На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Скрытие файлов

Скрытие файлов — стандартный метод действий хакеров и встречается почти при каждом Случае компрометации системы. При расследовании взломов мы практически всегда находи­ли скрытые файлы, загруженные хакерами в чужую систему.
Команда attrib +h


Популярность

7

Простота

7

 

ипасность

 

Степень риска

8

Можете считать элементарным надувательством простое использование команды DOS attrib для скрытия файлов, но хакеры тоже бывают ленивыми. Команда attrib — простое и эффективное средство, чтобы "спрятать" программы на жестком диске. Если злоумышлен-н ик получит доступ к вашей системе и скопирует на нее файлы набора средств для взлома, он, не желая быть пойманным сразу, попытается спрятать их, установив для файлов атрибут HIDDEN (скрытый). Это не слишком сложный, а потому и часто используемый метод.
Чтобы спрятать файл (root. exe), просто введите следующую команду.
С:\> attrib *Ъ root.exe
Чтобы спрятать все файлы каталога, используйте следующую команду.
С:\> attrib +h
Теперь злоумышленник захочет скрыть и каталог, который он только что создал (root).
С:\> attrib +h root
В результате этих действий обычная команда dir или программа Windows Explorer (с на­стройками по умолчанию) не покажет каталог root.
О Защита от использования команды attrib +h ■


Бюллетень

Нет

 

 

BID

Нет

 

 

Исправлено в SP

Нет

 

 

Фиксируется

Нет

 

 

Меры защиты от скрытая файлов с помощью attrib +h просты — просматривайте скрытые файлы на жестком диске. Это можно сделать вручную, воспользовавшись командой attrib. Чтобы показать скрытые файлы из текущего каталога, введите следующую команду.
G:\rootkit> attrib
A      Н G:\calc.exe
А      Н G:\CP.EXE


А СЛ. ЕХЕ
Как видно из приведенного листинга, в каталоге \rootJcit есть три файла.
Просматривать скрытые файлы можно и другим способом — изменив соответствующим образом настройки программы Explorer. По умолчанию Windows 2003 позволяет отображать скрытые файлы, поэтому изменений не потребуется. Однако для систем Windows 2000 и бо­лее ранних версий придется внести небольшие изменения. Для этого выберите пункт меню Tools (Сер в и с) ^Folder Options (Свойства папки), затем откройте закладку View (Вид) и пе­реведите переключатель Hidden Files and Folders (Скрытые файлы и папки) в положение Show Hidden Files and Folders (Показывать скрытые файлы и папки).

О Display confessed lies and folders w*h aftmnalA ™far
□ DisolaylbefJHth'ilhealietite
□ Display lhe fJpaUi in Ule Dai £] Hidden On and foldas
О Do not show hriden (In end (ciders © jbj. hidden lies and fakters
□ Hide lie ftJeifiiofK'oikncwft file t>oes
□ Hide owreded OOejalrifl s^s'etn fiesERecomrended]
□ Launch foldei wndom in a separate process 0 RmientiareacMoJdeis vieh settings
□ Sho**My Documents cm the DeskTop
IWestOtlW
Теперь вы увидите каталоги и файлы независимо от установленных атрибутов.


Elitewrap

 

 

Популярность

7

 

Простота

7

 

Опасность

9

 

Степень риска

8

Еще один способ, которым многие хакеры пользуются для скрытия файлов из набора средств для взлома, — упаковать все файлы в самораспаковывающуюся "троянскую" про­грамму и дать ей какое-то невинное назаание. Например, широко известна программа Elite-wrap, она собирает файлы в один исполняемый файл, который можно скрыть где-нибудь до нужного момента, когда файлы снова не понадобятся хакеру.
Эта программа может упаковывать все файлы в один и распаковать и/или исполнить их. Файлы, упакованные программой Elitewrap, обычно можно найти по стандартному признаку.
eLiTeWrap VI.03
Но это название можно легко изменить любым шести ад цатеричным редактором файлов, например программой HexEdit компании Expert Commercial Software, поэтому этого призна­ка недостаточно для выявления Elitewrap, Рассмотрим упаковку файлов программой Elitewrap (листинг9.1).
С:\rootkit> elitewrap
eLiTeWrap 1.03 -  (С) Tom "eLiTe" Mclntyre tomSdundeecake.demon.со.uk
http: //www.diindeecake.demon.co.uk/elitewrap Stub size: bytes
Enter name of output file: stu.exe Operations; 1 - Pack only
Pack and execute, visible.
Pack and execute, hidden.
Pack and execute, visible,
pack and execute, hidden.
Execute only, visible,
/ - Execute only, hidden.
Execute only, visible,
Execute only, hidden,
2 3 4 5 6 7 8 9 -
asynchronously asynchronously synchronously synch ronously asynchronously asynchronously synchronously synchronously
Enter package file ttl: calc.exe Enter operation: 1 Enter package file #2: cp.exe Enter operation: 1 Enter package file #3: All done  :)
Все, что теперь должен сделать злоумышленник, — спрятать полученный файл в потоке или скрыть его, и средний системный администратор ни о чем не догадается.

Q Защита от программы Elitewrap
Бюллетень Нет
BID Нет
л, >:«ип.:
Исправлено в SP Нет
Фиксируется_Нет
Как и для большинства описанных в этом разделе атак, в данном случае пригодится про­грамма для проверки целостности файлов, например Tripwire, которая определяет, какие файлы или каталоги системы были изменены. Альтернативой программе для проверки цело­стности системы являются программы для предотвращения вторжений, например Entercept, которая следит за файлами и не дает создавать в системе новые файлы.
Мы описали разные программы и методы, которыми пользуются хакеры для создания "потайных ходов" в систему. Но каким образом администратор может найти и устранить ос­тавленные взломщиками неприятные сюрпризы?
Как говорится, профилактика лучше лечения. Большинство коммерческих антивирусных пакетов в наши дни при сканировании находят программы, создающие "потайные ходы", до того, как те принесут какой-либо вред (например, перед обращением к дискете или до загруз­ки файла, присоединенного к письму электронной почты). Неплохой список производителей антивирусных сканеров приведен в статье базы знаний Microsoft Q49500.
Недорогая программа The Cleaner, распространяемая фирмой MooSoft Development, может определять и уничтожать больше 1000 различных типов программ для создания "потайных хо­дов" и "троянских" программ (по крайней мере, так утверждает их реклама).
При выборе программы убедитесь в том, что она выполняет поиск по важным признакам, таким как двоичные файлы или параметры реестра, которые обычно не изменяются тупова­тыми злоумышленниками, и помните, что эти программы эффективны, только если их базы данных регулярно обновляются!
Ведение учета
Если взлом уже произошел, то единственный ресурс, который можно противопоставить почти всем описанным выше "потайным ходам", — бдительность. Предусмотрительный ад­министратор должен иметь возможность контролировать каждый аспект состояния системы и знать, где можно быстро найти надежный источник для ее восстановления. Мы настоятель­но рекомендуем проводить описание критически важных систем сразу после установки, по­сле каждого обновления и после каждой установки новых программ.
Отслеживание состояния системы в динамичном окружении может стать утомительным де­лом (особенно на рабочих станциях), но на относительно стабильных серверах это будет боль­шой плюс при проверке целостности потенциально взломанного узла. Проще всего для этой це­ли использовать такие средства создания образа системы, как программа Norton Ghost компании Symantec. В оставшейся части этого раздела мы опишем несколько способов отсле­живания процессов, происходящих в вашем окружении. Следуя приведенным ниже простым советам, можно подготовиться к защите от возможных атак. Многие из этих методов помогут и в расследовании уже совершенного взлома.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика