На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Создание потайных ходов

Посидев какое-то время за чужим компьютером, и кое-что успев, а кое-что и не успев сделать, хакер должен уносить ноги, поскольку хозяин вот-вот вернется. Однако перед уходом ему требуется сделать две вещи: устранить следы своего пре­бывания на компьютере и обеспечить себе возможность повторного проникновения.
Первая задача настолько важна, что мы отвели ей целую Главу 4. Сейчас же сконцентрируемся на второй задаче - создании потайных ходов во взломанный компьютер, позволяющих хакеру повторно навещать свою жертву, в том числе удаленно, решая свои проблемы за чужой счет и без всяких хлопот. Причем, од­нажды добравшись до компьютера, хакер должен сделать так, чтобы даже в слу­чае обнаружения одного из потайных ходов можно было немедленно создать новый. На сленге такие ходы так и называют - «бэкдор», от английского слова
«backdoor» - черный ход, и для его создания можно прибегнуть к ухищрениям,
кратко описываемым в последующих разделах.
Добавление учетных записей
Добавив перед выходом из компьютера учетную запись с высокими привилегия­ми, хакер сможет в дальнейшем входит в систему, в том числе удаленно и, при не­обходимости, создавать себе новые потайные ходы. Такая процедура делается двумя командами MS-DOS: NET USER <имя пользователя> <пароль> /ADD, создающей новую учетную запись с указанным именем и паролем, и NET LOCALGROUP <имя группы> <имя пользователя> /ADD, добавляющая соз­данную учетную запись в указанную локальную группу. На 18 представ­лен результат исполнения этих команд.
Теперь новоиспеченный пользователь NewUser может без проблем входить в
компьютер, в том числе удаленно, и заниматься там своими делами без помех. А если создать несколько таких учетных записей, то по мере их выявления хакер может создавать все новых и новых пользователей, делая попытки защитить компьютер практически невыполнимыми.
Автозагрузка утилит
Однако создание собственной учетной записи - дело опасное, поскольку сис­темный администратор имеет все возможности немедленно выявить свежеиспе­ченного пользователя компьютера. Тогда можно воспользоваться другой воз­можностью Windows - поместить в папку автозагрузки Startup внутри папки Document and Settings (Документы и настройки) файлов программ, автомати­чески загружающихся при входе в систему пользователя. Причем программы из
папки Startup, находящейся в папке All users, будут запускаться для всех поль­зователей системы.
Хакер устанавливает в папку автозагрузки свою программу, которую он может назвать совершенно безобидным именем, под которым она и будет скрытно ис­полняться. В число хакерских утилит могут входить троянские кони, клавиатур­ные шпионы (кейлоггеры), утилиты удаленного управления. В этой главе мы опишем работу с очень популярным кейлоггером IKS (Invisible KeyLogger Stealth - Невидимый клавиатурный шпион), демо-версию которого можно загру­зить с сайта http://www.amecisco.com.
Клавиатурные шпионы
Клавиатурные шпионы - это программы, регистрирующие нажатия клавиш на компьютере. Принцип их действия прост - все нажатия на клавиши перехваты­ваются программой, и полученные данные записываются в отдельный файл, ко­торый далее может быть отослан по сети на компьютер взломщика.
Клавиатурный шпион IKS можно назвать весьма популярной программой - по
утверждению авторов на сайте http://www.amecisco.com, кейлоггер Invisible KeyLogger 97 вошел под номером 8 в список 10 изделий, которые способны «на­пугать вас до смерти». Текущая версия кейлоггера функционирует на системах Windows внедряясь в ядро системы, что позволяет программе пере-
хватывать все нажатия клавиш, включая Поэтому IKS позво-
ляет даже перехватывать нажатия клавиш при входной регистрации в системе Windows NT/2000/XP. Таким образом, программа IKS действует подобно драй­веру клавиатуры, перехватывая все нажатые клавиши и записывая их в жур­нальный файл.
Установка программы IKS не вызывает трудностей. После запуска загруженного с Web-сайта файла iks2k20d.exe отображается диалог, представленный на 19.
Щелчок на кнопке Install Now (Установить сейчас) устанавливает демо-версию кейлоггера. Полная версия IKS допускает замену имен установочных файлов про­извольными именами для сокрытия работы программы. Единственным файлом, необходимым кейлоггеру IKS для работы, является файл iks.sys, который может быть переименован с целью сокрытия его от пользователей. Все нажатые пользо­вателем клавиши записываются в текстовый и двоичный файл, просматриваемый с помощью программы dataview.exe, окно которой представлен на 20.
Щелчок на кнопке Go! (Вперед) открывает файл журнала, хранящий все нажа­тые клавиши. С помощью диалога на 20 можно настроить работу кейлог-
гера так, что будут отфильтровываться все нажатые функциональные клавиши
на клавиатуре, а также очищаться содержимое журнала.
Как мы уже говорили, кейлоггер IKS функционирует как низкоуровневый драй­вер, что скрывает его присутствие в системе. Однако файл iks.sys этого кейлог-гера записывается в каталог а в системном
реестре появляется регистрационная запись (эта запись выделена в диалоге ре­дактора системного реестра Regedt32 на 21).
С помощью таких записей в системном реестре все установленные в системе кейлоггеры идентифицируются без всяких проблем (например, это с успехом делает программа The Cleaner, особенно полезная для поиска троянских коней). Чтобы преодолеть такой недостаток кейлоггера IKS, на вкладке Stealth Install (Скрытая установка) инсталляционного диалога (sys, чтобы запутать систему защиты (собственно, отсутствие этой возможности - основное отличие демо-версии от полной).
Некоторым недостатком IKS является отсутствие поддержки средств передачи накопленных данных по сети. Этого недостатка лишен кейлоггер 007 Stealth Monitor, который умеет отслеживать посещения пользователем Web-сайтов, вве­денные пароли, запущенные программы, время обращения к файлам и другие действия пользователя. Однако эта программа плохо маскирует свою работу - ее процесс виден в диспетчере задач Windows, хотя хакер может заменить название процесса каким-то другим, например, notepad.exe.
Заключение
Описанные в этой главе инструменты позволяют получить доступ к ресурсам компьютера, защищенного паролем BIOS, экранными заставками и средствами входной регистрации. Для их использования хакер должен работать непосредст­венно на консоли атакуемой системы, что несколько снижает ценность предло­женных здесь технологий. В самом деле, опыт показывает, что при наличии фи­зического доступа к компьютеру хакер просто похищает его жесткий диск для последующей «работы». Тем не менее, все описанные здесь средства - это от­нюдь не игрушки, и если система защиты компьютера плохо настроена, а по­литика безопасности организации, мягко говоря, слабовата (что весьма тради­ционно), то хакер, овладев описанными в главе методами, может достичь очень и очень многого.
А для антихакера здесь наука - не будь ламером, защищай систему паролями достаточной сложности, не бросай компьютер без всякой защиты на растерзание типам вроде доктора Добрянского и иже с ним. Одна только установка шаблона безопасности для рабочей станции Windows 2000/ХР вполне способна пресечь многие и многие штучки подобного рода персонажей. Что касается пользовате­лей Windows то их возможности по защите системы невелики - только применение методов шифрования, наподобие предоставляемых пакетом PGP Desktop Security, может защитить их компьютер от полного разгрома. Сама же по себе система защиты Windows весьма слаба, как мы могли только что
убедиться.
Ну ладно, компьютер взломан, права доступа получены достаточные, информа­ция выкачана, потайные ходы установлена - что же дальше? Пора замести следы и вовремя смыться. Так что переходим к следующей главе.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика