IV. ĐỊNH NGHĨA BIG DEAL:
- Một vài người thông qua Net BIOS kết nối tới máy tính của bạn có thể dẽ dàng lấy toản bộ những thông tin của bạn như tên người dùng, nhóm, thư mục chia sẻ, quyền & dịch vụ và nhiều hơn thế nữa khi sử dụng Null User.
Phương thức kết nối ở trên kết nối tới thư mục chia sẻ ẩn (IPC$) tại địa chỉ IP 192.34.34.2 được xây dựng với người dùng nặc danh & password trống.
- Người tấn công ngày nay có thể có nhiều kỹ thuật tấn công khác nhau.
Chuẩn CIFS/SMB & NetBIOS trong Windows 2000 bao gồm API có rất nhiều thông tin về máy tính thông qua TCP (port 139) – không chứng nhận người dùng.Câu lệnh: C:\>net use \\192.34.34.2\IPC$ “ “ /u “ “
- Lợi ích của Null Session truy cập đến hệ thống Win NT/2K là phương pháp tấn công số 1 cho người tấn công liệt kê thông tin về máy Win NT/2K.
- Từ Null Session người tấn công có thể gọi APIs và phương thức truy xuất từ xa để liệt kê thông tin. Những Session đó có thể cung cấp thông tin về Pssword, nhóm dịch vụ, người dùng & các dịch vụ đang hoạt động. Null Session có thể được dùng cho quyền lợi & thực hiện phương pháp tấn công DoS. Null Session chỉ có thể được tạo trên TCP (cổng 139), nhưng những lỗ hổng khác như cổng 135 (RPC), 137 (NetBIOS Name Services), 138 (NetBIOS datagram Service) được yêu cầu viết những đoạn mà (code) để có hiệu quả.
- Mục đích chính của Null Session cho phép những máy không chứng thực thu được danh sách liệt kê từ những máy Server. Cả 2 hệ thống Win NT/2K được xây dựng theo kiến trúc Domain, nó nhận ra rằng Null Session dễ dàng liệt kê – nơi mà Domain không chia sẽ cùng một dữ kiệu như nhau của tài khoản người dùng & máy tính cho đến khi cần kiểm duyệt thông tin ngang qua Domain.
- Thí dụ như yêu cầu: cần thu được danh sách liệt kê từ những máy Server ở nhiều Domain khác nhau, chứng nhận người dùng ở nhiều domain khác nhau v.v … Thiết lập mối quan hệ thân thiết để giải quyết vấn đề ợ phạm vi rộng lớn, hoàn thành nhiều vấn đề trên nhiều kết nối khác. Về sau, Wins, DNS, LMHOSTS, AD (Active Directory) được đặt ra trước để hướng tới vấn đền này. Tuy nhiên, Null Session tạo ra quá trình hoàn thành một cách dễ dàng bởi vì chúng cho phép trực tiếp liệt kê máy & tài nguyên trong Domain từ những máy không chứng thực với thông tin nhỏ nhưng quan trọng.
Cảnh báo:
- Sự liệt kê máy tính & những tài nguyên trong miền tạo cho người tấn công sẽ dễ dàng hơn thu thập chúng. Nếu anh ta có thể nặc danh những tên người dùng của tất cả các máy trong Domain và sau đó liệt kê tất cả những tài nguyên chia sẽ trên những máy đó thì đó chỉ là vấn đề thời gian mà người nặc danh sẽ mở cho mọi người. những trường hợp khác bao gồm việc tìm kiếm Password cho người dùng đã được liệt kê, lập một backdoor để truy nhập về sau, kết xuất thông tin sẽ truy nhập v.v …
Phương pháp tấn công:
- Trong những trang sau chúng ta sẽ cố gắng nhìn xem Null Session được sử dụng bởi người tấn công liệt kê hệ thống. chúng ta sẽ xem việc thiết lập một Null Session và sự liệt kê những máy tính từ xa từ dòng lệnh ở một máy Windows. Trong ví dụ cho thấy ở bên dưới, chúng ta có thể thấy được Null Session trên máy đích lộ ra rằng hệ thống có thể thỏa hiệp như một cấu hình mặc định của nhóm “Everyone” có thể không đổi, những thư mục chia sẻ đều được hiện ra.


- Trong Null Session, việc kết nối TCP/IP tới cổng 139 được làm đầu tiên đựoc đề cập tới: net use \\127.0.0.1\IPC$ “ “/user: “ “. Cái này được sử dụng bởi giao thức SMB & NetBIOS truy xuất ần từ xa IPC$. IPC$ là một thư nục ẩn đặc biệt cho phép giao tiếp giữa 2 quá trình trên cùng một hệ thống (Inter Process Communication). IPC$ là một phần chung tới quá trình “Server” đến máy chủ. Nó liên hệ với Pipes (ống dẫn – đường dẫn) vì thế nó có thể truy cập từ xa. Kỹ thuật này theo chương trình được viết ra trong giai đoạn trước được gọi là tấn công RedButton. Địa chỉ này đã được sửa lỗi bởi Microsoft trong phiên bản Services Pack 3 của Win NT 4.0.
- RedButton phát hiện những tài nguyên thích hợp cho nhóm Everyone, được xác định tên và tài khoản Administrator (mặc dù nó đã được đổi tên). Nó đọc trong Registry (để lộ ra người làm chủ và những thông tin khác), liệt kê tất cả những tài nguyên được chia sẽ (bao gồm chia sẻ ẩn). nói ngắn gọn, RedButton để lộ ra những thông tin về hệ thống Windows NT. Null Session giành lấy những lợi thế trong giao thức CIFS/SMB.
- Một lần, người tấn công có được danh sách liệt kê thư mục chia sẽ từ xa, anh ta có gắng ánh xạ (map) tới thư mục chia sẽ từ xa. Một ví dụ về cấu trúc tấn công đã được hiển thị ở hình trên. Việc tấn công này chỉ làm việc nếu thư mục chia sẻ không được bảo vệ bằng password hoặc chia sẻ cho nhóm Everyone truy cập tới.