В прошлых двух частях мы рассмотрели планирование и первые шаги практического взлома в целях накопления взломанных компьютеров. В этой последней части мы рассмотрим результаты того, что может увидеть взломщик средней квалификации. И наконец, мы также рассмотрим, как наш хакер Джон также быстро будет пойман при попытке продажи его товаров.
Если вы пропустили предыдущие статьи этой серии, пожалуйста, прочитайте:
Мы оставили во второй части Джона, проверяющим компромиссным тестом компьютерное время. Это позволит ему узнать, сколько времени взломанный компьютер был в связи с ним, и с тем из потенциальных будущих покупателей, которые купят одну из его оболочек. Это время было ключевым, так как ему требуется знать, когда изменять AT команду для посылки обратной оболочки его желательно богатым клиентам, по их выбранному времени. Следующий его шаг – это скрыть файлы nc.exe и nc.bat, которые расположены где-нибудь на подопытном компьютере. Маловероятно, что средний пользователь домашнего компьютера даже отважится в командной строке DOS или браузера просматривать содержимое своего компьютера. Для исключения неприятного случая, который может произойти, он (Джон) решил скрыть оба эти файла в каталоге c:\winnt. Он знает, что очень немногие люди заботятся посмотреть там, и это есть причина, по которой это предпочтительное место для злонамеренных программ. Мы можем увидеть на нижнем скриншоте, что наши файлы nc.exe и nc.bat расположены просто на c:\. Это плохо.
Рисунок 1
При необходимости скрыть эти файлы Джон идет вперед и делает только это, как показано на нижнем скриншоте.
Рисунок 2
Теперь, когда мы безопасно скопировали эти файлы в c:\winnt, настало время удалить копии, оставшиеся в самом c:\. Это делается быстро, и теперь настает время перейти в следующую фазу упражнения, которая настраивает AT работу так, чтобы Джон смог тестировать подключаемость удаленной оболочки в заданное время. Для тех из вас, кто не знаком близко с AT командой, это сервис, который запускает вашу антивирусную программу в заданное время для очистки вашего жесткого диска. Итак, имеет смысл использовать этот сервис для взлома удаленной оболочки в заданное время, так как он уже тут есть. Наиболее важный также тот факт, что AT команда может быть доступна через командную строку. Нам необходимо помнить, что Джон имеет доступ к cmd.exe, а не к explorer.exe, который предоставил бы ему интерфейс рабочего стола. Учитывая это, необходимо использовать команды, которые доступны внутри cmd.exe.
Рисунок 3
Вы можете увидеть на приведенном выше скриншоте, что я ввел соответствующий синтаксис для использования AT и планирования работы с помощью этого сервиса. Вы заметили что-нибудь в синтаксисе командной строки, что бы вас озадачило? Правильно, после “at” есть NetBIOS имя компьютера, в данном случае — “win2k2”. Как я узнал, каково NetBIOS имя компьютера? Хорошо, давайте посмотрим назад на вывод ранее выполненного сканирования с помощью Superscan, когда мы использовали его для пробы действий с жертвой.
Рисунок 4
Вы заметите, что информация в UDP Port 137 содержит все подробности, необходимые для определения NetBIOS имени этого компьютера. Оно содержится прямо здесь в таблице NetBIOS имени, также, как и суффиксы. По этой информации, собранной ранее, я был способен определить, какое было NetBIOS имя компьютера. Помните, что NetBIOS имя — это просто имя, которое вы даете вашему компьютеру, или имя, которое дал ему системный администратор.
Рисунок 5
Теперь мы можем увидеть на скриншоте вверху, что AT команда успешно выполнила nc.exe, скрытый в c:\winnt, и вскрыла командную строку для нашего атакующего компьютера в лабораторной настройке Джона. Это была приятная возможность, о которой Джон прочитал перед этим в одной из online рассылок. Он думал, что будет очень подходяще использовать это в какое-нибудь время в будущем, такое, как сегодняшние эксперименты. Хорошо, со всеми частями на своих местах, Джону остается сделать реальное применение заплатку, которую он посылает через TFTP. Это должно дать ему возможность исправлять уязвимые места, которые он сам использовал для взлома.
Рисунок 6
С показанным вверху синтаксисом для инсталляции заплаток, это занимает пару минут для инсталляции и затем перезагрузки подопытного компьютера. Теперь с установленным исправлением он не будет больше уязвим для RPC DCOM червя. Сказав это, для доказательства своей правоты, Джон опять пытается взломать подопытный компьютер тем же самым червем.
Рисунок 7
Мы можем теперь увидеть, что удаленная инсталляция заплатки в самом деле работает отлично. Framework не способна взломать компьютер, как видно на приведенном вверху скриншоте, и нет реверсивной оболочки, ожидающей нас. Джон сейчас успешно тестирует безопасность в своей лаборатории, которую он использует для относительно сложных взломов. Он теперь повторяет все несколько раз для гарантии результата и записывает все свои шаги на бумаге. Когда это все будет сделано, он будет готов к «выходу в свет» и начнет делать это в реальной жизни. Он имеет около дюжины заготовленных компьютеров, вернется в одну из своих любимых IRC chat-комнат и начнет рекламировать свою схему «оболочки за доллары».
Когда Джон начинал реальную активизацию взлома на следующий день, он надолго не забирал несколько уязвимых компьютеров под свой контроль. Это было не так элегантно, как владение автоматическим маршрутизатором, подобным какому-нибудь злонамеренному коду робота, но он делал, что мог. Джон использован общедоступную информацию, такую как диапазон IP-адресов, предоставляемых его провайдером. Ее он просто вводил в Superscan, и разрешал ей поработать для него. Теперь начинается часть глубокого бурения, где он должен повторить то, что он делал много раз в лаборатории. Джон не применяет в реальной работы то, что он делает в лаборатории, он будет показывать некоторые отличительные характеристики взлома: которые будут любопытными и достойными. Проблема в том, что Джон был в душе ленивым человеком с тенденцией к небольшому криминалу.
Когда Джон полностью завершил свою задачу сбора стольких незащищенных компьютеров, сколько возможно, он входит в свою любимую IRC chat-комнату. Его обычные близкие друзья там общаются о каких-либо червях или других хакерских новостях. Он пока слушает, а затем решает подкинуть свою бомбу. Он получил больше, чем ожидал, кибер-аплодисментов за свою изобретательность. Думая об этом, он также афишировал счет для online платежей, настроенный им. Правда, Джон сам вырыл себе яму. Слушателем в этой chat-комнате был федеральный агент, чьей работой является отслеживать такого типа chat-комнаты для выявления незаконной деятельности и другой интересной информации.
Федеральный офицер по наблюдению за законностью с исполнительностью доложил о своей находке своему начальнику. Это был тот тип деятельности, который они стараются предотвратить, и было удобно, что компания по online-платежам располагалась в Северной Америке. Потребовалась пара дней до того, как распоряжение суда было передано в компанию online-платежей, что потребовалось для получения информации о владельце этого счета. Гусь Джона был теперь готов и полностью приготовлен. Четыре дня спустя, когда Джон зашел в chat-комнату с этой схемой “оболочки на продажу”, его дом был захвачен, его компьютер был конфискован, а его самого арестовали по нескольким статьям. Джону действительно следовало учиться в колледже.
Хотя это была вымышленная история о том, что может случиться, если хакер средней подготовки будет действовать на криминальный манер, поверьте мне, что это очень реальный сценарий. Это то, что мы видели раньше, и что, без сомнения, увидим опять в будущем. Я очень надеюсь, что вы получили удовольствие от этой серии статей, и, как всегда, меня интересуют ваши рассуждения. Напоследок, я хочу поблагодарить Шери Рамболт (Sherry Rumbolt) за обсуждения, которые мы делали, пока я писал эту серию статей. До следующей встречи!
Источник www.windowsecurity.com
Tags: ftp