Не каждый случай успешного вторжения «оканчивается» заменой Web сайта на сервере, кражей данных или разрушением. Часто электронные злоумышленники не хотят устраивать спектакль, а предпочитают не допускать огласки скрытием их присутствия на взламываемых системах, иногда оставляя определенные неожиданные вещи. Они используют сложные технологии для инсталляции специфичного “malware – злонамеренного программного обеспечения” (потайные двери) для позволения им прийти позже с полным управлением и тайно.
Очевидно, хакеры имеют множество мотивов для установки злонамеренного программного обеспечения (malware). Эти типы программного обеспечения предназначены для предоставления непосредственного доступа к системе для продолжительной кражи различных типов информации, как, например, стратегические разработки компании или номера кредитных карточек. В некоторых случаях, они используют взломанные компьютеры в качестве точек запуска для массированных атак Отказа в Обслуживании. Возможно, наиболее общей причиной покушения хакеров на другую систему является возможность создания стартовых площадок, которые атакуют другие компьютеры, маскируясь невинными компьютерными адресами. Существует отдельный вид spoofing’а (получения доступа обманным путем), где log’и вторжения обманывают целевую систему и заставляют ее поверить в то, что связь производится с другим, добропорядочным компьютером, а не незваным гостем.
При нормальных условиях, тяжело взломать безопасность локальной сети из Интернета, потому что в большинстве случаев LAN подключается к Интернету через зарезервированные адреса, такие как 10.0.0.0 или 192.168.0.0 – (для подробной информации смотрите документ RFC 1918, доступный по адресу http://www.faqs.org/rfcs/rfc1918.html). Таким образом, хакер не может получить прямой доступ из Интернета, что представляет определенную проблему для него. Инсталляция shell-программ (например, Telnet) на любом Интернет-доступном компьютере позволит незваному гостю получить доступ к LAN и распространить его управление над инфраструктурой. Такие типы атак преобладают на Unix компьютерах, потому что они используют более общие shell-сервисы удаленного доступа (SSH или, более редко, Telnet), и не требуют дополнительные инсталляции. Эта статья, однако, сфокусирована на системах, основанных на Microsoft Windows.
Умный хакер не будет пытаться поместить свою программу на сервер, который регулярно отслеживается и проверяется. Он действует скрытно, не ставя в известность любого законного пользователя. Тем не менее, его попытки войти обычно не будут производиться через главный контроллер домена, чей log часто проверяется, сетевой трафик отслеживается и будет немедленно выявлено любое изменение. Конечно, все зависит от состояния политики безопасности и, как хорошо известно, сетевые администраторы не всегда скрупулезны в выполнении своей работы. Тем не менее, host, который играет не ключевую роль в сети, представляет предпочтительную цель для хакера. До начала выбранного процесса, успешный хакер старается перенести зону и затем определить возможные роли отдельных host’ов внутри домена по их именам. Плохо защищенная рабочая станция, изолированная от главной сети, может быть идеально использована для целей хакера, потому что на ней небольшой шанс выявить инсталлированный потайной вход.
Потайная дверь (backdoor) – это программа или множество связанных программ, которые хакер инсталлирует на компьютер-жертву для получения доступа в систему в будущем. Цель потайных дверей – удалить записи о первоначальном входе из системного log’а. Но “хорошая” потайная дверь позволит хакеру получить доступ к компьютеру, взломанному им, даже, если факт вторжения будет выявлен системным администратором. Сброс паролей, изменение доступа к диску или исправление дыр в безопасности в надежде, что это решит проблему, могут не помочь.
Простой пример потайной двери – это пароли по умолчанию для BIOS, маршрутизатора или коммутатора, установленные или легкомысленными производителями, или администраторами безопасности.
Хакер может просто добавить новую пользовательскую учетную запись с привилегиями администратора, что и будет одним сортом потайной двери, но намного менее хитрым и легко выявляемым.
Добавление нового сервиса – это наиболее общая технология маскировки потайных дверей на операционных системах Windows. Она требует применение таких инструментов, как Srvany.exe и Srvinstw.exe, которые поставляются с утилитой Resource Kit или с Netcat.exe [1]. Принцип этой операции в том, что инструмент srvany.exe инсталлирован в качестве сервиса и разрешает netcat.exe выполняться в виде сервиса. Позже он слушает определенный порт для любых соединений. После подключения он порождает удаленную оболочку на этом сервере (используя cmd.exe), и с этого момента хакер получает свободу власти.
Только до начала инсталляции потайной двери, хакер должен изучить сервер для нахождения активированных сервисов. Он может просто добавить новый сервис и дать ему неприметное имя, но ему лучше выбрать сервис, который нигде не используется и который или активируется вручную, или даже полностью выключен. Его достаточно удалить, используя утилиту Srvinstw.exe и заново инсталлировать новый сервис с тем же самым именем. Сделав так, хакер значительно снижает возможность того, что администратор обнаружит потайную дверь в ходе следующей проверки. Всегда, когда случается какое-нибудь событие, системный администратор фокусирует внимание на чем-нибудь странном в системе, оставляя все существующие сервисы непроверенными. С точки зрения хакера, обычно следует скрыть файлы глубоко в системных каталогах для защиты от обнаружения системным администратором. Со временем, хакер подумает о названии инструментов, помещаемых на серверный диск. Netcat.exe и Srvany.exe являются утилитами, которые требуется выполнять непрерывно, и они видны в диспетчере задач. Хакеры понимают, что утилиты потайной двери должны иметь имена, которые не должны привлекать внимание. Они используют такой же подход и когда выбирают подходящий порт для потайной двери. Например, порт 5555 не подходит для потайной двери, так как он немедленно привлечет внимание системного администратора.
Технология, описанная выше, является очень простой, но в тоже время и эффективной. Она позволяет хакеру снова войти в компьютер с наименьшей видимостью в серверных log’ах (мы не говорим о ситуациях использования специальных программ для мониторинга трафика и инсталлированных эффективных систем регистрации событий). Кроме того, сервис потайной двери позволяет хакеру использовать высокие привилегии – в большинстве случаев в качестве Системной учетной записи. Это может вызвать некоторые проблемы для незваного гостя, потому что, несмотря на высокие привилегии, Системная учетная запись не имеет силы за пределами компьютера. Под этой учетной записью отображение дисков или дополнительные пользовательские учетные записи недоступны. Вместо этого, могут быть изменены пароли и присвоены привилегии существующим пользователям. С потайной дверью, которая захвачена учетной записью системного администратора, таких ограничений не существует. Остается только проблема, связанная с изменением пользовательского пароля, потому что для обновления пароля требуется перезагрузка связанного сервиса. Администратор несомненно начнет проверять log ошибок, если он внимательно относится к мониторингу и регистрации событий. Пример, приведенный выше, описывает потайную дверь, которая является наиболее опасной с точки зрения уязвимости системы, потому что каждый может подключиться к ней и получить наибольшие привилегии без необходимой авторизации. Это может быть любой скрипт, использующий инструмент сканирования портов, направленный против компьютеров, выбранных случайным образов из Интернета.
Web сайты, предназначенные для хакеров, дают примеры множества инструментов, которые предназначены для инсталляции потайных дверей, отличающихся тем, что когда соединение установлено, взломщик должен войти с заранее заданным паролем. iCMD [2], Tini [3], RemoteNC [4] или WinShell [5] (Рис. 1) – примеры инструментов, схожих с Telnet.
Рис. 1 Программа WinShell может быть использована для инсталляции простых потайных дверей
Я однажды видел очень интересный скрипт, названный CGI-backdoor [6]. Я считаю, что это должно быть интересно, потому что атакующий может выполнить удаленные команды на сервере через WWW. Был специально создан полностью динамический .asp сайт, написанный на VBScript (также доступен на Perl, PHP, Java и C), который разрешает выполнять команды на сервере, используя командный процессор по умолчанию, cmd.exe. Хакер может использовать это для конфигурирования реверсного WWW скрипта на системе-жертве, а может быть разрешен по умолчанию с похожими привилегиями с IUSR_MACHINE учетной записи. Этот скрипт может быть использован вообще без входа, поэтому и не оставляет следов в системе. Его дополнительное преимущество в том, что он не слушает какой-либо порт, а транслирует между HTML, используемом на WWW страницах, и сервером, который выполняет интерактивные web-сайты.
Для создания потайных дверей хакеры могут использовать покупные инструменты, такие как Remote Administrator [7] или бесплатный TightVNC [8], которые, не считая полного контроля над компьютером, также позволяют управлять им и с удаленной консоли.
Троянские кони или Remote Administration Trojans (RAT – Трояны Удаленного Администрирования) – это класс потайных дверей, который используется для разрешения удаленного управления через взломанный компьютер. Они обеспечивают несомненно полезные функции для пользователя, и в тоже время открывают сетевой порт на компьютере-жертве. Затем, однажды запустившись, некоторые трояны ведут себя, как исполняемые файлы, взаимодействуя с отдельными ключами реестра, отвечающими за запуск процессов, и иногда создавая свои собственные системные сервисы.
Противоположно обычным потайным дверям, Троянские кони поддерживают себя внутри зараженной операционной системы и всегда поступают упакованными в два файла – клиентский файл и серверный файл. Сервер, как видно из его названия, инсталлируется на зараженный компьютер, в то время, как клиент используется взломщиком для управления взломанной системой. Некоторые хорошо известные функции троянов включают: управление файлами на зараженном компьютере, управление процессами, удаленная активация команд, перехват нажатий клавиш, просмотр экранных изображений и, также, перезапуск и закрытие инфицированных host’ов – это мы перечислили только несколько из их функций. Некоторые даже способны самостоятельно подключаться к своим создателям. Конечно, эти возможности отличаются для отдельных Троянских коней. Вот список наиболее популярных: NetBus, Back Orifice 2000, SubSeven, Hack’a’tack и один из Польши, названный Prosiak.
В большинстве случаев, Троянские кони распространяются по email. Они обычно помещаются во вложения, потому что их авторы используют уязвимость почтовых клиентов. Другая технология основана на том, что они прикрепляются к другим программам. Существует множество программ в Web, которые используют несколько файлов для создания одиночного исполнимого файла.
Троянские кони (также называемые троянами) обычно работают в слегка схематичной манере. В отличии от ранее описанных потайных дверей, где реализация и функции ограничивались только изобретательностью хакера, поведение этих довольно хорошо определено. Они прослушивают определенные порты (например, 12345 — это порт по умолчанию для трояна NetBus), настраивают определенные ссылки в стартовых файлах и регистрах, поэтому они являются относительно легко обнаруживаемыми и идентифицируемыми. В большинстве случаев, проблемы с Троянскими конями могут быть разрешены использованием антивирусных (AV) программ (обновленных!) для проверки возможных заражений.
Для достижения этой цели хакер должен инсталлировать потайную дверь, которую сложно обнаружить. Это его главная задача. Хакеры используют различные методы для этих целей, помещая свои инструменты на глубокий уровень взломанных систем и оставляя файлы так, чтобы они не привлекали внимание. Однако, этого не достаточно, так как процессы все еще остаются видимыми, и легко обнаружить любую нежданную программу, которая прослушивает определенный порт, использую netstat для проверки информации об этом порте. Тем не менее, хакеры могут также использовать Root Kit.
Большинство читателей знают, что rootkit в основном является Unix концепцией, переносимой на другие платформы в ее более сложных формах. Это набор инструментов, используемых взломщиком для скрытия его присутствия в атакуемой системе. Обычные цели включают замещение или заражение программ, таких как ps, find, ls, top, kill, passwd, netstat, скрытых каталогов, файлов, и даже их отдельных частей – например, в /etc/passwd. Более того, захват паролей, удаление входов деятельности атакующего, помещение потайных дверей в определенные сервисы (например, Telnet) доступные в любое время без авторизации. Существует множество rootkit в Unix окружении и каждый новый выпуск является более “передовым” в выполняемых ими функциях. Они также доступны для атаки Windows систем – менее сложные, но все еще мощные и современные. Некоторые доступные rootkit решения имеют скрытые или измененные netstat команды, тем самым делая предварительно установленные потайные двери невидимыми, в то время, как они прослушивают какой-либо порт.
Простой скрипт помещается в содержимое Perl строки, компилируется и называется netstat.exe – вот пример простого rootkit. Реальный системный netstat может быть переименован в oldnetstat.exe. Принцип работы нового netstat в том, что он из командной строки будет вызывать реальный netstat (теперь oldnetstat.exe), и перенаправлять его во временный текстовый файл. Затем rootkit ищет в этом файле любую информацию о прослушиваемом порте для ее удаления (в соответствии с процедурой, описанной в коде rootkit). После модификации результаты отображаются на экране, а старый файл удаляется. Этот принцип является простым и эффективным и обеспечивает интересную возможность– он может быть использован для обманных выходных данных, реально выдаваемых другим инструментом, доступным через командную строку – например, tlist или dir. Существует множество программ этого типа, доступных на Web. Те, с которыми я сталкивался, не отображают, например, информацию о прослушиваемых портах, таких как 666, 27374, 12345, 31337 – т.е. хорошо известных портах Троянских коней.
В свое время была рождена идея первого расширенного rootkit для Windows окружения. Автором был Грег Хоглунд (Greg Hoglund), пока развитие этой идеи можно было увидеть на http://www.rootkit.com/ (к несчастью, больше не доступно). Из того, что я знаю, разработка споткнулась после версии 0.44 [9]. Однако, ниже вы найдете описание немного более старой версии, названной 0.40 [10].
Этот rootkit был разработан, как драйвер режима ядра, который выполняется с системными привилегиями в ядре системы. Поэтому, он имеет доступ ко всем ресурсам операционной системы, получая широкое поле для деятельности. Для инсталляции его требуются администраторские разрешения, чтобы простые net start/net stop команды успешно активировали/дезактивировали его.
После того, как rootkit загружен, хакер может скрыть каталоги и файлы на диске жертвы. Этот метод эффективно обеспечивается тем, что скрытый объект имеет префикс имени с _root_ – например, _root_directory_name. Как это работает? Этот rootkit, изменяя ядро, перехватывает все системные вызовы на листинг содержимого диска и все объекты, начинающиеся с последовательности _root_ – являются скрытыми от показа. То же самое применяется к процессу поиска – все фалы и каталоги с приведенной выше последовательностью символов являются скрытыми от поиска.
Эта возможность rootkit может также быть использована для скрытия выполняющихся процессов, также как и для элементов системного реестра, использованием префикса _root_ для всех ключей и элементов. Это позволяет хакеру инсталлировать, например, сервисы, которые становятся потайной дверью, которые будут невидимыми для системного администратора как сервисы или элементы реестра, или процессы, выполняющиеся в системной памяти.
Этот rootkit может также перехватывать все нажатия клавиш на системной консоли. Это может быть вынесено в драйвер клавиатуры и выдавать ‘sniffkeys’ команды.
Это не последняя возможность описанного rootkit. Его новейшая версия (0.44) предлагает несколько других функций, таких как тяжеловесно-кодовую потайную дверь (Рис. 2), которая позволяет удаленному хакеру соединяться с зараженным компьютером и получать высоко привилегированную оболочку.
Рис. 2 Rootkit потайной двери позволяет хакеру активировать программу наблюдения
Более того, новые реализации предусматривают, например, функцию, которая перенаправляет .EXE файлы на другие программы. Запускается совершенно другой инструмент после того, как rootkit распознал выполнение файла с именем, начинающимся с _root_. Больше никаких подробностей не приводится. В настоящее время все находится на стадии концептуальных испытаний и хакеры не могут использовать эту функциональность.
Изобретательный хакер будет достаточно умен для того, чтобы скрыть ото всех свои следы. Он будет использовать все доступное для обмана своей жертвы и часто имеет большой шанс достижения этой цели. Однако, системные администраторы не беззащитны против злонамеренных атак. Существует множество известных технологий и процедур для обнаружения любых подозрительных инсталляций внутри систем. На первый взгляд, rootkit кажется мощным инструментом, и, несомненно, это так и есть. К счастью, rootkit является двоякоострым мечом по отношению к своему проекту. Как я уже упоминал, rootkit, основанный на ядре, отслеживает вызова для объектов (файлов, каталогов, регистров или процессов), чьи имена начинаются с определенной строки.
К счастью, множество взломщиков являются неряшливыми и части их rootkit могут быть обнаружены. Файлы с троянами часто имеют конфигурационные файлы, которые перечисляют программы, которые должны быть скрыты или которые нужно показывать. Часто они забывают скрывать сами эти конфигурационные файлы. Так как /dev является местом по умолчанию для большинства из этих конфигурационных файлов, поиск там чего-нибудь, что является нормальным файлом, — это хорошая идея.
Однако, rootkit не может трогать процессы, которые имеют _root_ в своих именах. Другими словами, когда системный администратор анализирует системный log, используя Regedit.exe, он не может увидеть скрытые элементы, но изменение его имени на _root_regedit.exe будет достаточно для того, чтобы он увидел все вместе со скрытыми ключами и элементами реестра. Это справедливо для всех программ – например, Менеджера Задач (см. Рис. 3).
Рис. 3 Менеджер Задач – после изменения его имени на _root_taksmgr.exe, вы можете увидеть скрытые процессы, выполняющиеся в вашей системе
Следующая “уязвимость” rootkit: объекты скрываются только от окружения взломанного компьютера, но они могут легко быть увидены с другого компьютера. Отображение Сетевого Диска удалено с другого компьютера (или использование команды net use) подразумевает показ всего того, что скрыто от локального пользователя. Это из-за того, что удаленный компьютер использует чистое ядро для просмотра файлов и каталогов на взломанном компьютере, исключая процесс фильтрации rootkit.
Следующая уловка – в использовании инструментов drivers.exe (см. Рис. 4), доступного в пакете Resource Kit, или Winmsd.exe.
Рис. 4 Используйте утилиту drivers.exe из Resource Kit для листинга всех драйверов – даже тех, которые затрагивает rootkit
Используя программ, упомянутых выше, системный администратор может получить список всех драйверов, включая _root_.sys, который является rootkit драйвером устройства. Это исключительный случай, когда процесс с префиксом имени _root_ не скрыт. Я хочу подчеркнуть, что это имя драйвера относится к определенному rootkit, описанному здесь, а не обязательно ко всем другим rootkit. Но, как я знаю, более поздние версии Windows rootkit в настоящее время не доступны.
Интересное анти-rootkit решение было разработано Pedestal Software. Эта компания создала программу, названную Intact Integrity Protection Driver [11], которая блокирует изменения и добавления ключей и значений в реестр. Она эффективно защищает Service Control Manager или пользовательские приложения от измененных сервисов и драйверов клавиатуры, значений реестра и также от добавления или замены существующих двоичных файлов драйверов.
Ваша система безопасна? Как вам это узнать? Компьютер очень редко является целью для атак по другим причинам, чем та, что он является уязвимым. Один из первых шагов профилактики – это оценка ваших базовых правил и требований политики безопасности. Я думаю, что установленное обновленное антивирусное программное обеспечение – это главная концепция, и даже, если это и не полностью защитит ваш компьютер, все равно это будет полезно для безопасности, обеспечивая хорошую защиту против большинства вирусов и троянов.
