[資訊安全]-使用簡單的Ping即可得知目標的作業系統

在駭客攻擊的行為中往往確認攻擊目標後，通常就會開始執行網路探勘為什麼要執行網路探勘 (Reconnaissance) ? 所謂知彼知己百戰百勝，得知標的資訊後駭客即可對症下藥，針對主機的弱點進行攻擊。

網路探勘主要利用網路上所提供的服務或工具 (例如Whois、Nslookup等等)，來取得目標主機的位置及資訊，而網路探勘其實又有分主動式探勘(Active)跟被動式探勘(Passive)。

主動式探勘：傳送特定的封包(TCP、UDP、ICMP)到目標主機，並根據回應封包得到目標主機的相關資訊，例如 Ping、Port Scan、Tracert(Trace Route)、Telnet 等…。

被動式探勘：不傳送特定的封包，而是監測封包或是第三方工具來取得目標主機的相關資訊，例如 Whois、Google Hacking，簡單的說就是自己的主機不會直接access到目標主機，避免留下記錄。

今天要介紹網路探勘其中的一個小工具Ping指令，相信大家都不陌生一定都有用過，透過簡單的Ping指令即可得知目標的作業系統是Windows還是Linux

C:\>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time<10ms TTL=128

Reply from 192.168.0.1: bytes=32 time<10ms TTL=128

Reply from 192.168.0.1: bytes=32 time<10ms TTL=128

Reply from 192.168.0.1: bytes=32 time<10ms TTL=128

Ping statistics for 192.168.0.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

上圖應該大家都不陌生，但玄機就在於TTL之中了，何謂TTL？TTL（生存時間），指一個封包在通過一個網路時，最長可以逗留的時間。每當封包經過一個路由器，其存活時間就會減一。當其存活時間是 0 時，主機便取消封包，並傳送一個ICMP TTL封包給原封包的發出者。其目的為防止資料包不斷在 IP 網際網路絡上永不終止地循環。

而任何作業系統都有一個預設的TTL值，Linux系統的TTL值為64或255，Windows NT/2000/XP系統的默認TTL值為128，Win7系統的TTL值是64，Windows 98系統的TTL值為32，UNIX主機的TTL值為255。

以這個範例來說TTL=128 就是Windows NT/2000/XP 等作業系統了，不過TTL顯示多少真的就是對應的作業系統嘛？其實不見得，在Windows中可以修改regedit 來改變TTL的預設值，修改方式如下：

開始->執行->regedit

[HKEY_LOCAL_MACHINE＼ SYSTEM＼CurrentControlSet ＼Services＼ Tcpip＼Parameters] "DefaultTTL"=dword:000000ff

16進位

TTL：255---FF

TTL：128---80

TTL：64----40

TTL：32----20

或是使用十進位更直覺。

Linux 修改方式：

修改TTL值 vi /sys/net/ipv4/ip_default_ttl 將裡面的值修改成需要的即可。

結語：

雖然這方法對真正駭客可能無用，但起碼可以混淆很多人了，大家快去試試看吧。 

Read More

[資安鑑識]-手動尋找system32目錄中可能存在的木馬

資安事件為因蓄意行為、意外狀況、人為疏失，導致單位系統被駭客植入木馬程式、竊取資料、遭受阻斷式服務攻擊、實體破壞設等等破壞組識資訊通訊的事件。為了迅速抓出淺在電腦裡的木馬元凶，這裡提供簡單的檢測方法。

主機在乾淨且正常的狀態下備份

Cd %systemroot%\system32

dir *.exe > c:\log\exeb.txt & dir *.dll > c:\log\dllb.txt

請自行將dllb.txt妥善保管好，執行一段時間後，當覺得主機怪怪的或有發現異常時，在備份一次(不同檔名或路徑)

dir *.exe > c:\log\exec.txt & dir *.dll > c:\log\dllc.txt

就可以比較前後兩次的檔案列表

fc c:\log\exeb.txt c:\log\exec.txt >> c:\log\diffe.txt && c:\log\dllb.txt c:\log\dllc.txt >> c:\log\diffd.txt

以上圖來說紅框的部分，就可以發現到有異常的程式在執行了。

Read More

Microsoft Baseline Security Analyzer(MBSA)

簡介

Microsoft Baseline Security Analyzer (MBSA) 是一個簡單易用的工具，可協助中小型企業判斷其安全性狀態是否符合Microsoft 的安全性建議，並會根據結果提供具體的矯正指示。使用MBSA 偵測一般常犯的安全性設定錯誤和電腦系統所遺漏的安全性更新，以增強您的安全性管理流程。

概觀

為了方便地評估安裝Windows電腦之安全狀態，微軟提供了免費的Microsoft Baseline Security Analyzer (MBSA)掃描工具。MBSA包括圖型和命令列界面，可以進行本地或遠程掃描微軟Windows系統。

MBSA運行在Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Visat, Windows Server 2003, Windows XP和Windows 2000系統上時，將使用微軟更新的技術掃描缺少的安全更新(security updates)和匯整服務包(rollups and service packs)。

MBSA將同時掃描常見的安全錯誤(也稱為漏洞評估檢查)使用一個己知的列表列出所有版本的Windows安全設定和組態, Internet Information Server (IIS) 5.0, 6.0 and 6.1, SQL Server 2000 and 2005, Internet Explorer (IE) 5.01 and later, and Office 2000, 2002 and 2003。

支援作業系統

． Windows Server 2008 R2

． Windows 7

． Windows Server 2008

． Windows Vista

． Windows Server 2003

． Windows XP

． Windows 2000

  

檢查項目

． 安全更新(security updates)

． 匯整服務包(rollups and service packs)

． 系統安全設定和組態

． Internet Information Server (IIS) 5.0, 6.0 and 6.1

． SQL Server 2000 and 2005

． Internet Explorer (IE) 5.01 and later

． Office 2000, 2002 and 2003

安裝方法

下載位置：http://www.microsoft.com/en-us/download/details.aspx?id=7558

掃描

安裝好MBSA後就可以開始掃描了，掃描的方式也非常簡單

功能說明

• Scan a computer 掃描單台主機
• Scan multiple computers 掃描多台主機
• View existing security scan reports 瀏覽現存的掃描報表

選項說明

• Check for Windows administrative vulnerabilities – 檢查Windows管理漏洞
• Check for weak password – 密碼強度檢查
• Check for IIS administrative vulnerabilities – 檢查IIS管理漏洞
• Check for SQL administrative vulnerabilities – 檢查SQL管理漏洞
• Check for security updates – 檢查安全更新
• Configure computers for Microsoft Update and scanning prerequisites – 微軟更新和掃描先決條件之電腦設定
• Advanced Update Service Options – 進階更新服務選項
• Scan using assigned Windows Server Update Services(WSUS) Servers only – 掃描只使用指定的Windows Server Update Services(WSUS)伺服器
• Scan using Microsoft Update only – 掃描只使用Microsoft Update
• Scan using offline catalog only - 掃描離線的目錄檔

下載更新pattern

掃瞄結果

命令列界面MBSA Command Line(CMD)

Microsoft Baseline Security Analyzer Version 2.1.1 (2.1.2112.0)

(C) Copyright 2002-2009 Microsoft Corporation. All rights reserved.

使用方式

使用前於命令列模式下，先行切換到安裝目錄下(C:\Program Files\Microsoft Baseline Security Analyzer 2)

MBSACLI [/target | /r | /d domain | /listfile file] [/n option] [/o file] [/qp]
        [/qe] [/qr] [/qt] [/xmlout] [/wa | /wi | /offline | /addonly] [/noadd]
        [/cabpath path] [/catalog file] [/unicode] [/nvc] [/ia] [/mu] [/nd]
        [/rd directory] [/?]

MBSACLI [/l] [/ls] [/lr file] [/ld file] [/unicode] [/nvc] [/rd directory] [/?]

參數列表(Parameter List)

參數	使用方式	說明
/target	domain\computer	Scan named computer.
/target	IP	Scan named IP address.
/r	IP-IP	Scan named IP addresses range.
/listfile	File	Scan named IP address or computer listed in the specified file.
/d	Domain	Scan named domain (use NetBIOS compatible domain name (Ex:MyDomain) instead of Fully Qualified Domain Name(Ex:Mydomain.com)).
/n	Option	Select which scans to NOT perform.Allchecks are performed by default. Valid values:"OS", "SQL", "IIS", "Updates", "Password", Can be concatenated with "+"(no spaces).
/wa		Show only updates approved on the WSUS server.
/wi		Show all updates even if not approved on the WSUS server.
/nvc		Do not check for a new version of MBSA.
/o	filename	Output XML file name template. Default: %D% - %C% (%T%).
/qp		Don't display scan progress.
/qt		Don't display the report by default following a single-computer scan.
/qe		Don't display error list.
/qr		Don't display report list.
/q		Do not display any of the preceding items.
/unicode		Output Unicode.
/u	username	Scan using the specified username.
/p	password	Scan using the specified password.
/catalog	filename	Specifies the data source that contains the available security update information.
/ia		Updates the prerequisite Windows Update Agent components during a scan.
/mu		Configures computers to use the Microsoft Update site for scanning.
/nd		Do not download any files from the Microsoft Web site when scanning.
/xmlout		Run in updates only mode using only mbsacli.exe and wusscan.dll. Only these switches can be used with this option:/catalog, /wa, /wi, /nvc, /unicode
/l		List all reports available.
/ls		List reports from the latest scan.
/lr	filename	Display overview report.
/ld	filename	Display detailed report.
/rd	directory	Save or Retrieve reports from the specified directory.
/?		Display this help/usage.

執行MBSACLI 且不帶參數將會掃描本機電腦並進行全面檢查和顯示報告於文字模式

使用範例：

    MBSACLI

    MBSACLI /n Password+IIS+OS+SQL

    MBSACLI /d MyDomain

    MBSACLI /target 200.0.0.1

    MBSACLI /r 200.0.0.1-200.0.0.50

    MBSACLI /listfile export.txt

    MBSACLI /ld "Domain - Computer (03-01-2002 12-00 AM)"

    MBSACLI >c:\results.txt

    MBSACLI /catalog c:\wsusscn2.cab /ia /nvc

    MBSACLI /wa

    MBSACLI /xmlout /catalog c:\temp\wsusscn2.cab /unicode >results.xml

    MBSACLI /l /rd \\RemoteMachine\reports

    MBSACLI /cabpath \\RemoteMachine\cabs

這邊的掃描範例

MBSACLI /target x.x.x.x(您要掃描的IP) /n Password+IIS+OS+SQL

掃描結果

離線掃描

如果您的環境不允許直接上網更新，可以先將更新檔下載回來，掃描時在指向更新檔就可以了。

使用UI的方式掃描，要先去微軟下載wsusscn2.cab

wsusscn2.cab下載網址:

http://download.windowsupdate.com/microsoftupdate/v6/wsusscan/wsusscn2.cab

在將下載的檔案放到C:\Users\<Username>\AppData\Local\Microsoft\MBSA\Cache

掃描時選擇Scan using offline catalog only

如果要使用CLI的方式掃描，一樣要先去微軟下載wsusscn2.cab

語法如下，請自行修改紅字部分，指向到下載的完整路徑

MBSACLI /xmlout /catalog c:\temp\wsusscn2.cab /unicode > results.xml

Read More