На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Наборы средств для взлома

А что, если сам код операционной системы окажется под контролем хакера? Эта идея связа­на с UNIX-платформами, для которых перекомпиляция ядра не редко выполняется каждую не­делю. Естественно, что наборам "троянских" программ, которые заменяют стандартные испол­няемые файлы операционной системы, было дано Название "rootkits" (учетная запись с макси­мальными привилегиями в UNIX называется root), потому что такие программы дают воз­можность работы с самыми широкими правами доступа на атакуемой машине. Наборы средств для взлома (rootkit) для операционных систем UNIX описаны в книге Секреты хакеров. Безопас­ность сетей - готовые решения, четвертое издание (Стюарт Мак-Клар, Джоел Скембрей, Джордж Курц. Вильяме, 2004). Такой набор обычно состоит из четырех групп программ, и все эти про­граммы настроены под определенную версию конкретной операционной системы.
1. "Троянские" программы, такие как подложные версии программ login, netstat, ps.
2. Программы для создания "потайного хода", например программы, запускаемые с по­мощью inetd.
3. Средства для прослушивания сетевых интерфейсов (анализаторы пакетов).
4. Программы для удаления записей в системных Журналах.
Нет ничего удивительного в том, что в 1999 году, благодаря группе Грега Хогланда (Greg Hoglund, http: //www.rootkit.com), появился набор средств для взлома, нацеленных на системы Windows NT/2000/2003. Грег застал врасплох сообщество пользователей Windows, продемонстрировав работающий образец набора средств для взлома под названием NTRoot, который позволял скрывать параметры реестра и перенаправлять вызовы исполняемых фай­лов . ЕХЕ. Перенаправление вызовов исполняемых файлов можно использовать для запуска "троянских" программ без необходимости изменять их содержимое. Все эти трюки средств для взлома реализуются с помощью перехвата функций (function hooking). Изменяя ядро сис­темы Windows NT таким образом, чтобы получить возможность перехватывать системные вы­зовы, набор средств для взлома может скрыть запущенный процесс, параметр реестра, файл или перенаправить вызов на "троянскую" функцию. Результат от применения такой техники превосходит результаты использования наборов средств для взлома, реализованных в виде "троянских" версий программ, — пользователь никогда не может быть уверен в целостности исполняемого кода.
На сайте rootkit.com можно найти и два других проекта наборов rootkit для систем Windows, пакет NuliSys под редакцией Джереми Коте (Jeremy Kothe) и пакет NTKap. Пакет NuIlKit заменяет драйвер null. sys и "скрывается" от файловой системы, в принципе, это простая по смыслу и элегантная по воплощению база для создания более сложных проектов rootkit. Пакет NTKap представляет собой заплату для ядра Windows NT, снимая всю защиту списка контроля доступа (Access Control List, ACL). Таким образом очень эффективно от­ключаются все защитные механизмы машины.

О Защита от средств для взлома


Бюллетень

MS98-010

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет


Если в конкретной ситуации нельзя доверять даже отчетам команды dir, значит, пришло время признать себя побежденным: создайте резервные копии важных данных (но не испол­няемых файлов!), удалите все программное обеспечение и переустановите его из проверенных источников. Не надейтесь на резервные копии системы, поскольку неизвестно, когда хакер по­лучил контроль над системой — есть вероятность восстановления тех же "троянских" программ.
Сейчас важно напомнить одно из золотых правил безопасности и восстановления после сбоев: известные состояния и повторяемость (known stales and repeatability). Производственные системы обычно требуется переустанавливать быстро, поэтому процедура инсталляции обязательно должна быть хорошо документирована и достаточно автоматизирована. Наличие проверенных носителей, готовых к выполнению процедуры восстановления, также достаточно важный фактор — много времени позволит сэкономить копия полностью сконфигурированного Web-сервера, записанная на компакт-диск. Кроме того, было бы хорошо написать сценарий не только для установки, но и для настройки производственного режима работы системы — во время установки системы или ее поддержки могут возникать изъяны системы зашиты (включение режима совместного использо­вания файлов и тд.). Убедитесь в том, что в вашем распоряжении имеется контрольный список или сценарий для возвращения системы в нормальный режим работы.
Еще одно хорошее средство для защиты от использования наборов средств для взлома — под­счет контрольных сумм файлов, но его необходимо производить для системы в исходном, неис­порченном состоянии. Средства, подобные бесплатно распространяемой программе MD5sum или коммерческой программе Tripwire, способны проводить анализ файлов и уведомлять о произо­шедших изменениях. Теоретически, применению этой методики может помешать перенаправле­ние вызовов исполняемых файлов, реализованное программами из набора средств для взлома для Windows NT/2000/2003, так как проверяемый файл остается неизменным, просто выполнение его кода перехватывается другим исполняемым файлом.
Устаревшую альфа-версию пакета NTRoot выявить очень легко. Достаточно выполнить по­иск файлов deploy, exe и _root_. sys. Запуск и остановка этого набора rootkit осуществля­ются с помощью команды net.
net start _root. net stop _root_
Также мы хотим упомянуть и о наиболее разрушительных компонентах наборов rootkit, ко­торые обычно устанавливаются на взломанных системах, — это анализаторы пакетов, переда­ваемых по сети. Они особенно опасны, поскольку могут помочь во взломе других систем, под­ключенных к локальной линии связи, путем перехвата передаваемых по сети паролей. Анализа­торы пакетов описаны в главе 8, "Расширение сферы влияния".
Сокрытие следов
В отличие от типичных нарушителей, которые используют установленные во взломанной системе "троянские" программы (наподобие только что описанных), более опытные хакеры обычно удаляют следы своих атак вручную.
Удаление записей из журналов
В главе 7, "Переход к интерактивному режиму работы", мы рассказали, как злоумышлен­ники сразу после взлома системы отключают службу аудита. А что же делать с уже сущест­вующими записями, которые могут выдать их действия?
Как только получен доступ с правами уровня администратора, удаление записей из журналов становится детской забавой. Если возможен интерактивный доступ к системе, просто откройте ос­настку Computer Management (Управление компьютером, файл compmgmt.msc), войдите вменю System Tools (Служебные про граммы)1^ Event Viewer (Просмотр событий), щелкните правой кнопкой мыши на значке Security Log (Безопасность) и выберите пункт меню Clear All Events (Стереть все события). Хакер также может использовать специальную программу, напри­мер, простую утилиту для очистки журнала событий elsave Джеспера Лоритсена (Jesper Laurit-sen). Например, следующая команда очистит журнал безопасности на удаленном сервере "joel" (необходимы соответствующие привилегии на удаленной системе). С:\^в1ват* -в Wjoel -1 "Security" -С
При использовании любого из методов будут удалены все записи, но появится новое сооб­щение о том, что журнал событий был очищен, с указанием учетной записи пользователя, кото­рый выполнил эту операцию. Еще одно интересное средство — программа WinZapperApHe Вид-строма (Arne Vidstrom) из компании ntsecurity.nu. Программа WinZapper делает выборочное уда­ление записей из журнала безопасности Windows NT/2000/2003. Единственным недостаток — для того чтобы сделанные изменения вступили в силу, необходима перезагрузка системы.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика