Эта часть серии статей поведает о том, как Джон настраивал троянский сервер на преподавательском компьютере и подключался к нему из аудитории.
Другие статьи данной серии:
Первая часть закончилась тем, что Джон установил троянский сервер на компьютер профессора. Подтвердив “disclaimer”, поступивший вместе с трояном, он был готов приступить к настройкам сервера.
Джон собирался настроить троянский сервер по своему усмотрению, а нехватка времени вынуждала его произвести минимум настроек: очень не хотелось прибегать к крайнему варианту – глупому рассказу про недомогание.
Джон, на всякий случай, пробежал глазами меню «Основных настроек» (“Main Settings”), хотя благодаря своему прежнему опыту он представлял себе его содержание. Он ничего не изменил, не установил пароль для защиты сервера: ему было все равно, захочет ли кто-либо из его или другого класса подключиться к серверу или нет.
Теперь предстояло решить: под какой иконкой будет скрыт троянский сервер? Она должна быть такой, на которую профессор математики не обратит вниманию. И выбор Джона остановился на иконке системного реестра, изображенной на картинке.
Время неумолимо двигалось, и, решив вопрос с иконкой, Джон выбрал меню «Запуск и инсталиция» (“Startup & Installation”).
Просмотрев настройки меню, Джон поставил галочку напротив Registry – RunServices (2K/XP), остальные настройки оставил по умолчанию.
Джон выбрал и просмотрел настройки в меню «Notifications». Он собирался проникнуть в компьютер профессора из аудитории, и ему не нужны были никакие извещения. Джон начинал волноваться, потому что он просидел за компьютером профессора более 10 минут, и это могли обнаружить. Вариант с симуляцией болезни мог потерпеть крах, если его застанут на «месте преступления». Но нежелание писать тест по математике оказалось сильнее страха, и он продолжил настраивать сервер.
Джон вспомнил, что Optix Pro имеет встроенную функцию, которая могла заблокировать почти все известные на данный момент антивирусные программы и защитные системы firewall. Но она также блокировала и большинство антитроянских программ. Опыта в обращении с данной функцией у Джона не было, поэтому он оставил настройки по умолчанию.
Функция блокировать защитные системы firewall и антивирусные/антитроянские программы делает Optix Pro смертельно опасной программой. Особенно, это касается обычных пользователей. Немногие люди заглядывают в панель задач защитных систем firewall и антивирусных программ.
Джон остался доволен внесенными изменениями, которые помогут ему в будущем. После этого программа выдала сообщение, изображенное на рисунке, с двумя вариантами дальнейших действий. Поскольку Джон физически находился на локальном компьютере, не было никакой необходимости выбирать UPX packing, он просто нажал кнопку OK All done!.
Это вернуло его в главное меню, а в нижнем левом углу появилась надпись «Настройки успешно сохранены» (“SETTINGS WRITTEN SUCCESSFULLY!”). Превосходно! Джон был в восторге – дело почти сделано. Замаскировав троянский сервер под системную иконку, ему оставалось только дважды щелкнуть на ней правой кнопкой мышки и установить тем самым троянский сервер в системном реестре профессорского компьютера среди других программ.
Верхний скриншот является доказательством тому, что Optix Pro установлен и работает. Программа создала гнездо на порте 3410, котрый является портом по умолчанию для Optix Pro. Инструмент Активные порты (Active Ports) хорош тем, что позволяет программе установиться на открытое гнездо. Взглянув на картинку, можно увидеть, что программа установилась в c:\winnt\system32\msiexec16.exe. Папка “system32” — излюбленное место для самоустановки троянских программ.
После завершения установки троянского сервера, Джон спрятал иконку там же, где и сервер. Он был абсолютно уверен, что профессор не станет проверять системные файлы. Джон выскочил из кабинета профессора, вернулся в аудиторию и не удивился, увидев профессора, занудно рассказывающего о чем-то, связанном с математикой. Джон подсоединил свой портативный компьютер к разъему САТ5 и запустил троянскую клиентскую программу для подключения к другому компьютеру.
Не спеша, Джон ввел IP адрес компьютера профессора, почерпнутый из схемы компьютерной сети, изданной в начале года. С огромным удовольствием он нажал кнопку Connect.
Окно «Активные порты» (Active ports) еще раз подтверждает, что клиентская программа подключилась к компьютеру профессора. Ниже можно увидеть, что произошло на пакетном уровне. Несколько пакетов были удалены.
05/13-12:35:56.708391 0:D0:59:1C:75:30 -> 0:D0:59:2B:77:EE type:0x800 len:0xTCP TTL:128 TOS:0x0 IpLen:20 DgmLen:85 DF***AP*** Seq: 0x7A677215 Ack: 0x4B3A4E4B Win: 0xFFF4 TcpLen: 20
0x0000: 00D0 592B 77EE 00D0 591C 7530 0800 4500 ..Y+w…Y.u0..E.
0x0010: 0055 0D72 4000 8006 6914 C0A8 0165 C0A8 .U.r@…i….e..
0x0020: 0167 0D52 0425 7A67 7215 4B3A 4E4B 5018 .g.R.%zgr.K:NKP.
0x0030: FFF4 D2B9 0000 3030 31AC 4F70 7469 7820 ……001.Optix
0x0040: 0x0050: 7465 6420 5375 6363 6573 7366 756C 6C79 ted Successfully
0x0060: 21 0D 0A !..
Теперь можно быть полностью уверенным, что клиентская программа подключилась к троянскому серверу. Кроме того, можно увидеть код АСКИ пакета. Тем, кто администрирует системы обнаружения несанкционированного вторжения, следует написать правило поиска последовательности кодов АСКИ в программе Optix Prо. Все вышеописанное стало реальностью благодаря сетевой архитектуре аудитории. А еще то, что администрация колледжа поощряла политику «открытых дверей» между студентами и преподавателями. Не очень хорошая политика, как видно из описанного случая. Третья статья серии расскажет о том, как Джон искал на компьютере профессора задания теста по математике, как столь часто упоминаемый профессор примет некоторые меры, которые приведут к обнаружению махинаций Джона. Встретимся в третьей части.
Источник www.windowsecurity.com