Каморка


https://forum.kamorka.com:443/

Всё так страшно - II

https://forum.kamorka.com:443/viewtopic.php?t=1136

Страница 1 из 1

Всё так страшно - II

Добавлено: 03 янв 2004, 19:11
vg
Считайте это политинформацией. Хотя, думаю, что кому-нибудь эта информация пригодится. Если модераторы сочтут мой пост неуместным – удалят. Я не обижусь.

Речь, собственно, идет об использовании ваших SMTP, для подбора паролей ваших экаунтов. Об этом я уже постил раньше в почти одноимённом постинге «Всё так страшно». Там кроме констатации фактов были приведены некоторые особенности «процесса», которые хоть и не дотягивают до «сигнатур» атаки, но всё же могут быть использованы в эвристических «IDS». Одна из особенностей была в том, что при подборе пароля очередного пользователя, например, administrator – используется своя сессия. Т.е., как и в случае SYN-flood за сигнатуру можно было б принять большое кол-во сверхкоротких «почтовых» сообщений. Там речь шла о таких «легальных» с точки зрения IDS пакетах:

218.7.157.238 x.y.w.z 1906 25 SYN
x.y.w.z 218.7.157.238 25 1906 SYN ACK
218.7.157.238 x.y.w.z 1917 25 SYN
x.y.w.z 218.7.157.238 25 1917 SYN ACK
218.7.157.238 x.y.w.z 1929 25 SYN
x.y.w.z 218.7.157.238 25 1929 SYN ACK
218.7.157.238 x.y.w.z 1943 25 SYN
x.y.w.z 218.7.157.238 25 1987 SYN ACK
218.7.157.238 x.y.w.z 1943 25 ACK
218.7.157.238 x.y.w.z 2002 25 SYN
x.y.w.z 218.7.157.238 25 2002 SYN ACK
218.7.157.238 x.y.w.z 1906 25 PSH ACK
x.y.w.z 218.7.157.238 25 1906 ACK
218.7.157.238 x.y.w.z 1958 25 ACK
x.y.w.z 218.7.157.238 25 1958 PSH ACK
x.y.w.z 218.7.157.238 25 1917 PSH ACK
x.y.w.z 218.7.157.238 25 1929 PSH ACK
x.y.w.z 218.7.157.238 25 1943 PSH ACK
218.7.157.238 x.y.w.z 2019 25 SYN
x.y.w.z 218.7.157.238 25 2019 SYN ACK
218.7.157.238 x.y.w.z 1971 25 ACK
218.7.157.238 x.y.w.z 1987 25 ACK
218.7.157.238 x.y.w.z 2035 25 SYN
….



218.7.157.238 x.y.w.z 1958 25 FIN ACK
x.y.w.z 218.7.157.238 25 1958 ACK
x.y.w.z 218.7.157.238 25 1958 FIN ACK
218.7.157.238 x.y.w.z 1958 25 ACK

Всего хендшейков - 23 и все почти сразу. Всё завершалось корректно. А почтовый лог выглядел так (23 пары):

218.7.157.238 softht SMTPSVC1 MYSERVER EHLO +softht
218.7.157.238 softht SMTPSVC1 MYSERVER EHLO +softht
….
…..
218.7.157.238 softht SMTPSVC1 MYSERVER QUIT softht
218.7.157.238 softht SMTPSVC1 MYSERVER QUIT softht

Вчера меня снова пытались похачить. Но изменилась тактика «товарищей». Атака продолжалась ~ 20 минут
(14.43 – 15.03). Все попытки подобрать пароль происходили из ОДНОЙ СЕССИИ. Т.е. вместо большого числа пакетов SYN, SYN ACK, … идёт как-бы СОВЕРШЕННО НОРМАЛЬНАЯ ПЕРЕДАЧА. Мы наблюдаем обычную передечу … PUSH, PUSH ASK ….. Думаю, что IDS традиционного межсетевого экрана практически НЕ СМОЖЕТ УСМОТРЕТЬ В ЭТОМ НИЧЕГО ДЕСТРУКТИВНОГО!!!
Почтовый лог – вообще трудно, что заметить что-нибудь дурное:

211.158.72.252 sdfdfkjs SMTPSVC1 MYSERVER EHLO + sdfdfkjs
211.158.72.252 sdfdfkjs SMTPSVC1 MYSERVER QUIT + sdfdfkjs

Только две строчки. И это на 20-минутную попытку подобрать пароли 12 пользователей в течении 20 минут.

Возможно будет полезной следующая дополнительная информация:

1) пароли на этот раз подбирались «автоматически» (об этом говорит частота пакетов и сообщений в логах)
2) злоумышленник исследовал следующие экаунты:
abc, data, server, backup, www, web, test, webmaster, admin, root, master, administrator

Выводы:
1) «нормальные» хацкеры не повторяются. Так, что надо всегда ждать от них чегось новенького. И ожидать надо, что совершенно «нормальные» вещи окажутся ненормальными.
2) если у вас есть громкие имена, типа тех что выше (….webmaster, admin, root, master, administrator…) – сами знаете, что нужно сделать. Можно даже и не убивать, а наделить соответствующими бестолковыми бюджетами.

Ваш Vg.

Добавлено: 06 янв 2004, 16:47
vg
Так и запишем. Никому не страшно. :(

Вот, что мы пообсуждали не так давно.
Некоторые наши товарищи справляются с подбором паролей из одной сессии более эффективно, чем я.
Для этого они используют почтовые шлюзы (скорее в DMZ), которые рутят почту (возможно после фильтрации по контенту) на корпоративные майлеры. В одной из таких конфигураций, у одного из товарищей - шлюз рвёт соединение после n-ного числа неудачных попыток аутентифицироваться. В качестве почтового шлюза используется MDaemon 6.8.5. В отличие от MSExchange, где могут быть блокированы экаунты в соответствии с доменной политикой безопасности, MDaemon 6.8.5 умеет разрывать соединения.

ПС.
Плохо, что у M$ этого нет. Ведь ничего сложного в этом нет, имхо. И здесь Билли подкачал в очередной раз. :(

Добавлено: 06 янв 2004, 23:25
папа Карло
хехе.... сендмыл у всех стоит :)

а билли продает 20/80 = 20 процентов фич для 80% рынка. так-что то, что на тебя не угодили ему глубоко :)

Добавлено: 07 янв 2004, 14:36
vg
хехе.... сендмыл у всех стоит

а билли продает 20/80 = 20 процентов фич для 80% рынка. так-что то, что на тебя не угодили ему глубоко
1) :shock: формулировка 20/80 - это что? Я, конечно, не знаю... Может быть так и пишут в коммерческих изданиях ... Но почему не давать определения, на мой взгляд, более понятные - "20 % рынка обслуживает Билли"? А то как-то сложно для понимания.

2) Я не знаю настроек безопасности sendmail. А что, sendmail умеет разрывать соединение, если пользователь n-раз не проходит аутентификацию в сессии SMTP (заданное админом число n-раз для sendmail)? :wink: Правда не знаю. Это есть в конфигурационных файлах sendmail?

3) Я не спорю. Ибо админ я ещё тот (lowcost, third-party) :( И ты это знаешь.
Но!!!!!!
На то, что я постил - Билли не может просто наплевать. Глубоко или не глубоко. Почему?
Во-первых угроза, о которой речь, касается всех, кто юзает "почтовые продукты" от M$. Это достаточно большой процент публики, может 5-10% Среди небольших контор это значение может быть и выше.
Во-вторых складывается такое впечатление, что Билли действительно не знает, что с этим делать (читай предыдущий топик, или сразу просто идиотские рекомендации от M$ в этой части). Именно импотенция "рекомендаций" M$ заставляет меня так думать. Даже если откинуть смешные в сути рекомендации M$, и ограничиться установкой соответствующего секурити патча (это я сделал) для Exchange - то ведь не работает :lol: :lol: :lol: (см. первый пост в этом топике).

ПС. Остаётся только ждать очередного патча M$ для Exchange, где возможно будет возможность аналогичная MDaemon 6.xx :(

Добавлено: 07 янв 2004, 15:20
папа Карло
20/80 классическое правило. 80 процентов пользователей используют 20 процентов фич программных продуктов. компании тратят 80% денег на реализацию 20% функциональности.

про билли: судя по тому что ты не видишь некоторых фич которые ты считаешь нужными это не значит что он не прав. у билли самый лучший в мире маркетинг департмент (надеюсь с этим никто спорить не будет? :)) они сами знают что и как надо продавать что надо клиентам. самое смешное.... когда у него наконец-то появятся эти фичи и ты начнешь орать: "ну блин! это же очевидно было, я всегда так говорил".... просто дойдет приоритет до этих фич, если хочешь для них маркет созреет. :) поэтому хочешь фич говори о них больше, глядишь больше народу тебя поддерживать будет. :) ну а там и билли на запах придет :)
Часовой пояс: UTC-07:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB