Вы можете прочесть продолжение этой статьи:
В серии этих статей мы спрофилируем троян в работе, используя, в качестве примера, выдуманный, но вполне реальный сценарий. Троян, который будет использоваться в качестве примера, называется Optix Pro, и я сознательно не помещаю здесь ссылку на него. Те же, кто желает “поиграть” с ним в лабораторных условиях, я уверен, достаточно сообразительны для того, что бы найти его. Optix Pro во многом является полнофункциональным RAT (remote administration tool), т.е инструментом удаленного администрирования.
Существует ключевой момент в распознавании Троянов, который отличает их от других хорошо известных проблем с безопасностью, таких как переполнение буфера и атак форматирования строк. Троян не является и не содержит в себе специфичного программного кода, который может быть найден в программе, но он легко инсталлируется на удаленный компьютер, где открывает сокет. Этот сокет теперь открыт на компьютере “жертвы”, и затем к нему подключается злоумышленник. Как и весь компьютерный мир, троян также работает на базе модели клиент/сервер, то есть Internet Explorer и Microsoft IIS web server. Этот троян является тем, чем он есть, одновременно и сервером, и клиентом.
Первым действительно хорошо известным трояном был Back Orifice, и был создан одним из самых известных хакерских коллективов тех дней Cult of the Dead Cow. Если Back Orifice в 1998 году был относительно сырым, то остальные трояны, такие, как Optix Pro уже значительно более совершенны и опасны. В серии этих статей мы рассмотрим в чем заключаются их “усовершенствованные” функции, например, способность “убивать” практически любые системы антивирусов и firewall, существующих на сегодняшний день. Дополнительно будут показаны некоторые другие функции “отточенного” дизайна.
Необходимо отметить причину, по которой я выбрал фиктивные установки для студенческого городка. Множество колледжей и университетов имеют весьма деликатную проблему, балансируя между безопасностью компьютерной сети с одной стороны, и свободным доступом к интернету для студентов с другой. Я был приглашен в качестве докладчика на Lockdown 2004 с докладом на тему, не имеющую отношения к троянам. В течение короткого времени, проведенного там, и после разговора с начальником службы информационной безопасности Jeffery Savoy, я понял, что University of Wisconsin, по-видимому, проделал изумительную работу достижении баланса между этими потребностями. Все это, плюс слушание других докладчиков, и определило мое решение.
Теперь, после всего сказанного, давайте “построим” нашу фиктивную сеть колледжа, чтобы визуализировать ее вид. Итак, как вы можете видеть внизу, в ее дизайне нет ничего выдающегося, это просто грубая модель сети. Единственная вещь, которую я здесь не показал это группы серверов, так как они не имеют прямого отношения к этой статье. В действительности, эта сеть, то, что называется плоской сетью, и фактически сегодня является “общим местом” (commonplace). Один из местных колледжей, здесь в Оттаве, имеет такой дизайн сети.
Для дальнейших разъяснений для тех из вас, кто не понимает настройку сети, показанную выше, в этой настройке имеется граничный маршрутизатор (edge router) или граничный шлюз. За ним находится firewall, раположенная там для снижения нагрузки. Нет никакой необходимости иметь ее на маршрутизаторе, так как она должна будет анализировать весь трафик, направляемый в сеть колледжа. Значительно проще установить ее за ним, где firewall будет обрабатывать только разрешенный маршрутизатором трафик, и направляемый в сеть колледжа. Сразу за firewall устанавливается основной switch колледжа, и за ним всевозможные switch отделов, например, один для бухгалтерского отдела и один для главного отдела.
Хорошо, мы заложили хорошую основу необходимую для понимания того, что из этого следует. Единственным исключением является то, как именно, фактически, классные комнаты подсоединены к внутренней ЛВС. В начале учебного года все студенты получают диаграммы, для каждого класса, который они будут посещать. На этих диаграммах указаны места и IP адреса для этих мест, а также на диаграмме классной комнаты указан IP адрес преподавателя. Это сделано для того, чтобы студенты со своих мест имели доступ к любому из имеющихся заданий, а также к остальной имеющей отшение к делу информации. В дальнейшем мы увидим, как эта настройка помагает IT персоналу колледжа самим отлавливать хакеров.
Джон был студентом второго года обучения нашего фиктивного колледжа, и он с трудом преодолел свой первый год. Также, он обнаружил чудо под названием IRC, и в процессе IRC чата открыл то, что он верил, будет его спасением. Джон провалился в математическом классе, но ему было необходимо пройти его для получения диплома. Джон стал проводить много времени, исследуя почтовое обеспечение и сеть в целом. С его познаниями он почувствовал, что имеет хороший шанс получить копию предстоящего экзамена по математике с компьютера своего преподавателя. Благодаря планировке сети колледжа он не думал, что может инфицировать компьютер преподавателя удаленно из своего дома.
Джон помнил, что каждое место в классе оборудовано разъемом CAT 5 (витая пара 5 категория RJ-45) для подключения студенческих лаптопов для того, чтобы они имели доступ к компьютеру преподавателя математики для получения домашних заданий. Но помимо этого, Джон знал, что преподаватели проводят политику “открытых дверей” для своих кабинетов в целях поощрения взаимоотношений учителей и студентов. С этого Джон стал планировать получить физический доступ к компьютеру преподавателя и заразить его трояном. Но красота плана на этом не заканчивалась. Благодаря тому, что классные комнаты имеют разъемы для предоставления доступа к преподавательскому компьютеру, он может просмотреть экзамен по математике, находясь в классе! Это было великолепно, так как преподаватель не сможет находиться у своего компьютера и заметить что-либо пока Джон просматривает его содержимое потому, что он будет в классе преподавать!
Имея этот план, Джон решил сделать пробный прогон для проверки его осуществимости. На следующий день он вышел из класса пока преподаватель что-то рассказывал, о какой-то формуле, или о чем-то еще. Оказавшись вне класса, Джон проделал кратчайший путь к кабинету преподавателя, и прошелся мимо, заглядывая внутрь. Он был определенно пуст, так как преподаватель был в классе. Джон продолжал движение до туалетной комнаты, и решил инфицировать компьютер на обратном пути в класс. Джон принес с собой свой USB stick с троян-сервером на нем. Все что ему надо было сделать,- это быстро настроить сервер и вернуться в класс. В случае если кто-нибудь зайдет в кабинет, когда он будет заниматься этим, он просто скажет, что он заболел и оставил на компьютере преподавателя записку об этом. Какая гениальная мысль! С этим на уме, Джон зашел в кабинет преподавателя и сел за компьютер. Джон заметил установленный антивирусный продукт и отключил его. Затем он подключил USB stick и скопировал троян-сервер на компьютер.
Теперь Джон находился в “main menu” и должен был сконфигурировать настройки троян-сервера. Он должен был проделать быстро несколько настроек для запуска трояна. На этом месте сделаем паузу. Во второй части статьи рассматривается конфигурация троян-сервера. Также рассматривается способ его подключения.
Источник www.windowsecurity.com