На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

"Троянские" программы входа в систему

Предварительный сбор данных Сканирование Инвентаризация Проникновение ширенме привилегий |ереход к интерактивному режиму работы
Сообщество хакеров становится более совершенным, улучшаются применяемые ими мето­пы атак и технологии взлома. Хакеры стремятся получить неограниченный доступ к ком­пьютерным системам, и делают это не только ради самого процесса взлома. Обычно они стремятся получить возможность постоянного доступа ко взломанной системе и продолжать злодейства, чтобы использовать возможности чужой системы и пропускную возможность взло­манной сети для распространения порнографии, файлов МРЗ или установки сервера IRC (Internet Relay Chat). Для этой цели хакеры готовы на любые действия, для чего большинство хакеров создают потайные ходы (backdoor) в систему для обеспечения дальнейшего незаметного доступа. Кроме того, они стараются удалить все следы своего пребывания на взломанной маши­не, чтобы не быть замеченными легальными пользователями и администраторами.
В этой главе мы постараемся описать основные механизмы, используемые хакерами для сохранения контроля над скомпрометированными системами. Пользуясь этими сведениями, администраторы смогут легко выявлять вторжения и не выполнять полную переустановку системы для устранения последствий атак. При необходимости мы будем углубляться в дета­ли и в целом надеемся представить всесторонний обзор популярных методов сохранения анонимности доступа.
Создание подложных учетных записей
Практически каждый системный администратор понимает, что учетные записи с правами суперпользователя являются критически важными ресурсами с точки зрения защиты и ауди­та. Учетные записи с неприметными именами, которые наделены привилегиями суперполь­зователя, отслеживать труднее. Хакер обязательно сделает попытку создать такую учетную за­пись на взломанной системе.
В Windows NT/20OO/2003 привилегированная локальная учетная запись легко создается с помощью следующих команд.
СЛ>м( user <кыя пользователе <пароль> /ADD
C:\>net localgroup <иия_грушш> <аня_пользсватепя> /KBD
Добавить пользователя в глобальную группу можно командой net group. Напомним ска­занное в главе 2, "Архитектура системы безопасности Windows Server 2003": Windows 2000/2003 различает локальные (резидентные для локальной базы'данных диспетчера SAM), глобальные (резидентные для службы Active Directory домена), универсальные и локальные группы доменов. Встроенные локальные группы доменов обычно обладают наиболее широким кругом полномо­чий, поскольку по умолчанию имеют доступ различного уровня к системным ресурсам. Потому они являются наиболее вероятными целями атак.
Можно легко проверить членство в ключевых административных группах, воспользовав­шись командами net [localjgroup, как показано в следующем примере, где выводится список членов группы Windows 2003 Enterprise Admins.
C:\>n»t group "Enterprle* Admino"
Group name Enterprise Admins
Comment Designated administrators of the enterprise Members
Administrator
The command completed successfully.
Перечислим встроенные группы, которые требуют постоянного контроля: Administrators, Domain Admins, Enterprise Admins и Schema Admins (на контроллерах доменов Win­dows 2003), а также различные локальные группы Operators.

