| Home | Suscribirse | Anunciarse | Contactenos

 Suscribete Gratis via:

RSS RSS   email EMAIL   twitter TWITTER

Enumeración de usuarios y sistemas

El proceso de enumeración consiste en realizar conexiones activas en el sistema objetivo o subinjectando consultas directas al sistema. Enumerar también consiste en la extracción de nombres de usuarios, nombres de maquinas, recursos de red, shares, servicios, aplicaciones e información del sistema operativo.

La técnica de enumeración es conducida en un ambiente de Intranet (Red de computadoras privadas). En la etapa de enumeración se identifican los recursos de sistemas des configurados o mal configurados y/o versiones anteriores de programas con vulnerabilidades conocidas.

La información obtenida es lo que el objetivo o la víctima pudieron haber dejado como información pública, como direcciones de DNS.

Técnicas de Enumeración:
Extraer nombres de usuarios usando enumeración Windows 2000
Extraer nombres de usuarios usando SNMP (Simple Network Management Protocol)
Extraer nombres de usuarios usando email ID’s
Extraer información usando passwords por defecto (default passwords)
Uso de fuerza bruta (Brute Force) en Active Directory

                                                                                            

NetBIOS Null Sessions (Sesiones nulas del NetBIOS):

Los sistemas operativos Windows dependen de la cuenta de usuario para el proceso autenticación. Como los OS Windows han evolucionado a través de los años, el añadir grupos, políticas, derechos y medidas de seguridad al OS han hecho que la documentación del proceso de autenticación sea mas elaborado o complicado.

Los sistemas operativos Windows soportan un tipo de usuario único llamado el usuario nulo (null user). El usuario nulo es una pseudo-cuenta que no tiene nombre de usuario o password y que puede ser usada para acceder a cierta información en una red de computadoras.

La cuenta de usuario nulo puede enumerar nombres de cuentas y shares en controladores de dominio, servidores miembros, estaciones de trabajo (Workstation), etc. Ya que la cuenta de usuario nulo no posee credenciales, es perfecta para los Crackers que quieren robar información y comprometer sistemas.

En el artículo anterior a este, Network Scanning, se hico el uso de escaneo de puertos para saber qué servicios estaban “corriendo” en los puertos escaneados o estaban en estado de “escucha” (listening). Si un atacante durante un escaneo de puertos encuentra los puertos TCP 139 y TCP 445 abiertos o en estado de escucha este podrá ser capaz de de acceder al SMB el cual es el protocolo que soportan casi todos los sistemas operativos Windows (Windows 2000 en adelante) para compartir recursos entre computadoras.

El SMB es lo básico del NetBIOS (Network’s Basic Input/Output System) entre otros protocolos y es el que se encarga de “firmar” la autenticación entre el cliente y el servidor que mantiene hospeda o almacenada la data.

Cada sesión de SMB utiliza recursos del servidor. El establecimiento de muchas sesiones nulas y de manera repetitiva pueden hacer que el servidor pare de responder, trabaje lento o que colapse, incluso en los OS Windows 2003.

Las sesiones nulas son consideradas útiles cuando el archivo “LMHOSTS.SAM usa la etiqueta (tag) “#INCLUDE

Las sesiones nulas también pueden ser utilizadas para establecer conexiones con “shares” incluyendo “shares” del sistema como \\servername\IPC$. El IPC$ es un “share” especial oculto. Las sesiones nulas hacen que la enumeración de usuarios, maquinas y recursos sean fáciles para propósitos administrativos especialmente atravez de dominios.

Una persona con conexión al NetBIOS hacia una computadora puede fácilmente obtener una descarga completa de todos los usuarios, grupos, shares, permisos, pólizas, servicios, etc.; usando al “usuario nulo”.

Como conectarse al Inter Process Communication share (IPC$):

1. Abra el command prompt
2. Entre: net use \\nombreComputadora, servidor o IP\IPC$ “ ” /u: ” ”
Ejemplo: net use \\255.255.255.0\IPC$ “ ” /u:” ”
3. Si todo está bien le debe aparecer una oración que dice: “The command completed successfully.”
4. Entre: net view \\nombreComputadora, servidor o IP
Ejemplo: net view \\255.255.255.0
Si todo está bien vera al sistema enumerado. Y al final la oración “The command completed successfully.

Si todo salió bien esto quiere decir que el establecimiento de una sesión nula en el sistema “objetivo” revela que la “raíz del sistema” (system root) puede ser comprometida fácilmente por que la configuración por defecto de “Everyone” no ha sido cambiada y los shares están visibles a todo el mundo.

Enumeración del NetBIOS usando Netview:
Net view /dominio
Net view \\nombreComputadora

Herramientas para Enumeración:
1. Nbtstat (Herramienta de línea de comandos de Windows) Abra el command prompt y entre nbtstat, vea las diferentes opciones del programa y “juegue con ellas un rato”

2. Nbtscan (Herramienta de línea de comandos para escanear redes de IP para información del NetBIOS)
Para Windows y Unix
http://www.inetcat.net/software/nbtscan.html
Una vez instalado el programa abra el command prompt y entre nbtscan para ver las opciones del programa.

3. SuperScan 4 (Poderosa herramienta de escaneo de puertos)
Para Windows
http://www.foundstone.com/us/resources/termsofuse.asp?file=superscan4.zip
Los OS Windows XP Service Pack 2 han removido de su sistema los “raw sockets” lo cuales limitan el uso de SuperScan 4 y otras herramientas de escaneo. Para resolver este problema, abra el command prompt y entre el comando: “net stop SharedAccess” antes de utilizar SuperScan 4.

4. GetAcct (Evita el “RestrictAnonymous=1” y obtiene información de las cuentas de usuarios en sistemas Windows NT, 2000 y XP)
http://www.securityfriday.com/tools/GetAcct.html

Contramedidas para las sesiones Nulas:

1. Las sesiones nulas requieren acceso a los puertos TCP 139 y/o TCP 445
2. Las sesiones nulas no funcionan en los OS Windows 2003
3. Deshabilite los servicios SMB en cada computadora o sistema
4. Edite el “registry” para restringir los usuarios anónimos

   4a. Abra el registry editor con “run” y escriba regedt32 y navegue hasta HKLM\SYSTEM\CurrentControlSet\LSA

   4b. Seleccione edit | add value

Value name: Restrict Anonymous
Data Type: REG_WORD
Value: 2

5. Restringir completamente el acceso remoto excepto para cuentas especificas y grupos

6. Bloquee los puertos del NetBIOS en el firewall o enrutador para incrementar la seguridad de la red

Una maquina que recibe un paquete SYN/ACK no solicitado responde con un RST y los RST no solicitados son ignorados.

7. Bloquee los siguientes puertos para prevenir conexiones a sesiones nulas y otros ataques que usan el NetBIOS:
135 TCP DCE/RPC Portmapper
137 TCP/UDP NetBIOS Name Service
138 TCP/UDP NetBIOS Datagram Service
139 TCP NetBIOS Session Service
445 TCP Microsoft-DS (Windows 2000 CIFS/SMB)

En el siguiente site encontrara una gran cantidad de herramientas para enumeración como PsExec, PsFile, PsGetSid, PsKill, PsInfo, PsList, PsLoggedOn, PsPassword, PsShutdown, etc.
http://live.sysinternals.com
Algunos anti-virus reportan algunas de estas herramientas como un virus. Ninguna de ellas contiene virus, pero los virus usan estas herramientas. Por tal razón los anti-virus las reportan como virus.

Una de las mejores prácticas contra estos ataques es detener o inhabilitar todos los servicios que no son requeridos por el OS para que este funcione apropiadamente.

©2008-2011 www.WiseDataSecurity.com. Todos los derechos reservados. | Home | Suscribirse | Anunciarse | Contactenos

Programado y Mantenido por: Milan Computer Services