Análisis de un ataque (Parte 2)

Análisis de un ataque (Parte 1)

Don Parker

En la primera parte te mostramos la información que se puede observar al abrir la secuencia de paquetes enviada por Nmap. La secuencia enviada comienza con una respuesta de eco ICMP para determinar si a la computadora o red se le ha asignado una dirección IP.

Además, también podemos suponer que la red de la computadora atacada es una red basada en Windows mirando el ttl en el paquete de respuesta de eco ICMP que envía. Lo que se debe hacer ahora es continuar observando los paquetes restantes en el escáner Nmap, y averiguar la información restante para poder conocer el perfil de la red víctima.

Continuar

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Los dos paquetes anteriores vienen después de los paquetes ICMP que observamos en la parte 1. Nmap envió un paquete ACK a la IP de la red víctima 192.168.111.23 en el puerto 80. Como información falsificada, aquí no obtenemos el panorama completo. Solo se ve que el paquete ACK recibido del atacante fue un paquete RST en respuesta, ya que este ACK no se esperaba. En esencia, no es parte de una conexión previamente establecida. Todavía tenemos un ttl de 128 correspondiente al ttl observado antes.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Tras el intercambio de paquetes ACK y RST, podemos ver que se ha enviado un paquete SYN real desde el hacker a la red de la víctima, como se evidencia en el paquete con la S en negrita. Esto nos permite deducir que el paquete SYN/ACK regresa de la red de la víctima en su puerto 21. Este intercambio luego finaliza con un paquete RST que se envía de vuelta desde la computadora del hacker a la red de la víctima. Estos tres paquetes contienen ahora una gran cantidad de información sobre la falsificación.

También tenemos ttl 128 de la máquina víctima, pero también win64240. Si bien este valor no aparece en la lista, es un tamaño que he visto muchas veces antes en Win32 (versiones de 32 bits de Microsoft Windows como Win NT, 2K, XP y 2K3). Otra limitación de las computadoras Windows es que son impredecibles en cuanto al número de identificaciones IP. En este caso, solo tenemos un valor de ID de IP. Necesitamos al menos un valor más antes de poder decir con seguridad que esta computadora es una computadora Microsoft Windows. Tenga en cuenta que debe observar los paquetes restantes del escaneo de Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

La primera información que mira el hacker es ver si el número de identificación IP aumenta a 399. Esta IP DI es de hecho 399 como podemos observar en el medio del paquete. Con esta información, el hacker está bastante seguro de que el ordenador víctima que está atacando es Windows NT, 2K, XP o 2K3. También se observa en esta secuencia de paquetes que el puerto 80 en la red víctima parece tener un servicio, como lo demuestra el paquete SYN/ACK, el paquete SYN/ACK se determina examinando el campo de bandera en el encabezado TCP, en este caso el valor hexadecimal subrayado es 12 o 18 en decimal. Este valor se puede detectar agregando el valor del indicador SYN 2 al valor del indicador ACK 16.

Enumeración

Una vez que el hacker sabe que los puertos 21 y 80 están abiertos para la empresa, ingresará al estado de enumeración. Lo que necesita saber ahora es qué tipo de servidor web está escuchando las conexiones. Sería inútil que este hacker utilizara una vulnerabilidad de Apache en un servidor web IIS. Con esto en mente, el atacante abrirá una sesión cmd.exe y averiguará el tipo de red.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Podemos observar el tipo de red marcado arriba o la sintaxis nc.exe que el hacker escribe en la dirección IP de la víctima así como el puerto 80. Una vez dentro, el hacker escribirá el HTTP del método GET seguido de algunas oraciones gramaticalmente incorrectas. Esta acción puede provocar que el servidor web de la red víctima envíe información a su sistema cuando no comprende cuál es la solicitud. Es por eso que naturalmente enumeran la información que necesitan los piratas informáticos. El hacker ahora puede ver que está en Microsoft IIS 5.0. Noticias aún mejores porque los hackers tienen varios exploits para esta versión.

Conclusión

Al realizar un escaneo de la red de la víctima usando Nmap, el hacker puede recibir una serie de paquetes de datos importantes. Dentro de estos paquetes de datos, como hemos visto, hay mucha información para que los hackers exploten vulnerabilidades en la arquitectura, el sistema operativo, el tipo de red y el tipo de servidor.

En resumen, de esta manera los hackers pueden obtener información clave sobre el host, la arquitectura y los servicios prestados. Con esta información en la mano, el hacker puede lanzar un ataque al servidor web de la red víctima. En la siguiente sección presentaremos más sobre qué ataques pueden utilizar los piratas informáticos para atacar a los usuarios en este caso.

Análisis de un ataque (Parte 3)