公司简介   产品资讯   客户服务   安全资源   顾问服务   合作伙伴 


 

SUPPORT
  SUPPORT -> 技术文章->经由NetBIOS的入侵Shadow Administrator

经由NetBIOS的入侵Shadow Administrator

检测工具∶ 下载
最近网路上盛行一个透过 NetBIOS 来变更 SAM 提升权限的工具 - Shadow Administrator ,或称 Clone Administrator ,可将使用者的权限提升为系统管理员,而无法从使用者管理看出任何异状。如果 Windows 伺服器中被设置了 Shadow Administrator (影子管理员),系统被留了後门或当成跳板,系统管理人员也不易察觉。

说明
    使用 Shadow Administrator 入侵,攻击者首先必需取得伺服器中隶属 Administrators 群组成员中的一组帐号及密码

    透过 NetBIOS 取得伺服器内的帐户列表。
    透过 NetBIOS 对 Administrators 帐号使用字典档等暴力猜测,获得密码。
    使用 Shadow Administrator 将某帐号复制成 Administrator,例如 IUSR_伺服器名称。
    之後入侵者可以由远端检查哪些帐号已经被复制成 Administrator。
    一旦被复制成功,所复制的帐号便拥有与 Administrator 一样的权限、桌面。

检查方法
    如果发现你的 Windows NT/2000/XP 的 %SystemRoot%\system32 存在有以下任何一个档案,请更换隶属 Administrators 群组中全部帐号的密码,并检查主机上的所有帐号。
    SASrv.exe (4608 bytes): Shadow Administrator   主机被设置了Shadow Administrator。
    CCASrv.exe (5642 Bytes)、CCA.log: Check Clone Administrator   主机曾经被检查过 Shadow Administrator 帐号,CCA.log 为检查纪录

如何预防 Shadow Administrator 攻击?
    Shadow Administrator 是经由 NetBIOS 攻击,因此可从几个地方防范∶

    取消 Client for Microsoft Networks
        

    如果必需使用网路芳邻,建议关闭 NetBIOS over TCP/IP ,方法如下∶
        在网路的 Internet Protocol (TCP/IP) -> [内容]->[进阶]->[ WINS ] -> 选择 停用 [ NetBIOS over TCP/IP ], 然後 [确定]
        



    其他建议∶更改 Administrator 帐号名称,避免被猜测出密码。

测试
    当攻击 NT 的网路时,NetBIOS 往往是首选的攻击对象。 如果通讯埠139是开放的,那麽接下来就是测试 Null Session (空会期, 或空连接),例如∶
        C:\net use \\127.0.0.1\ipc$ "" /user:""

    如果出现 "指令执行成功" 便可能遭受进一步的攻击。
    Dragonsoft Secure Scanner 可检测出 Null Session, 帐号等网路系统弱点
SAM (Security Account Manager)
    Q∶什麽是 SAM?
    A∶SAM为安全性帐户管理员( Security Account Manager )。维护使用者帐户资讯, 包括使用者隶属的群组,加密过的使用者密码等。安全资料库储存在 registry 的 HKLM_LOCAL_MACHINE\SAM 下,可用来让 LSA 转换 username 成 SID。
    Q∶    LSA(Local Security Authority)?
    A∶LSA为本机安全性授权单位( Local Security Authority )。此子系统管理使用者授权及安全政策。
Certification & Awards

2006-02
2005 MIS Best Choice

2006-02
DragonSoft Vulnerability Database - CVE-Compatibility Certificate

2005-12
Small and Medium Enterprise Business Start-Up Award

2005-12
Small and Medium Enterprise Innovation Research Award

2005-11
Golden Torch Award

2005-04
National Quality Guarantee Golden Award

2005-03
Golden Peak Award

2004-11
DragonSoft Secure Scanner - CVE-Compatibility Certificate

  Copyright© DragonSoft Security Associates, Inc. All rights reserved.
  台湾总部∶新竹市光复路一段 607 巷 30 号 5F   Tel: 03-563-0989 Fax: 03-579-7758
  台北业务处∶中和市中山路二段 351 号 9F   Tel: 02-8221-5408 Fax: 02-8221-5476