwords son guardados en el archivo llamado password shadow file.

 

NT LanManager Hash

Los SO Windows 2000, XP, Server 2003 al 2007 utilizan el algoritmo NT LanManager (NTLM) para asegurar, cifrar y guardar los passwords de usuario.

Las versiones más recientes  de Windows, como el 7 utilizan NTLM por razones de compatibilidad pero este debe ser activado manualmente para cuentas locales a través de la configuración de la póliza de seguridad (Security Policy) y para Active Directory.

Se activa aplicando la misma configuración a los controladores de dominio (domain controller).

Se considera como una buena práctica de seguridad inhabilitar el NTLM si este no se necesita, porque el NTLM es considerado débil y obsoleto.

Las nuevas versiones de Windows (Vista / 7 / Server 2008) utilizan NTLMv2 o el protocolo Kerberos.

 

El NTLM es considerado débil porque dependiendo del password el hash puede ser bien fácil de romper.

 

 

Ejemplo:

Supongamos que su clave o password para acceder a su sistema Windows es 123abc una vez presionado el botón Enter la clave se convierte a letras Mayúsculas:

123ABC como la clave es menor de 14 caracteres a esta se le añaden 0 (ceros) para completar 14 caracteres: 123ABC00000000.

Antes de que el password sea cifrado, los 14 caracteres son divididos por la mitad:

123ABC0 y 0000000.

Entonces cada pedazo o parte es cifrado individualmente y el resultado de cada uno es unido o concatenado:

123ABC0 = 7BB597FA94CD5C1D y 0000000 = AAD3B435B51404EE

hash = 7BB597FA94CD5C1DAAD3B435B51404EE.

Si la clave es de 7 caracteres o menos el resultado de la segunda mitad del hash siempre será AAD3B435B51404EE.

 

Rompiendo passwords en Windows XP y Server 2003 al 2007:

1. Butee (boot) un SO alterno como DOS o Linux con un boot CD.
2. Copie el archivo SAM desde el directorio “repair” (C:\windows\repair\)
3. Como el archivo SAM se comprime cuando se crea en el directorio “repair” debe descomprimirlo o expandirlo utilizando el comando del “Command Prompt”, <expand> C:\>expand sam sam.txt (el archivo sam.txt es el archivo destino donde se descomprimirá el archivo SAM)
4. Después que el archivo es descomprimido se le puede realizar un ataque de diccionario, hibrido o de fuerza bruta utilizando una herramienta automatizada como “L0phtCrack”.

Los 3 tipos de ataques a passwords:

1. Passive Online (pasivo en línea) este tipo de ataque también es conocido como “sniffing the password” se realiza tanto en redes cableadas (wire) como inalámbricas (wireless). Los ataques pasivos no pueden ser detectados por el usuario final. El atacante obtiene el password durante el proceso de autentificación o login, si el password obtenido esta en forma de hash o cifrado, entonces el hacker usara alguna herramienta de su arsenal para romperlo.

2. Active Online (activo en línea) este tipo de ataque se refiere a tratar de adivinar la clave. Este ataque solo es efectivo si el password de Administrador es simple o débil.

3. Offline (fuera de línea) los ataques Offline son realizados desde un localidad que no es la de la computadora que se intenta acceder. Por ejemplo; Usted logra copiar el archivo SAM de una computadora de una biblioteca pública en una memoria portátil. Luego usted se va a su casa e intenta romper el password en su computadora.

Existen 4 tipos de ataques Offline:

1. Dictionary attack – es el uso de listas de palabras encontradas en los diccionarios.

2. Hybrid attack – este ataque sustituye letras por números y añade números al final (Adm1n1strador, Administrador35)

3. Brute-force attack – este intenta todas las combinaciones de letras, números y caracteres especiales (Admin#45tra@dor)

4. Nonelectronic attack – se refiere a los ataques que no requieren conocimientos técnicos para romper una clave, ataques como ingeniería social, shoulder surfing (mirar por encima del hombro de otra persona para ver la clave que escribe), dumpster diving (rebuscar en la basura), etc.

 

Herramientas para "romper" Passwords:

1. Cain & Abel - Herramienta para recuperar (recovery) password en SO Windows permite varios tipos de recuperacion como: sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, etc.

2. KerbCrack – consiste de 2 programas: el kerbsniff y el kerbcrack, el primero es un sniffer que literalmente escucha en la red y captura los logins del protocolo Kerberos en Windows 2000/XP. El segundo, el cracker es usado para encontrar passwords del archivo capturado usando un ataque de fuerza bruta (brute force) o de diccionario.

3. Win32CreateLocalAdminUser – programa usado para crear un nuevo usuario con el nombre de usuario y password X, añade al usuario X al grupo local de Administrador.

4. C2MYAZZ – es un programa espía (spyware) que hace que los sistemas Windows (cliente) envien los passwords en texto plano.

5. SMBrelay – es un servidor SMB que captura hashes de nombres de usuarios y passwords del tráfico recibido por el SMB.

Hackeo de Sisyemas

Imagen de: https://blogs.sans.org/pen-testing/files/2013/04/smbrelaypic5-MetasploitExploiting.png

 

6. SMBrelay2 – es parecido al SMBrelay pero en vez de usar direcciones IP para capturar nombres de usuario y passwords utiliza nombres del NetBIOS.

7. L0phtCrack - este programa  captura paquetes del Server Message Block (SMB) en segmentos de una red local y captura sesiones individuales de login. Tambien  posee herramientas para ataques de diccionario, fuerza-bruta e hibridos.

8. Samdump – programa para ver el contenido de los archivos SAM, debe ejecutar el programa y tener el archivo SAM en el mismo directorio donde se está ejecutando el programa.

 

Contramedidas:

1. Nunca deje el password por defecto.
2. Nunca utilice passwords que se puedan encontrar en un diccionario.
3. Nunca utilice passwords relacionados a sus pasatiempo, nombre de mascotas, nombres de miembros de su familia, fechas de nacimiento, etc., etc.
4. Nunca utilice passwords relacionados a los nombre de host y dominios.
5. Se recomienda por los profesionales de seguridad informática que los passwords se cambien cada 30 días.
6. Nunca reutilice los últimos 3 passwords.
7. Monitoree los registros del Event Viewer logs.

 

Los Administradores necesitan monitorear estos registros para reconocer intentos de intrusión al sistema.

Control Panel - Administrative Tools - Event Viewer - en la ventana izq. Seleccione la carpeta Windows Logs - seleccione el log Security.

No hay comentarios.

Agregar comentario