В данной, последней части серии статей мы расскажем, как Джон нашел и скачал текст надвигающегося экзамена по математике, а также как его поймали. В завершение последуют некоторые рекомендации, как справляться с подобными инцидентами.
Если Вы упустили другие статьи из данной серии, пожалуйста, прочитайте:
Во второй части мы оставили Джона активно подключенным к профессорскому компьютеру в поисках текста надвигающегося экзамена по математике. Теперь Джон использовал одну из функций трояна, позволяющую выводить список дисков на целевом компьютере. Это Джон делал с помощью клиента трояна на своем ноутбуке. На пакете внизу мы видим, что Джон успешно загрузил список дисков;
05/13-13:47:20.863584 0:D0:59:1C:75:30 -> 0:D0:59:2B:77:EE type:0x800 len:0x64 192.168.1.101:3410 -> 192.168.1.103:1061 TCP TTL:128 TOS:0x0 IpLen:20 DgmLen:86 DF
***AP*** Seq: 0x7A6773AA Ack: 0x4B3A4E57 Win: 0xFFE8 TcpLen: 20
0x0000: 00D0 592B 77EE 00D0 591C 7530 0800 4500 ..Y+w…Y.u0..E.
0x0010: 0056 0E66 4000 8006 681F C0A8 0165 C0A8 .V.f@…h….e..
0x0020: 0167 0D52 0425 7A67 73AA 4B3A 4E57 5018 .g.R.%zgs.K:NWP.
0x0030: FFE8 DC79 0000 3030 32AC 413A 5C20 2D20 …y..002.A:\ —
0x0040: 5265 6D6F 7661 626C 65AC 433A 5C20 2D20 Removable.C:\ —
0x0050: 4669 7865 64AC 443A 5C20 2D20 4344 2D52 Fixed.D:\ — CD-R
0x0060: 4F 4D 0D 0A OM..
На этот момент список всего содержимого профессорского жесткого диска был у Джона в руках. Все, что оставалось — просмотреть это содержимое, чтобы найти объект, ради которого Джон все и задумал — текст экзамена по математике. После непродолжительного поиска он заходит на рабочий стол компьютера;
05/13-13:47:41.144444 0:D0:59:2B:77:EE -> 0:D0:59:1C:75:30 type:0x800 len:0x6C 192.168.1.103:1061 -> 192.168.1.101:3410 TCP TTL:128 TOS:0x0 IpLen:20 DgmLen:94 DF
***AP*** Seq: 0x4B3A4EAE Ack: 0x7A6775CF Win: 0xFC42 TcpLen: 20
0x0000: 00D0 591C 7530 00D0 592B 77EE 0800 4500 ..Y.u0..Y+w…E.
0x0010: 005E 0562 4000 8006 711B C0A8 0167 C0A8 .^.b@…q….g..
0x0020: 0165 0425 0D52 4B3A 4EAE 7A67 75CF 5018 .e.%.RK:N.zgu.P.
0x0030: FC42 D358 0000 3030 33AC 433A 5C44 6F63 .B.X..003.C:\Doc
0x0040: 756D 656E 7473 2061 6E64 2053 6574 7469 uments and Setti
0x0050: 6E67 735C 4164 6D69 6E69 7374 7261 746F ngs\Administrato
0x0060: 72 5C 44 65 73 6B 74 6F 70 5C 0D 0A r\Desktop\..
Ура! Джон решил проблему с экзаменом по математике! Он почувствовал головокружение от успеха. Текст экзамена лежал в папке на рабочем столе. «Как удобно», — подумал Джон. Это оказалось намного легче, чем он себе представлял. Теперь он скачал то, что надо.
05/13-13:49:57.747314 0:D0:59:1C:75:30 -> 0:D0:59:2B:77:EE type:0x800 len:0xBA 192.168.1.101:501 -> 192.168.1.103:1073 TCP TTL:128 TOS:0x0 IpLen:20 DgmLen:172 DF ***AP*** Seq: 0xBC7FE4FE Ack: 0x8D56BC8A Win: 0xFF9F TcpLen: 20
0x0000: 00D0 592B 77EE 00D0 591C 7530 0800 4500 ..Y+w…Y.u0..E.
0x0010: 00AC 0E78 4000 8006 67B7 C0A8 0165 C0A8 …x@…g….e..
0x0020: 0167 01F5 0431 BC7F E4FE 8D56 BC8A 5018 .g…1…..V..P.
0x0030: FF9F 14FA 0000 5468 6973 2069 7320 7468 ……This is th
0x0040: 6520 6669 6374 696F 6E61 6C20 6D61 7468 e fictional math
0x0050: 2065 7861 6D20 7468 6174 204A 6F68 6E20 exam that John
0x0060: 7761 6E74 6564 2074 6F20 7374 6561 6C0D wanted to steal.
