На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Усовершенствованные возможности наборов средств для взлома

В этой книге не ставилась цель рассмотреть все самые совершенные хитрости, которые можно реализовать с помощью наборов средств для взлома. К счастью, доступны многие ресурсы и статьи в Internet, которые посвящены этой теме. Одним из лучших источников информации является журнал Phrack Magazine (http: //www.phrack.com). В качестве еще одного полезного ресурса можно назвать конференцию по вопросам безопасности BlackHat (http://www.blackhat.com). Здесь мы только вкратце рассмотрим несколько усовершенстованных методов применения наборов средств для взлома, при необходимости предоставляя ссылки на источники более подробной информации.
Использование набора средств для взлома в качестве отладчика
Набор средств для взлома, работающий на уровне ядра, вовсе необязательно всегда должен использоваться с вредоносными целями. Например, набор средств для
взлома можно использовать для контроля за собственной системой. Еще одна полезная область применения возможностей наборов средств для взлома заключается в эмуляции функций отладчика. Набор средств для взлома со встроенным командным интерпретатором и несколькими функциями отладки практически ничем не отличается от программы наподобие Softlce. Можно добавить декомпилятор, возможность чтения и записи в память и поддержку точек останова.
Отключение защиты системных файлов Windows
Процесс winlogon. exe загружает несколько библиотек DLL, которые отвечают за защиту системных файлов (служба System File Protection). При этом загружается файл sf с. dll, а затем файл sf cf iles . dll. Список защищаемый файлов загружается в буфер памяти. Воспользовавшись простой заплатой, которая устанавливается в программный код файла sfc.dll, можно полностью отключить защиту файлов. Для создания заплаты можно воспользоваться стандартными функциями отладки Windows API10.
Непосредственная запись данных в физическую память
Для работы набора средств для взлома необязательно использовать загружаемый модуль или драйвер устройства в Windows-системе. Установить набор средств для взлома можно с помощью непосредственной записи данных в ядро. Мы рекомендуем прочесть отличную статью автора crazyword по теме объектов Windows и физической памяти в журнале Phrack Magazine, вьптуск 59, статья 16 "Playing with Windows /dev/(k)mem".
Переполнение буфера в ядре
В программном коде ядра присутствуют те же ошибки, которые известны для остального программного обеспечения. Одно только тот факт, что программный код запускается в ядре, совсем не означает его неуязвимость относительно переполнения буфера в стеке и других стандартный программ атаки. И действительно, были опубликованы несколько программ для переполнения буфера в ядре.
Использование хакером переполнения буфера в ядре требует определенной сноровки, поскольку исключения в ядре могут привести к выходу компьютера из строя или появлению "голубого экрана смерти". Программы атаки, работающие на уровне ядра, заслуживают особого упоминания, поскольку они позволяют установить в компьютер набор средств для взлома и при этом обойти все механизмы защиты. При осуществлении переполнения буфера в ядре, злоумышленнику не требуются привилегии администратора или возможность загрузки драйвера устройства. Статью автора Синан (Sinan) по теме переполнения буфера в ядре можно прочесть в журнале Phrack Magazine, выпуск 60, статья 6 "Smashing The Kernel Stack For Fun And Profits.
"Заражение" образа ядра
Еще один способ для внедрения кода в ядро заключается в установке заплаты в сам образ ядра. В этой главе мы продемонстрировали код простой заплаты для устранения механизмов защиты из ядра системы Windows NT. Таким же методом может быть изменена любая часть программного кода. При этом не забывайте исправить в коде любые проверки целостности файла, например контрольную сумму файла. Достаточно интересная информация относительно установки заплат в ядро Linux содержится в 60-м выпуске журнала Phrack Magazine, статья "Static Kernel Patching" от автора под псевдонимом jbtzhm.
Перенаправление исполнения
Мы также рассказали о том, как осуществить перенаправление исполнения в Windows-системах. Интересное обсуждение того, как это выполняется в системах под управлением Linux, содержится в статье 5 "Advances in Kernel Hacking II" журнала Phrack Magazine, выпуск 59.
Обнаружение наборов средств для взлома
Существует несколько методов для обнаружения наборов средств для взлома, каждый из которыхлегко блокируется, если в наборе средств для взлома предусмотрена такая возможность. Для выявления изменений данных в памяти можно исследовать таблицу вызовов или выполнить проверку функций и их значения. Во время выполнения функции можно провести подсчет выполняемых команд и сравнить с оригинальной функцией. Теоретически можно обнаружить любое изменение в ходе выполнения программ. Основная проблема заключается в том, что программный код, который предназначен для выполнения проверки, запускается на том же скомпрометированном компьютере. При этом набор средств для взлома способен изменить или повлиять на программный код, предназначенный для проверки. Любопытный метод для обнаружения наборов средств для взлома изложен в статье Яна Рудковски (Jan Rutkowski) "Execution Path Analysis: Finding Kernel Based Rootkits", которая опубликована в журнале Phrack Magazine, выпуск 59. Программа для выявления наборов средств для взлома в ядре Solaris доступна на сайте http://www.immunitysec.com.
Резюме
Завершающим действием большинства атак на программное обеспечение является установка набора средств для взлома (rootkit). Эти наборы средств позволяют хакеру вернуться на взломанную машину при первом желании. Мы рассмотрели несколько чрезвычайно мощных наборов средств для взлома. Они позволяют управлять абсолютно всеми аспектами работы компьютера. Для этой цели наборы средств для взлома устанавливаются очень глубоко, в самое "сердце" системы.
Наборы средств для взлома могут устанавливаться как локально, так и доставляться из внешнего источника, например в составе "червя" или вируса. Как и в случае других видов вредоносного кода, деятельность этих программ должна оставаться

незаметной. Наборы средств для взлома успешно скрывают себя от стандартных средств исследования системы, используя перехваты, "трамплины" и заплаты. В этой главе мы лишь поверхностно затронули обширную тему наборов средств для взлома — тему, которая заслуживает отдельной книги.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика