Студент, преподаватель и Optix Pro (часть 2)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Эта часть серии статей поведает о том, как Джон настраивал троянский сервер на преподавательском компьютере и подключался к нему из аудитории.

Другие статьи данной серии:

Первая часть закончилась тем, что Джон установил троянский сервер на компьютер профессора. Подтвердив “disclaimer”, поступивший вместе с трояном, он был готов приступить к настройкам сервера.

Джон собирался настроить троянский сервер по своему усмотрению, а нехватка времени вынуждала его произвести минимум настроек: очень не хотелось прибегать к крайнему варианту – глупому рассказу про недомогание.

Optixpro как работает

Джон, на всякий случай, пробежал глазами меню «Основных настроек» (“Main Settings”), хотя благодаря своему прежнему опыту он представлял себе его содержание. Он ничего не изменил, не установил пароль для защиты сервера: ему было все равно, захочет ли кто-либо из его или другого класса подключиться к серверу или нет.

Optixpro как работает

Теперь предстояло решить: под какой иконкой будет скрыт троянский сервер? Она должна быть такой, на которую профессор математики не обратит вниманию. И выбор Джона остановился на иконке системного реестра, изображенной на картинке.

Optixpro как работает

Время неумолимо двигалось, и, решив вопрос с иконкой, Джон выбрал меню «Запуск и инсталиция» (“Startup & Installation”).

Optixpro как работает

Просмотрев настройки меню, Джон поставил галочку напротив Registry – RunServices (2K/XP), остальные настройки оставил по умолчанию.

Optixpro как работает

Джон выбрал и просмотрел настройки в меню «Notifications». Он собирался проникнуть в компьютер профессора из аудитории, и ему не нужны были никакие извещения. Джон начинал волноваться, потому что он просидел за компьютером профессора более 10 минут, и это могли обнаружить. Вариант с симуляцией болезни мог потерпеть крах, если его застанут на «месте преступления». Но нежелание писать тест по математике оказалось сильнее страха, и он продолжил настраивать сервер.

Optixpro как работает

Джон вспомнил, что Optix Pro имеет встроенную функцию, которая могла заблокировать почти все известные на данный момент антивирусные программы и защитные системы firewall. Но она также блокировала и большинство антитроянских программ. Опыта в обращении с данной функцией у Джона не было, поэтому он оставил настройки по умолчанию.

Функция блокировать защитные системы firewall и антивирусные/антитроянские программы делает Optix Pro смертельно опасной программой. Особенно, это касается обычных пользователей. Немногие люди заглядывают в панель задач защитных систем firewall и антивирусных программ.

Optixpro как работает

Джон остался доволен внесенными изменениями, которые помогут ему в будущем. После этого программа выдала сообщение, изображенное на рисунке, с двумя вариантами дальнейших действий. Поскольку Джон физически находился на локальном компьютере, не было никакой необходимости выбирать UPX packing, он просто  нажал кнопку OK All done!.

Optixpro как работает

Это вернуло его в главное меню, а в нижнем левом углу появилась надпись «Настройки успешно сохранены» (“SETTINGS WRITTEN SUCCESSFULLY!”). Превосходно! Джон был в восторге – дело почти сделано. Замаскировав троянский сервер под системную иконку, ему оставалось только дважды щелкнуть на ней правой кнопкой мышки и установить тем самым троянский сервер в системном реестре профессорского компьютера среди других программ.

Optixpro как работает

Верхний скриншот является доказательством тому, что Optix Pro установлен и работает. Программа создала гнездо на порте 3410, котрый является портом по умолчанию для Optix Pro. Инструмент Активные порты (Active Ports) хорош тем, что позволяет программе установиться на открытое гнездо. Взглянув на картинку, можно увидеть, что программа установилась в c:\winnt\system32\msiexec16.exe. Папка “system32” — излюбленное место для самоустановки троянских программ.

После завершения установки троянского сервера, Джон спрятал иконку там же, где и сервер. Он был абсолютно уверен, что профессор не станет проверять системные файлы. Джон выскочил из кабинета профессора, вернулся в аудиторию и не удивился, увидев профессора, занудно рассказывающего о чем-то, связанном с математикой. Джон подсоединил свой портативный компьютер к разъему САТ5 и запустил троянскую клиентскую программу для подключения к другому компьютеру.

Не спеша, Джон ввел IP адрес компьютера профессора, почерпнутый из схемы компьютерной сети, изданной в начале года. С огромным удовольствием он нажал кнопку Connect.

Optixpro как работает

Окно «Активные порты» (Active ports) еще раз подтверждает, что клиентская программа подключилась к компьютеру профессора. Ниже можно увидеть, что произошло на пакетном уровне. Несколько пакетов были удалены.

05/13-12:35:56.708391 0:D0:59:1C:75:30 -> 0:D0:59:2B:77:EE type:0x800 len:0xTCP TTL:128 TOS:0x0 IpLen:20 DgmLen:85 DF***AP*** Seq: 0x7A677215  Ack: 0x4B3A4E4B  Win: 0xFFF4  TcpLen: 20

0x0000: 00D0 592B 77EE 00D0 591C 7530 0800 4500  ..Y+w…Y.u0..E.
0x0010: 0055 0D72 4000 8006 6914 C0A8 0165 C0A8  .U.r@…i….e..
0x0020: 0167 0D52 0425 7A67 7215 4B3A 4E4B 5018  .g.R.%zgr.K:NKP.
0x0030: FFF4 D2B9 0000 3030 31AC 4F70 7469 7820  ……001.Optix
0x0040: 0x0050: 7465 6420 5375 6363 6573 7366 756C 6C79  ted Successfully
0x0060: 21 0D 0A                                 !..

Теперь можно быть полностью уверенным, что клиентская программа подключилась к троянскому серверу. Кроме того, можно увидеть код АСКИ пакета. Тем, кто администрирует системы обнаружения несанкционированного вторжения, следует написать правило поиска последовательности кодов АСКИ в программе Optix Prо. Все вышеописанное стало реальностью благодаря сетевой архитектуре аудитории. А еще то, что администрация колледжа поощряла политику «открытых дверей» между студентами и преподавателями. Не очень хорошая политика, как видно из описанного случая. Третья статья серии расскажет о том, как Джон искал на компьютере профессора задания теста по математике, как столь часто упоминаемый профессор примет некоторые меры, которые приведут к обнаружению махинаций Джона. Встретимся в третьей части.

Источник www.windowsecurity.com







Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]