 |
| Fonte: Google Imagens |
COMO FAZER VARREDURAS SEM SER DETECTADO
Objetivos
Conhecer os mecanismos de evasão de firewall
Conhecer as técnicas de evasão de IDS/IPS
Entender as técnicas de anti-forense
Evasão de Firewall IDS/IPS com Nmap
As técnicas de evasão de firewall e IDS são utilizadas para evitar que qualquer tipo de aplicação que contenha filtros e controles de acesso, possam detectar as ações do atacante.
Abaixo vamos ver alguns parâmetros do Nmap que burlam firewall.
Fragmentação de Pacotes
Syntax
sudo nmap -f <ip_alvo>
sudo nmap -f -sT --mtu 16 192.168.0.108
Fragmenta pacotes, a ideia é dividir os cabeçalhos TCP em vários pacotes, dificultando a detecção por filtros IDS
 |
| Print tirado do Terminal Linux |
Decoy, Usando IP isca
Syntax
sudo nmap -D <decoy1>[,<decoy2>][,ME][,...]
sudo nmap -sT -D 192.168.0.100, 192.168.0.102, 192.168.0.105 192.168.0.108
Realiza uma varredura utilizando iscas, faz parecer que há vários hosts da rede, juntamento com seu IP, desse modo, o IDS não vai saber definir quais são iscas e quais são atacantes. Ocorre que normalmente o IDS suporta 5-10 varreduras.
 |
| Print tirado do Terminal Linux |
Spoofing IP, Usando IP falso
Syntax
sudo nmap -S <ip_falso> -e <interface> <ip_alvo> -Pn
sudo nmap -sS -S 203.160.34.2 -e wlan1 192.168.0.108 -Pn
Realiza um IP spoofing, fazendo com que o IDS pense que a varredura esta sendo realizada a partir de um outro IP, que não o seu, mas é definido por você
 |
| Print tirado do Terminal Linux |
Port Spoofing, Usando porta específica
Syntax
sudo nmap --source-port <port_number>
sudo namp -Pn 192.168.0.108 --source-port 53
realiza um port spoofing, permitindo que seja definido no pacote de qual porta ele teoricamente foi enviado, essa técnica explora as portas abertas no alvo para realizar varreduras que o firewall permitirá, as mais utilizadas são DNS e FTP
 |
| Print tirado do Terminal Linux |
Usando Hosts Aleatórios
Syntax
sudo nmap --randomize-hosts
ordena de forama aleatória os hosts alvos de uma varredura, isso pode torna a varredura menos óbvia para sistemas de monitoramento de rede
Mac Spoofing, Usando Mac-address falso
Syntax
sudo nmap --spoof-mac <mac_address>
sudo nmap -sS -S <ip_Falso> --spoof-mac <mac_falso> -e <interface> <ip_alvo> -Pn
faz um MAC spoofing, atribuindo um endereço definido pelo auditor
Idle Scan, Usando Máquina Zombie
Syntax
sudo nmap -PN -p 20-53 -sI 192.168.0.100 192.168.0.108
Firewall Tester
Firewall Tester (FTester) é uma ferramenta criada para testar regras de filtragem firewall e as capacidades Intrusion Detection System (IDS). A ferramenta consiste em 2 scripts perl, um injetor de pacotes (ftest) e um sniffer passivo (listenning sniffer -ftestd)
firewall testing
IDS testing
Simulação de conexões reais TCP para inspecionar firewalls e IDS
Fragmentação de TCP/IP
Técnica de evasão de IDS
Syntax
sudo ftest
sudo ftestd
DETECTANDO HONEYPOTS
 |
| Fonte: Google Imagens |
Honeypot
Dificilmente uma organização ou empresa que esteja contratando profissionais para realizar um pentest, possui um honeypot em sua rede. Mas ainda assim existe essa possibilidade
Tipos de Honyepot
Honeypot de baixa interatividade
De baixa interatividade são facilmente detectáveis, bastando utilizar boas ferrramentas de varredura, descoberta de vulnerabilidade exploração, pois por sua limitação de resposta e interação com o atacante, pelas respostas transmitidas ao atacante, esse último conseguirá perceber que o alvo não é uma máquina real
Honeypot de alta interatividade
De alta interatividade suas respostas são mais consistentes e o comportamento é bem próximo de um servidor real, caso esteja bem configurado. Com honeypot de alta interatividade apenas a experiência e o conhecimento dessas armadilhas podem permitir ao pentester descobrir e detectar essas armadilhas para invasores. Não aconselho perder muito tempo tentando detectar honeypot - não é o objetivo principal.
Ferramenta para utilizar durante o trabalho
Nmap
Nessus
OpenVAS
PRÁTICAS
Varredura com Spoofing e Decoy
Syntax
sudo nmap -sS -S 192.168.0.180 --spoof-mac aa:bb:cc:dd:ff -e wlan1 192.168.0.108 -Pn
sudo nmap -sS -S 192.168.0.180 -e wlan1 192.168.0.108 -Pn
sudo nmap -sT -D 192.168.0.100, 192.168.0.102, 192.168.0.105 192.168.0.108
sudo nmap -sT -f --mtu 16 192.168.0.107
sudo nmap -S 192.168.0.1 -p 22 -O -sV -P0 -n 192.168.200.1
sudo nmap -sS --source-port 53 -p 80 -P0 -n -D 192.168.0.24, 192.168.0.25 192.168.200.1
-----------
REFERÊNCIAS:
OYS Academy
Autor: Luis Vieira
DOWLOADS:
Nenhum comentário:
Postar um comentário