"Троянские" программы входа в систему
В главе8, "Расширение сферы влияния", было показано, как в каталог %systemroot%\ system32 установить "троянскую" программу для входа в систему (logon) и сделать на нее ссылку через параметр г^страНКШ\ЭОКТМАКЕ\М1с:гозо£ t\WindowsNT\CurrentVersion\ Winlogon. Интерфейс такой Программы может ничем не отличаться от обычного, но она делает с вашими паролями очень и очень нехорошие вещи!
Удаленное управление
Даже имея верные аутентификационные данные учетной записи, злоумышленник может не попасть в атакуемую систему, если в ней нет служб с возможностью удаленного подключе­ния. Например, пароль учетной записи Administrator бесполезен, когда на сервере отклю­чены службы SMB или telnet. Таким образом, первоочередной задачей хакера является соз­дание механизма для упрощения последующего доступа к системе.
В большинстве случаев злоумышленнику вполне достаточно доступа к командной строке удаленной системы. Необходимые программы, в том числе утилиты netcat и remote.exe, мы подробно описали в главе 7, "Переход к интерактивному режиму работы". Также были рассмотрены программы, которые создают потайные ходы с возможностью удаленного управления через графический интерфейс, такие как WinVNC, обеспечивающие максималь­ную степень контроля над системой.
Меры противодействия удаленному управлению системой мы рассмотрим в конце этой главы, поскольку наиболее действенные механизмы защиты от таких атак очень похожи. Некоторое вни­мание будет уделено тем пакетам программ для удаленного управления, которые получили широ­кое распространение в Internet, чтобы предупредить читателя об их наиболее коварных функциях.
Пакеты программ для обслуживания "потайного хода"
На пике популярности, в конце 1990-х, программы для создания "потайного хода" в сис­тему распространялись со скоростью огня на поле сухой травы. Мало-мальски разбирающие­ся в вопросах взлома "специалисты" (так называемые "script kiddies") начали встраивать "потайные ходы" в программы, которые они могли отослать несведущим жертвам с сообще­ниями электронной почты. Когда пользователь запускает присоединенную к письму про­грамму (еще хуже, если запуск программы происходит скрытно и незаметно для пользовате­ля), в атакуемой системе ничего не подозревающего человека создается "потайной ход".
SubSeven
Программа SubSeven, предназначенная для создания "потайного хода" в систему, быстро приобрела широкую популярность. Ее можно использовать какдля администрирования, так и для достижения самых гнусных целей. Обычно хакеры применяют эту программу для полу­чения контроля над системой и последующего ее использования.

Популярность 7

Простота

7

Опасность

9

Степень риска

8

Ниже перечислены лишь некоторые функции программы SubSeven:
т регистрация нажатий клавиш;
■ передача нажатий клавиш в удаленную систему;
■ перехват данных, передаваемых ПО линии связи;
■ поиск файлов на дисках;
■ загрузка паролей системы, в том числе;
■ пароль хранителя экрана;
■ пароли RAS;
■ пароли для IRCh AIM (Online Instant Messangeг);
■ и даже пароль ICQ;
■ редактир реестра;
■ браузер сети;
■ диспетчер процессов; перенаправление портов;
отправка уведомления о "'заражении" компьютера по электронной почте, IRC или ICQ; удаленное сканирование портов (с использованием взломанного хоста); отслеживание сообщений ICQ, AIM, MSN и Yahoo! Instant Messanger.
4 Q    r a
Back Orifice 2000 (B02K)


Популярность

9

Простота

 

8

 

Опасность

 

7

 

Степень риска

 

8

 

Программу В02К написали участники хакерской группы Cult of Dead Cow ("Культ мерт­вой коровы") 10 июля 1999 года, перед официальным выпуском Windows 2000. При написа­нии программы ставилась задача показать, какие вредоносные действия можно производить с операционной системой. Исходная версия программы Back Orifice предназначалась только для Windows 95/98, они также хотели доказать, что эти же методы можно легко перенести и

 

 

 

 

 

 

 

НА ЗАМЕТКУ

Версии программы Во2к начиная

с 1.3 теперь называются ВОХР.

 

 

 

Программа В02К предоставляет практически полный доступ к удаленной системе, в том числе обеспечивает такие функции:
т выполнение команд;
■ получение списков файлов;
■ запуск скрытых служб;
■ загрузка файлов на удаленный компьютер и из удаленного компьютера;
■ редактирование реестра;
■ получение списка процессов и их остановка;
■ перехват данных, передаваемых по сета;


■ IRC-клиент;
* перенаправление соединений TCP/IP (туннелирование).
Защита от программ SubSeven и Back Orifice 2000


Бюллетень

MS98-0I0

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

 


Если уж хакер зашел настолько далеко, что получил в системе права администратора, вряд ли его можно удержать от установки программ типа SubSeven или В02К. Но выявить наличие "троянской" программы в системе вам поможет любой антивирусный пакет от ведущих про­изводителей. Просто проверьте, есть ли эта функция у программ таких фирм, как NA1 (http://www.nai . com) или Symantec (http: / /www. Symantec. com). И при любой воз­можности запускайте эти программы.
Обратите внимание на прекрасную программу для "чистки" системы, BoDetect v2.01 от Криса Бенсона (Chris Benson). Кроме того, для выявления "троянских" программ пригодятся отличные программы TDS (http://tds.diamondcs.com.au/) и Lockdown (http:// www. Iockdown2000 . com).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика