Lektion 4: Network Penetration Testing (CEH v12)

Efter forarbejdet med reconnaissance og enumeration går vi i denne lektion endnu tættere på målet. Nedenstående noter opsummerer kapitel 9 (Sniffing) og kapitel 7 (System Hacking) fra Certified Ethical Hacker (CEH) v12.

1. Sniffing (Overordnet) (Kapitel 9)

Sniffing handler om at lytte til eller opsnappe datatrafik på et netværk. Det kan bruges til fejlfinding af administratorer (f.eks. med Wireshark) eller af angribere (til stjæling af passwords, overvågning m.m.).

To Primære Typer af Sniffing:

• Passiv Sniffing: Foregår oftest på netværk med hubs (meget sjældent i dag). Hubbens arkitektur sender alle pakker til alle modtagere, så angriberen behøver blot observere og logge pakker.
• Aktiv Sniffing: Foregår på moderne switchbaserede netværk, hvor en switch segmenterer og kun sender pakker til den korrekte modtager. For at opfange pakker beregnet til andre host-maskiner, skal angriberen manipulere switches.

Aktiv Sniffing Metoder:

• MAC Flooding: En angriber overvælder switchens CAM-tabel (Content Addressable Memory - der parrer MAC-adresser og switchporte) med tusindvis af falske MAC-adresser (f.eks. med værktøjet macof). Når tabellen løber fuld, falder switchen typisk tilbage til “fail-open” mode (fungerer nu i praksis som en hub), og sender derefter alle rammer ud af samtlige porte. Resultatet? Angriberen kan nu opfange andres data.
• ARP Spoofing/Poisoning: Angriberen udsender falske ARP-svar (Address Resolution Protocol) på netværket. Dette får ofrets computer til at tro, at angriberens MAC-adresse tilhører netværkets router (Default Gateway). På den måde dirigeres al udadgående trafik først omkring hacker-computeren (Et klassisk Man-in-the-Middle angreb).
• Rogue DHCP Server: Angriberen opsætter sin computer som en falsk DHCP server, hvorfra ofrets maskine får IP, default gateway og evt. en falsk DNS server tildelt, så al netværkstrafik kapres direkte ved kilden.

Modforanstaltninger:

• Implementering af Port Security, som f.eks. låser switch-porte fast til få, velkendte MAC-adresser (Dæmmer op mod MAC Floods).
• Anvend kun krypterede protokoller – FTP er let at sniffe, SFTP er krypteret; HTTP og Telnet er clear-text. SSH og HTTPS bør altid bruges, da snifferen derved vil stå tilbage med uanvendelig, krypteret data.
• Implementer Dynamic ARP Inspection (DAI) på routere/switches.

2. System Hacking (Kapitel 7)

System Hacking fasen er klimakset på alt det forudgående forarbejde (Footprinting, Scanning, Enumeration) og markerer punktet, hvor en Hacker aktivt truer host-systemet og tiltusker sig adgang (“Gaining Access”).

CEH System Hacking Faserne:

1. Gaining Access (Adgangsopnåelse):

   • Brydning af adgangskode ved hjælp af password-cracking værktøjer som Hashcat, John the Ripper, Hydra eller Medusa.
   • Udnyttelse af system-sårbarheder (“Exploitation”) – f.eks. at sende en specifik fil eller udnytte en buffer overflow, der tvinger et system til at udlevere en terminal (Shell).

2. Privilege Escalation (Rettighedseskalering):

   • At få en almindelig “Standard Bruger” founet under gaining access og hæve sine rettigheder til f.eks. Root (Linux) eller SYSTEM / Administrator (Windows).
   • Metoder inkluderer: Udnyttelse af “Misconfigurations” i services med høje tilladelser, aflytning af administrative logons via en sniffer kørende på hosten, unquoted service paths og kernel exploits.

3. Maintaining Access (Vedligeholdelse af Adgang):

   • Når en hacker først har fået Admin-rettigheder, vil han forsøge at overleve reboots og patches uden at skulle igennem password-cracking igen.
   • Metoder: Installering af Backdoors, Trojanere, og Keyloggers. Hackeren opretter ofte “skjulte” brugerkonti eller placerer ondsindet indhold dybt i registreringsdatabasen for at opnå “Persistence” (Vedholdenhed).

4. Clearing Tracks (Skjulning af Spor):

   • Formålet er at fjerne beviser og slette hændelseslogs fra både operativsystemer og antivirus, for at opretholde uautoriseret adgang ubemærket over længere tid, uden at udløse et netværks-IDS.
   • I Windows sker det vha. rydning af hændelseslogfiler (Application, Security og System), f.eks. via kommandoen: wevtutil cl System (rydder systematisk logs). Der kan også manipuleres lokalt i en SIEM løsning.
   • På Linux renses bl.a. ~/.bash_history eller filer tømmes simpelt vha. cat /dev/null > /var/log/auth.log.

Beskyttelse på Host-niveau:

• Deaktivering af al unødig funktionalitet, services og opdater maskinens patch-niveau rettidigt. (Hardened systems).
• Tving en stram lokal politik med stærke, komplekse kodeord kombineret med Multi-Factor adgangsstyring (MFA).
• Gode SIEM/Log-håndteringer, hvor logs også sendes ud af boksen i realtime, så angriberen ikke blot kan slette dem lokalt, samt deployering af endpoint beskyttelses platforme (EDR).

Kilder

• MITRE ATT&CK: Privilege Escalation - Detaljeret oversigt over teknikker brugt til rettighedseskalering.
• Wireshark Documentation: Sniffing Techniques - Officiel brugervejledning til netværksanalyse og sniffing.
• NIST: Guide to Malware Incident Prevention - NIST-vejledning til beskyttelse mod ondsindet software og vedligeholdelse af adgang. dødt link (tjekket 0 sider)
• MITRE ATT&CK: Persistence Tactics (TA0003) - Komplet oversigt over persistensteknikker, herunder Web Shells, Scheduled Tasks og Registry Run Keys.