Другая рекомендация – это внимательное изучение любых модификация программ для обнаружения новых, странных сервисов или процессов. Администраторские скрипты являются очень полезными инструментами в этом деле, особенно когда дело касается множества систем. Также можно рассмотреть сканирование время от времени host’ов в вашей сети. Если вы подозреваете, что есть открытый порт на вашем компьютере, дайте мгновенный снимок для проверки того, будет ли он авторизован, или нет. Вы можете использовать сетевые, прикладные диагностические программы или программы для поиска неисправностей, такие как TCPview (Fig. 5) [12], FPort [13], Inzider [14], Active Ports (Fig. 6) [15] или Vision [16].
Рис. 5 Инструмент TCPview позволяет определить, какое приложение открывает порт на вашем компьютере. Подобно Active Ports,он показывает вам, что на каком порту работает.
Рис. 6 Active Ports в действии
Эти инструменты обеспечивают средства для определения приложений, открывающих порты. Более того, они позволяют сделать это без использования Netstat, если есть подозрения, что она заменена или инфицирована. Это привело меня к другому интересному размышлению: какой бы инструмент не использовался, рекомендуется использовать оригинальные инструменты, предварительно загруженные на надежную дискету или CD-ROM, когда пытаетесь проверить систему. Если возникает какое-либо подозрение относительно оригинальности отдельных инструментов, проверьте их контрольную сумму на совпадение с инсталляционным CD-ROM.
В этой связи, ListDlls [17] и Process Explorer [18] (Рис. 7) могут быть довольно полезны, если возникают подозрения на зараженные троянами процессы или процессы потайных дверей.
Рис. 7 Просмоторщик Процессов, который отображает объектные процессы и относящиеся к ним DLL библиотеки
Эти программы со своими DLL библиотеками дают некоторую помощь и обеспечивают дополнительной информацией при обработки несчастных случаев, расследовании и контрольном анализе для получения легальных доказательств при криминальных обвинениях.
Также я могу посоветовать обращать пристальное внимание на ключи реестра, которые отвечают за запуск программ при загрузки системы. В большинстве случаев, эти элементы реестра обычно содержат некоторые признаки того, как взломщик получает доступ, откуда, когда и т.д.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet\Services
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows (run)
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows (run)
HKEY_CLASSES_ROOT\exefile\shell\open\command
Предельно важно устанавливать соответствующие права доступа к этим ключам и активировать инструменты инспекции для непрерывного мониторинга любых злонамеренных попыток. Это же относится и к системным каталогам и файлам, которые являются критичными для безопасности. Общепринятая политика компьютерной безопасности начинает со «звука» брандмауэра, выступающего в качестве защиты от потайных дверей. Даже если взломщик собирается установить потайную дверь, брандмауэр блокирует его от получения прослушиваемого порта.
В действительности, обход брандмауэра – это не plug-n-play вещь, но я все же свободен иметь хорошую долю пессимизма. Есть известные хакерские инструменты, которые могут проходить даже через наиболее твердые брандмауэры.
Однако, это находится за пределами этой статьи, поэтому я рекомендую прочитать документ, доступный по адресу: http://www.spirit.com/Network/net0699.txt.
Наконец, я хотел бы поставить вас в известность об одной проблеме. Если ваш компьютер был взломан и хакер получил полный администраторский доступ, будьте очень внимательны при восстановлении системы из резервных копий или дискового имиджа! Я лично имел опыт в ситуации, где кто-то подменил WWW-сайт. Системный администратор восстановил систему из резервной копии, установил исправления в систему, обновил базу данных доступа и изменил пароли. Однако, он считал, что сервер полностью в безопасности. Но он просмотрел тот факт, что вторжение было задолго до того, как он сделал копию, содержащую версию с потайной дверью. Итак, я настоятельно рекомендую проверять систему всегда, когда создается резервная копия.
Хакеры все больше и больше угрожают сетевому сообществу со своими новыми технологиями, потайными дверьми и Троянскими конями. Тем не менее, мы должны предпринимать шаги для защиты от известных методов взлома, даже хотя становиться большое количество тревожных факторов, о которых мы не знаем. Только одна вещь абсолютно очевидна – вы никогда не знаете, как долго ваша защитная система сможет устоять от падения.
Источник www.windowsecurity.com
Tags: cgi, mac, quote, redirect, UNIX