На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Выбор шаблона атаки

После определения того, какие пакеты смогут поступить на атакуемый компью­тер, можно подобрать конкретный шаблон атаки. Можно попробовать внедрить свою команду, проникнуть в интерфейс API файловой системы, в базу данных SQL, провести атаку отказа в обслуживании либо на уровне приложения, либо на уровне сети. Можно также проверить элементы, в которые можно вводить данные, с целью обнаружить ошибки переполнения буфера. После обнаружения уязвимого места его можно использовать для несанкционированного доступа к системе.
Взлом соседних хостов
Как только обнаружено уязвимое место для доступа к цели можно проверить различные варианты вредоносных данных. Эти стандартные вредоносные пакеты будут рассмотрены далее по мере изложения материала книги. Преимущество наше­го систематического подхода на уровне системы состоит в возможности определения видимости конкретных проблем. Некоторые уязвимые места могут быть использо­ваны только внутри защищенной брандмауэром сети. Поскольку мы обладаем све­дениями о локальной сети, в которой работает атакуемый компьютер, мы можем найти соседние серверы, взломав которые можно затем вернуться к атаке на избран­ную цель. Таким образом, атака на цель может быть проведена за несколько после­довательных шагов. Представим, например, что атакуемый компьютер работает в DSL-сети. Для обслуживания многочисленных клиентов DSL-йровайдер может ис­пользовать мультиплексор DSLAM. Мультиплексор DSLAM способен перенаправ­лять весь широковещательный трафик ко всем подчиненным подписчикам. Если система хорошо защищена или в ней открыто только несколько каналов для приема данных, то, возможно, более правильно будет атаковать близлежащую систему. По­сле компрометации соседнего хоста его можно использовать для проведения атаки с использованием ARP-данных на основную цель атаки.
Перенаправление атаки
Очевидной целью при взломе системы является сокрытие источника атаки. Это очень просто при взломе популярных ныне беспроводных сетей, построенных на протоколе 802.11. Internet-кафе с беспроводным доступом может служить прекрас­ным местом для проведения атаки. Однако не следует проводить атаки непосредст­венно на избранную цель. Используя чужие компьютеры, легче оставаться в безо­пасности. Границы государств тоже служат на руку хакерам. Хакер находится в от­носительной безопасности, сидя в Internet-кафе в Хьюстоне и одновременно запуская атаку из Нью-Дели через китайскую границу. Нет таких провайдеров, ко­торые бы совместно использовали файлы журналов в этих точках. Даже при поимке злоумышленника возникает проблема экстрадиции.

Размещение потайных ходов
После успешного применения программы атаки весьма увеличиваются шансы на то, что хакер получит полный доступ к компьютеру атакованной сети. Следующая задача хакера заключается в создании безопасного туннеля через брандмауэр и уда­лении всех опасных для него записей из журналов. Если атака привела к возникно­вению заметной ошибки, то по определению заметная ошибка станет причиной ре­гистрируемых событий. Цель хакера — уничтожить все следы проведенных дейст­вий. Нужно перезагрузить все системы, которые могут выйти из строя и удалить все записи из журналов относительно неправильного использования программ и записи о регистрации пакетов. Хакер, как правило, хочет оставить на взломанной системе запущенную программу из набора средств для взлома или потайной ход с досту­пом к командному интерпретатору, которые бы позволили получить доступ к сис­теме в любое время. Подобным хитростям посвящена глава 8, "Наборы средств для взлома". Работа программы из набора средств для взлома может быть замаскирована на взломанном хосте. Для полной маскировки своих установленных на хосте про­грамм от глаз системного администратора или контролирующего программного обеспечения, злоумышленник вносит изменения в само ядро операционной системы. Код для создания потайного хода может быть скрыт даже в BIOS или в памяти EEPROM периферийных карт и оборудования.
Хороший потайной ход может запускаться с помощью специального пакета или становится доступен только в определенное время. Запущенная программа хакера способна проводить подрывную деятельность даже без его участия, например реги­стрировать последовательности нажатия клавиш или перехват пакетов. Военная разведка, например, предпочитает перехватывать чужие сообщения электронной почты. ФБР больше нравятся программы отслеживания нажатий клавиш. Что именно будет делать ваша программа удаленного мониторинга, зависит от ваших целей. Собранные данные могут отправляться из взломанной сети в реальном вре­мени или сохраняться в безопасном месте для последующего доступа. На случай об­наружения можно предусмотреть шифрование данных. Файлы хранилища инфор­мации могут быть скрыты с помощью модификаций в ядре. При отправке данных из сети они могут упаковываться в пакеты стандартных протоколов (с помощью стено­графических приемов). Если в сети осуществляется множество операций для работы со службой DNS, то удачным решением будет упаковка собранных данных в DNS-пакет. Для усложнения выявления передаваемой информации можно отправлять пакеты с конфиденциальными данными в наборе пакетов, содержащих другие, со­вершенно обычные данные.
Обозначения шаблонов атак
Во многих главах этой книги есть врезки, в которых описываются конкретные шаблоны атак и их важные аспекты. Подобные врезки выглядят следующим образом.

Шаблон атаки: атака на программы, которые обладают правами записи в привилегированных областях операционной системы
Выполняется поиск программ, которые обладают правами записи в системных каталогах или параметрах реестра (например HKLM). Эти программы обычно запускаются с высокими привилегиями и, как правило, не обладают встроенными функциями защиты.
Резюме
В этой главе представлено краткое введение по теме шаблонов атак и рассмотрен стандартный процесс проведения атаки (довольно поверхностно). Если наши чита­тели хотят узнать больше о базовых концепциях взлома, то советуем воспользовать­ся предоставленными нами ссылками. Технические подробности будут рассмотрены в последующих главах. Большая часть оставшегося материала этой книги посвящена изучению конкретных программ атаки, которые соответствуют нашей классифика­ции шаблонов атак.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика