На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Сокрытие следов атаки

Итак, вы уже усвоили, что, подобно обычному грабителю, никакой настоящий хакер, побывав в чужом компьютере, не захочет оставить после себя следы, ко­торые могут привлечь к нему внимание. Перед уходом из системы он создаст в ней потайные ходы, поместив в систему клавиатурного шпиона, например, опи­санного в Главе 3 кейлоггера IKS. Или же установит в компьютер утилиту уда­ленного администрирования взломанной системы, например, трояна (http://www.netBus.org). Но после всего этого хакеру потребуется уничтожить все следы своего пребывания в системе или, как минимум, сделать так, чтобы информация о его посещении, зарегистрированная системой защиты, не позво­лила определить его личность.
Вот какие методы чаще всего используются взломщиками для сохранения ано­нимности и скрытия следов атаки:
• Самое лучшее - это использовать для хакинга в Интернете посторонние ком­пьютеры, доступ к которым не контролируется в должной степени (а таких компьютеров в любой организации - хоть пруд пруди).
• Можно подменить IP-адрес хакерского компьютера, использовав промежу­точный анонимайзер или прокси-сервер, как мы уже обсуждали это выше
в этой главе.
• Чтобы скрыть установленные на взломанном компьютере хакерские програм­мы, можно изменить стандартные номера портов этих программ, что затрудня­ет их выявление. Например, широко известная программа Back Orifice 2000 вместо стандартного порта 31337 может быть перенастроена на использова­ние, скажем, порта и программы, анализирующие открытые порты ком­пьютера, могут быть введены в заблуждение.
• Обязательно следует очистить журналы регистрации событий безопасности, которые заполняются средствами аудита систем Windows Чтобы отключить средства аудита, взломщик может прибегнуть к утилите пакета W2RK, или какой-нибудь другой хакерской утилите, например, el-save.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Проще всего это можно сделать с помощью аплета Просмотр событий (Event Viewer) на па­нели управления Windows 2000/ХР.
• Можно скрыть файлы и папки, скопированные во взломанный компьютер, установив в диалоге свойств файлов и папок флажок Скрытый (Hidden). Установка этого атрибута делает файл или папку невидимой в окне проводника Windows, если только не был установлен режим отображения скрытых файлов.
• Можно скрыть процессы, исполняемые хакерскими программами. Хакер может замаскировать запущенную им службу или программу, изменив ее
имя на совершенно нейтральное, например, explorer.exe, которое в окне диспетчера задач Windows можно будет спутать с обычным приложением проводника Windows.
• Более сложным являются случаи скрытия процессов хакерских программ за именами других процессов с помощью программ, подобных EliteWrap, опи­санной в.
• Наиболее совершенным методом скрытия хакерских программ следует считать использование так называемых (от английского слова - базо­вый комплект инструментов). При этом подлинные программы ядра операци­онной системы подменяются хакерскими утилитами, выполняющими функции входной регистрации пользователей, ведения журнала нажатых клавиш и пере­сылки собранных данных по сети.
Для противостояния таким трюкам существуют специальные программные средства контроля целостности компьютерной информации. В качестве примера можно назвать приложение Tripwire (http://www.tripwiresecurity.com), которое позволяет выполнять контроль целостности файлов и папок, и приложение Cisco Systems (http://www.cisco.com) для проверки и анализа содержимого журналов регистрации. Системы Windows 2000/XP также предоставляют встроенный инст­румент проверки целостности файлов, про работу с которыми можно узнать.
Ошключеиие аудита
Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регист­рации отключить аудит системы перед началом «работы».
Для отключения аудита хакеры могут отключить политику аудита штатными средствами настройки системы защиты Windows однако лучше при-
бегнуть к более мощному средству, предоставляемому утилитой auditpol.exe из комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из ко­мандной строки ввести такую команду:
C:\Auditpobauditpol \\ComputerName /disable
Running..
Audit information changed successfully on \\ComputerName.. New audit policy on \\ComputerName.. (0) Audit Disabled
System Logon
Object Access Privilege Use Process Tracking Policy Change Account Management Directory Service Access Account Logon
= No = No = No
= No
= Success and Failure = No
= No = No
= No
Здесь //ComputerName - имя удаленного компьютера, а ключ /disable задает отключение аудита на этом компьютере. Утилита - весьма эффек-
тивное средство, созданное для управления сетевыми ресурсами, но также, как
видим, весьма удобный инструмент хакинга (ввод команды auditpol /? отобра­жает справочную информацию о применении утилиты).
Очистка журналов ^опасности
Для очистки журнала безопасности с помощью специального аплета на панели управления Windows следует выполнить следующие действия:
> Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка ♦•Панель управления (Settings • Control Panel).
В отобразившейся Панели управления (Control Panel) откройте папку Администрирование (Administrative Tools).
Дважды щелкните на аплете Просмотр событий (Event Viewer). На экране появится окно Event Viewer (Просмотр событий) (7).
Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.
Выберите команду Clear all Events (Стереть все события). Отобразится диа­лог, представленный на 8, с предложением сохранить журнальные события в файле.
> Щелкните на кнопке Нет (No), если вам больше не требуются зафиксирован­ные в журнале события. Журнал будет очищен.
При выполнении очистки журнала безопасности обратите внимание на тот факт, что после выполнения этой операции в журнал сразу же записывается новое собы­тие аудита - только что выполненная операция очистки! Таким образом, хакер все
же оставит свой след - пустой журнал с зафиксированным событием очистки
журнала. Этот недостаток можно исправить, применив для очистки журнала ха-керскую   утилиту   elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm).
Эта утилита   предназначена,   в   первую   очередь,   для   очистки журналов
Windows NT 4, но ее последняя версия работает и с системой Windows 2000.
Вот как она запускается из командной строки. C:\els004>elsave -s \\ComputerName -С
Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события жур­нала в файл. Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей.
Элементарная проверка показывает, что отмеченный выше недостаток остался -применение утилиты elsave.exe регистрируется в журнале безопасности как собы­тие очистки журнала. Однако теперь мы можем сделать следующий трюк - по­местить задание на очистку журнала утилитой elsave.exe в планировщик заданий Windows (запустив его или из меню Пуск (Start), либо командой AT из командной
строки MS-DOS). Планировщик выполнит операцию очистки под учетной запи­сью System, что сильно затруднит поиски хакера.
Заключение
Сокрытие следов своей работы на компьютере и сохранение своей конфиденци­альности в Интернете - это непременное условие для успешной деятельности хакера без особых помех (по крайней мере, какое-то время). Так что не стоит пренебрегать мерами своей защиты, по крайней мере, до приобретения некото­рого опыта. Как показано в этой главе, обеспечение своей безопасности и кон­фиденциальности вовсе не так сложно, если твердо, раз и навсегда преодолеть ложное ощущение своей анонимности и недосягаемости во время пребывания в виртуальном киберпространстве, особенно на чужой территории. И перестаньте пользоваться домашними телефонами - не ройте яму самому себе! Ведь 50% (вдумайтесь - половина!) всех так называемых «хакеров» лезут в чужой огород с домашнего телефона - большего идиотизма трудно себе представить!
Для антихакера все эти соображения также имеют самое непосредственное зна­чение - пребывая в киберпространстве, очень просто вступить в конфликт с чу­жими интересами или с путаными и туманными законами разных стран, или по­пасть под пристальное внимание личностей самого разного рода занятий и на­клонностей [9]. Ведь недаром ныне на рынке программных продуктов все ак­тивнее предлагаются программы для защиты компьютерной конфиденциально­сти, например, Norton Personal Firewall, PGP Desktop Security и другие. Не стоит
ими пренебрегать, если вы хотите комфортно чувствовать себя во время пребы­вания в виртуальном компьютерном мире, который ныне все больше и больше пересекается с нашим реальным, физически ощутимым миром.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика