«

»

jul
22

Forense(O que mais poderia ter sido feito)

por Laercio da Silva Motta – twitter: @laerciomasala

   Só gostaria de mostrar(ou até provar para alguns) que o “hacker” do post anterior poderia ter feito mais algo se ele quisesse, segue o vídeo(em inglês):


Fonte: http://www.securitytube.net/

   Bem, para quem não entendeu nada do vídeo, vou explicar. Basicamente o nosso amigo do vídeo iniciou na máquina com um linux(No caso o BackTrack), mas poderia ser qualquer um, até mesmo uma versão do Windows poderia resolver isso(em outro PC ou por um BartPE). Basicamente ele copiou(renomeou) o cmd.exe (Prompt de Comando do Windows) para o Utilman.exe(Central de Facilidade de Acesso), que é acionado pelas teclas Super+U, tornando assim vulnerável o Windows em questão. Só para constar, já usei com o Teclas de Aderência do Windows, que abre pressionando o Shift por 5x, que é o arquivo sethc.exe que se encontra no mesmo local(C:WindowsSystem32), provavelmente deve existir outras formas.

   Depois de “injetar o script malicioso” o nosso amigo criou um usuário e colocou ele no grupo de administradores com os comandos:

net user Hacker password /add
net localgroup administradors Hacker /add

   Onde Hacker é o usuário e password é a senha… E no segundo comando administradors é o grupo e o Hacker é o usuário criado anteriormente. No caso de um Windows em português, o administradors muda-se para administradores(lógico ehehhe). Bem, depois disso fica fácil, ele tem um usuário com privilégios de administrador e pode fazer o que quiser, inclusive trocar a senha do outro usuário(ele poderia ter feito isso também sem criar outro usuário, com o comando: control userpasswords2)… Depois para excluir o usuário o nosso amigo do vídeo fez o /delete no lugar do /add, mais provavelmente ficou a pasta do usuário em C:Users, coisa que ele não deve ter pensado, ou deixou de propósito heheheh 😉

   Quanto ao caso de forense você deve estar se perguntando: – Tá.. E como isso se aplica ao caso de forense do post anterior? – E eu digo, ele poderia ter renomeado esse sethc.exe ou o utilman.exe via o Shell.php(lembra dele?), e como o servidor em questão é Windows(2003 Server) e tem acesso via Terminal Service(RDP) fica simples fazer a mesma coisa.

   Então mais uma vez eu digo, cuidado… Você pode ter sorte(como o cliente teve), ou não ter se for um “hacker” entendido do assunto. Até a próxima!

Link permanente para este artigo: http://laerciomotta.com/2011/07/22/forenseo-que-mais-poderia-ter-sido-feito/

2 comentários

  1. Keilly disse:

    Muito bom, parabéns!

  2. Rafael Castro (@RafaelC457ro) disse:

    Muito,muito interessante uma coisa tão simples até uma criança consegue fazer…obrigado..

Deixe uma resposta

Seu e-mail não será publicado.

Você pode usar estas tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>