經由NetBIOS的入侵Shadow Administrator

檢測工具： 下載
最近網路上盛行一個透過 NetBIOS 來變更 SAM 提昇權限的工具 - Shadow Administrator ，或稱 Clone Administrator ，可將使用者的權限提升為系統管理員，而無法從使用者管理看出任何異狀。如果 Windows 伺服器中被設置了 Shadow Administrator (影子管理員)，系統被留了後門或當成跳板，系統管理人員也不易察覺。

---

說明

使用 Shadow Administrator 入侵，攻擊者首先必需取得伺服器中隸屬 Administrators 群組成員中的一組帳號及密碼

透過 NetBIOS 取得伺服器內的帳戶列表。
透過 NetBIOS 對 Administrators 帳號使用字典檔等暴力猜測，獲得密碼。
使用 Shadow Administrator 將某帳號複製成 Administrator，例如 IUSR_伺服器名稱。
之後入侵者可以由遠端檢查哪些帳號已經被複製成 Administrator。
一旦被複製成功，所複製的帳號便擁有與 Administrator 一樣的權限、桌面。

---

檢查方法

如果發現你的 Windows NT/2000/XP 的 %SystemRoot%\system32 存在有以下任何一個檔案，請更換隸屬 Administrators 群組中全部帳號的密碼，並檢查主機上的所有帳號。
SASrv.exe (4608 bytes): Shadow Administrator   主機被設置了Shadow Administrator。
CCASrv.exe (5642 Bytes)、CCA.log: Check Clone Administrator   主機曾經被檢查過 Shadow Administrator 帳號，CCA.log 為檢查紀錄

---

如何預防 Shadow Administrator 攻擊？

Shadow Administrator 是經由 NetBIOS 攻擊，因此可從幾個地方防範：

取消 Client for Microsoft Networks
    

如果必需使用網路芳鄰，建議關閉 NetBIOS over TCP/IP ，方法如下：
    在網路的 Internet Protocol (TCP/IP) -> [內容]->[進階]->[ WINS ] -> 選擇 停用 [ NetBIOS over TCP/IP ], 然後 [確定]
    



其他建議：更改 Administrator 帳號名稱，避免被猜測出密碼。

---

測試

當攻擊 NT 的網路時，NetBIOS 往往是首選的攻擊對象。 如果通訊埠139是開放的，那麼接下來就是測試 Null Session (空會期, 或空連接)，例如：
    C:\net use \\127.0.0.1\ipc$ "" /user:""

如果出現 "指令執行成功" 便可能遭受進一步的攻擊。
Dragonsoft Secure Scanner 可檢測出 Null Session, 帳號等網路系統弱點。

---

SAM (Security Account Manager)

Q：什麼是 SAM？
A：SAM為安全性帳戶管理員( Security Account Manager )。維護使用者帳戶資訊， 包括使用者隸屬的群組，加密過的使用者密碼等。安全資料庫儲存在 registry 的 HKLM_LOCAL_MACHINE\SAM 下，可用來讓 LSA 轉換 username 成 SID。
Q：LSA（Local Security Authority）？
A：LSA為本機安全性授權單位（ Local Security Authority ）。此子系統管理使用者授權及安全政策。