آموزش های تخصصی شبکه و امنیت و ضد امنیت

سیستم هكینگ ( 2 ) 
در قسمت اول جاهایی را به اشتباه توضیح دادم که در اینجا اصلاح میکنم . ( دوستان که مطالب را دنبال نمیکنن )

netcat‌ در ويندوز ، 2 تا option اضافي نسبت به لينوكس داره . يكي سوييچ d و يكي هم سوييچ L هستش . وقتي netcat در حالت backdoor در استارت آپ يا رجيستري قرار ميگيره ، وقتي سيستم بالا مياد و ميخواد netcat رو اجرا كنه ، پنجره ي command prompt ويندوز باز ميشه . حالا اگر سوييچ d استفاده نشه ، اين پنجره به همين شكل باز باقي ميمونه و title پنجره ، كاملاً نشون ميده كه netcat به حالت backdoor اجرا شده و اين خيلي تابلو و اشتباه مبتديانه اي هست . اما اگر سوييچ d رو به كار ببريم ، پنجره ي مورد بحث ، يك لحظه ي كوچيك باز ميشه و بلافاصله بسته ميشه و اين حالت نسبت به حالت قبلي بسيار مخفي تر هست . اين سوييچ تاثيري در موقعي كه backdoor رو از روي شل اجرا ميكنيم نداره . اما بهتره كه عادت كنيم هميشه ازش استفاده كنيم . 

سوييچ بعدي كه مي بايست استفاده كنيم ، L به جاي l هستش . اين سوييچ باعث ميشه كه اگر به هر دليل ، سوكت ايجاد شده توسط backdoor بسته شد ، netcat به صورت اتوماتيك ، دوباره سوكت رو باز كنه . اين مورد خيلي به درد بخور هست ، مخصوصاً وقتي كه ما به صورت اشتباهي ، خط فرمان ارتباطي خودمون با backdoor رو ، روي سيستم خودمون مي بنديم . 

پس بهتره كه netcat رو در حالت backdoor به اين شكل اجرا كنيم :

خب ، قبل از ادامه ي بحث در مورد هدفمون ، به يك روش ديگه براي گذاشتن يا برداشتن فايل روي سيستم هدف ، در سيستم هاي ويندوزي اشاره ميكنم . در اين روش از netbios و share براي انجام اين كار استفاده ميكنيم . البته اين روش ممكنه هميشه جوابگو نباشه . اما در صورتي كه استفاده از tftp‌ به هر دليل مقدور نباشه ، ميشه روي اين روش كار كرد . اين روش در حقيقت بازي كردن با دستورات net در ويندوز هست . چون دوست عزيز و استاد گرامي آقاي دكتر آراز صمدي ، حدود 4 سال پيش يك سري مقاله تحت عنوان ضروريات ويندوز سرور براي هکرها در اينترنت منتشر كردند و فكر ميكنم كه هنوز هم قابل دسترس باشه ، ديگه ضرورتي براي توضيح اين دستورات نمي دونم و فكر ميكنم كه همه با اين دستورات آشنا هستند . در اين روش ، كه اون رو بارها تست كردم ، شما ابتدا يك فولدر روي سيستم خودتوون share مي كنيد و فايلهايي كه قصد داريد رويه سيستم هدف قرار بديد رو در اون فولدر ميذاريد . بعد با استفاده از دستورات net use و net view ، از روي شل سيستم قرباني ، فولدر share‌ شده در سيستم خودتون رو به صورت يك درايو مجازي به درايوهاي سيستم هدف اضافه مي كنيد . و بعد با دستور copy اون فايلها رو از درايو ايجاد شده به سيستم هدف منتقل مي كنيم . همين كار رو براي برداشتن فايل از سيستم هدف هم ميشه انجام داد . 
اين روش در زماني كه فايل net.exe فقط دسترسي اجرا براي administrator رو داشته باشه ، قابل استفاده نيست . همينطور وقتي كه ما از يك bug مربوط به netbios ، مثل همين باگ مطرح شده ، براي نفوذ به سيستم استفاده مي كنيم . 

خب ، برگرديم به ادامه ي بحث خودمون . وضعيت خودمون رو بررسي مي كنيم :

1 – يك دسترسي با مجوز SYSTEM روي هدف داريم .
2 – مي تونيم فايل روي سيستم هدف up يا down كنيم .
3 – netcat رو روي سيستم up و به صورت backdoor اجرا كرديم و يك دسترسي ديگه هم روي سيستم هدف داريم .

از اينجا به بعد ، ديگه هر شخصي مسير خودش رو دنبال ميكنه . اما به طور كل ، اگر هدف ما داشتن يك دسترسي دائم روي سيستم هدف هست ، بايد بتونيم يك backdoor دائم روي سيستم ايجاد كنيم . ضمن اينكه بايد حواسمون به ردپا هامون هم باشه . براي شروع ، اول فايل auditpol.exe‌ رو روي سيستم قرباني up مي كنيم و اون رو به صورت auditpol /disable اجرا مي كنيم . اين كار باعث ميشه audit policy روي سيستم قرباني غير فعال بشه . حالا خيالمون راحته كه از اينجا به بعد ، فعاليت هاي ما ثبت نميشه . اما يك نكته هم اينجا وجود داره . 

نمي دونم كدوم يكي از دوستان ، چندوقت پيش به صورت خصوصي ، سوالي در مورد سيستمهاي ضد اطلاعاتي پرسيده بود . در ضد اطلاعات ، كار بايد به مخفيانه ترين روش انجام بشه . فرق اطلاعات با ضد اطلاعات اينه كه اطلاعاتي ، اطلاعات رو از افراد معمولي بدست مياره ، اما ضد اطلاعاتي ، اطلاعات رو از اطلاعاتي بدست مياره ، و اين خيلي فرق داره . افراد عادي معمولاً نسبت به پيرامونشون كم توجه هستند و نكته ها براشون مهم نيست ، اما اطلاعاتي ها كاملاً هشيار هستند . بنابرين وقتي يك برنامه ضد اطلاعاتي قرار هست كه انجام بشه ، بايد خيلي دقيق و حرفه اي انجام بشه . به همين علت ، مثلاً وقتي قرار هست كه محيط يك اطلاعاتي مورد تجسس قرار بگيره ، اين كار بايد توسط حداقل دو نفر انجام بشه . يكي از اين دو نفر ، تجسس ميكنه و نفر دوم ، تمام چيزهايي رو كه نفر اول مورد تجسس قرار ميده يادداشت ميكنه . اين كار براي اين هست كه هنگام ترك كردن موقعيت ، تمام وسايل بررسي شده ، دوباره به همون شكل اول سرجاشون قرار بگيرند . چون يك شخص اطلاعاتي به راحتي ميتونه متوجه تغييرات بشه . 

خب ، اين موضوع رو مطرح كردم كه بگم ، اگر Audit Policy غيرفعال بشه ، امكان اينكه در بررسي هاي امنيتي متوجه اون بشن ، خيلي زياد هست . بنابرين خوبه كه هر وقت خواستيم ارتباط رو قطع كنيم ، اون رو enable كنيم . حتي ميتونيم مشخص كنيم كه مثلاً 5 دقيقه بعد از خروج ما ، اين عمل انجام بشه . 

قدم بعد ميتونه ثبت backdoor در رجيستري ويندوز يا تهيه يك batch file‌ و قرار دادن اون در Start Up باشه . در هر دو صورت ، بهتره كه يك batch file براي اجراي backdoor تهيه بشه و بعد اين batch file با برنامه هاي bat2com يا bat2exe تبديل به يك فايل اجرايي بشه . اسم اين فايل هم كاملاً شبيه فايلهاي سيستمي ويندوز انتخاب بشه . اون وقت اين فايل رو با استفاده از دستور reg ، از خط فرمان در رجيستري ثبت كرد يا در start up قرار داد . 
يكي ديگه از راه هاي متداول براي حفظ دسترسي ، ايجاد يك حساب كاربري و انتقال اون به گروه ادمين ها هست . اين كار هم با دستورات net قابل اجرا هست كه چون در مقالات آقاي دكتر صمدي موجود هست ، ديگه به اون نمي پردازم .

در مقالات بعد ، انشاء الله مطالب بيشتري رو در اين زمينه بررسي خواهيم كرد .