Wednesday, October 17th, 2018

Студент, преподаватель и Optix Pro (часть 1)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Вы можете прочесть продолжение этой статьи:

В серии этих статей мы спрофилируем троян в работе, используя, в качестве примера, выдуманный, но вполне реальный сценарий. Троян, который будет использоваться в качестве примера, называется Optix Pro, и я сознательно не помещаю здесь ссылку на него. Те же, кто желает “поиграть” с ним в лабораторных условиях, я уверен, достаточно сообразительны для того, что бы найти его. Optix Pro во многом является полнофункциональным RAT (remote administration tool), т.е инструментом удаленного администрирования.

Существует ключевой момент в распознавании Троянов, который отличает их от других хорошо известных проблем с безопасностью, таких как переполнение буфера и атак форматирования строк. Троян не является и не содержит в себе специфичного программного кода, который может быть найден в программе, но он легко инсталлируется на удаленный компьютер, где открывает сокет.  Этот сокет теперь открыт на компьютере “жертвы”, и затем к нему подключается злоумышленник. Как и весь компьютерный мир, троян также работает на базе модели клиент/сервер, то есть Internet Explorer и  Microsoft IIS web server. Этот троян является тем, чем он есть, одновременно и сервером, и клиентом.

Истоки появления троянов

Первым действительно хорошо известным трояном был Back Orifice, и был создан одним из самых известных хакерских коллективов тех дней Cult of the Dead Cow. Если Back Orifice в 1998 году был относительно сырым, то остальные трояны, такие,  как Optix Pro уже значительно более совершенны и опасны. В серии этих статей мы рассмотрим в чем заключаются их “усовершенствованные” функции, например, способность “убивать” практически любые системы антивирусов и firewall, существующих на сегодняшний день. Дополнительно будут показаны некоторые другие функции “отточенного” дизайна.

Необходимо отметить причину, по которой я выбрал фиктивные установки для студенческого городка. Множество колледжей и университетов имеют весьма деликатную проблему, балансируя между безопасностью компьютерной сети с одной стороны, и  свободным доступом к интернету для студентов с другой. Я был приглашен в качестве докладчика на Lockdown 2004 с докладом на тему, не имеющую отношения к троянам. В течение короткого времени, проведенного там, и после разговора с начальником службы информационной безопасности Jeffery Savoy, я понял, что University of Wisconsin, по-видимому, проделал изумительную работу достижении баланса между этими потребностями. Все это, плюс слушание других докладчиков, и определило мое решение.

Let’s have a look

Теперь, после всего сказанного, давайте “построим” нашу фиктивную сеть колледжа, чтобы визуализировать ее вид. Итак, как вы можете видеть внизу, в ее дизайне нет ничего выдающегося, это просто грубая модель сети. Единственная вещь, которую я здесь не показал это группы серверов, так как они не имеют прямого отношения к этой статье. В действительности, эта сеть, то, что называется плоской сетью, и фактически сегодня является “общим местом” (commonplace). Один из местных колледжей, здесь в Оттаве, имеет такой дизайн сети.

Обратная связь студент преподаватель

Для дальнейших разъяснений для тех из вас, кто не понимает настройку сети, показанную выше, в этой настройке имеется граничный маршрутизатор (edge router) или граничный шлюз. За ним находится firewall, раположенная там для снижения нагрузки. Нет никакой необходимости иметь ее на маршрутизаторе, так как она должна будет анализировать весь трафик, направляемый в сеть колледжа. Значительно проще установить ее за ним, где firewall будет обрабатывать только разрешенный маршрутизатором трафик, и направляемый в сеть колледжа. Сразу за firewall устанавливается основной switch колледжа, и за ним всевозможные switch отделов, например, один для бухгалтерского отдела и один для главного отдела.

Хорошо, мы заложили хорошую основу необходимую для понимания того, что из этого следует. Единственным исключением является то, как именно, фактически, классные комнаты подсоединены к внутренней ЛВС. В начале учебного года все студенты получают диаграммы, для каждого класса, который они будут посещать. На этих диаграммах указаны места и IP адреса для этих мест, а также на диаграмме классной комнаты указан IP адрес преподавателя. Это сделано для того, чтобы студенты со своих мест имели доступ к любому из имеющихся заданий, а также к остальной имеющей отшение к делу информации. В дальнейшем мы увидим, как эта настройка помагает IT персоналу колледжа самим отлавливать хакеров.

Наш ленивый студент Джон

Джон был студентом второго года обучения нашего фиктивного колледжа, и он с трудом преодолел свой первый год. Также, он обнаружил чудо под названием IRC, и в процессе IRC чата открыл то, что он верил, будет его спасением. Джон провалился в математическом классе, но ему было необходимо пройти его для получения диплома. Джон стал проводить много времени, исследуя почтовое обеспечение и сеть в целом. С его познаниями он почувствовал, что имеет хороший шанс получить копию предстоящего экзамена по математике с компьютера своего преподавателя. Благодаря планировке сети колледжа он не думал, что может инфицировать компьютер преподавателя удаленно из своего дома.

Джон помнил, что каждое место в классе оборудовано разъемом CAT 5 (витая пара 5 категория RJ-45) для подключения студенческих лаптопов для того, чтобы они имели доступ к компьютеру преподавателя математики для получения домашних заданий. Но помимо этого, Джон знал, что преподаватели проводят политику “открытых дверей” для своих кабинетов в целях поощрения взаимоотношений учителей и студентов. С этого Джон стал планировать получить физический доступ к компьютеру преподавателя и заразить его трояном. Но красота плана на этом не заканчивалась. Благодаря тому, что классные комнаты имеют разъемы для предоставления доступа к преподавательскому компьютеру, он может просмотреть экзамен по математике, находясь в классе! Это было великолепно, так как преподаватель не сможет находиться у своего компьютера и заметить что-либо пока Джон просматривает его содержимое потому, что он будет в классе преподавать!

Физический доступ – это плохо

Имея этот план, Джон решил сделать пробный прогон для проверки его осуществимости. На следующий день он вышел из класса пока преподаватель что-то рассказывал, о какой-то формуле, или о чем-то еще. Оказавшись вне класса, Джон проделал кратчайший путь к кабинету преподавателя, и прошелся мимо, заглядывая внутрь. Он был определенно пуст, так как преподаватель был в классе. Джон продолжал движение до туалетной комнаты, и решил инфицировать компьютер на обратном пути в класс. Джон принес с собой свой USB stick с троян-сервером на нем. Все что ему надо было сделать,- это быстро настроить сервер и вернуться в класс. В случае если кто-нибудь зайдет в кабинет, когда он будет заниматься этим, он просто скажет, что он заболел и оставил на компьютере преподавателя записку об этом. Какая гениальная мысль! С этим на уме, Джон зашел в кабинет преподавателя и сел за компьютер. Джон заметил установленный антивирусный продукт и отключил его. Затем он подключил USB stick и скопировал троян-сервер на компьютер.

Теперь Джон находился в “main menu” и должен был сконфигурировать настройки троян-сервера. Он должен был проделать быстро несколько настроек для запуска трояна. На этом месте сделаем паузу. Во второй части статьи рассматривается конфигурация троян-сервера. Также рассматривается способ его подключения.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]