0x0070: 0A73 6F20 6865 2063 6F75 6C64 206D 616B .so he could mak
0x0080: 6520 7375 7265 2068 6520 7061 7373 6564 e sure he passed
0x0090: 2E20 4E6F 7420 776F 7274 6820 6974 2061 . Not worth it a
0x00A0: 7420 616C 6C2E 2053 6864 756C 640D 0A6F t all. Should..o
0x00B0: 6620 7374 7564 6965 6421 f studied!
Однако, как показал пакет, Джону на самом деле надо было поучиться вместо того, чтобы залезать в чужой компьютер. Практически во всех известных мне странах это уголовное преступление. Конечно, колледж посмотрел бы на это сквозь пальцы, если бы вторжение было обнаружено. Джон сделал все, что ему было нужно на профессорском компьютере, и отключился от троянского сервера. Он завершил занятие по математике в полусонном состоянии и ушел домой.
Профессор завершил занятие, а затем ответил на пару вопросов студентов, перед тем как направиться в свой кабинет. Он взял кресло и запустил почтовый клиент, чтобы проверить почту. Как и ожидалось, документ, отправленный профессору коллегой, пришел. Профессор щелкнул мышью на вложении и сохранил на рабочий стол. Оттуда он попытался запустить антивирусную программу, чтобы просканировать документ. Странно, профессору показалось, что программа не отвечает на запросы. Хотя профессор преподавал математику, а не информатику, он четко помнил наставления ИТ-отдела, зачитанные всем на собрании. «Никогда не открывайте вложение или документ, не просканировав их сначала на вирусы». Да, он четко помнил это. Проблема была в том, что чертова программа не запускалась!
Жизнь слишком коротка, чтобы пытаться решить все самому, и профессор просто набрал номер службы ИТ-поддержки по телефону. Ему сказали, что администратор поддержки сейчас спустится к нему и проверит, в чем проблема. Прибывший админ попытался проделать то же самое, что и профессор, и опять безрезультатно. Немного озадаченный, он попробовал перезапустить сервис вручную, но через какую-то минуту сервис был опять остановлен. Действительно, это было очень странно. Затем админ запустил netstat, чтобы проверить открытые соединения.
Админ не распознал порт номер 3410, но это уже был подозрительный сигнал. Все остальное казалось нормальным. Тогда админ попробовал поискать ответ в Google, набрав «порт 3410», и то, что он увидел, совсем ему не понравилось. В первом же результате поиска сообщалось о трояне, именуемом Optix Pro, который по умолчанию открывал порт 3410. После этого админ отчитался главному администратору о состоянии дел. После обсуждения ситуации трояна или то, что приняли за троян, решили оставить. Профессор не держал ничего личного на жестком диске, а главный администратор хотел поймать человека, по возможности, с поличным во время вторжения на профессорский компьютер.
До конца дня ничего не случилось, и главный администратор решил оставить все как есть еще на один день. После этого машина должна была быть отформатирована, а все программы переустановлены. По случайному совпадению, у нашего ленивого студента Джона на следующий день была опять математика. Как только Джон забрел в класс, он решил еще раз подключиться к профессорскому компьютеру и проверить, не изменилось ли экзаменационное задание. Это была его роковая ошибка. Компьютер был под наблюдением ИТ-персонала, который немедленно заметил подключение. Затем им удалось распознать IP-адрес как внутренний. Более того, адрес относился к кабинету математики! Это уже становилось интересным. ИТ-админ вызвал главного администратора и сообщил о ситуации. Затем они проверили схему класса, чтобы увидеть, кому принадлежит IP. Вооружившись всеми этими данными, они позвали декана и направились в класс.
Джон был очень удивлен, увидев главного администратора, декана и админа, заходящих в класс. Что они здесь забыли? Вдруг все они повернулись к Джону и посмотрели на него. Джон ощутил внезапную слабость в желудке, осознав, зачем они здесь. Затем они подошли, конфисковали компьютер Джона и вывели его из класса, в кабинет декана. Джон быстро сознался, увидев доказательства. Декана это не впечатлило, он сообщил Джону, что тому больше не придется переживать насчет экзамена по математике, так как он исключен из колледжа. Отмена необходимости учиться стала небольшим утешением для Джона.
Главный администратор теперь обладал всеми средствами, чтобы покончить с политикой открытых дверей в колледже. Он также пожелал установить системы обнаружения атак на коммутаторе каждого отдела, чтобы подобная ситуация больше не повторилась. Если бы все было на месте, нарушителя поймали бы гораздо быстрее. Ну а сейчас, как позже подумал администратор, сработала одна деталь — профессор математики поступил так, как ему советовали. Он увидел нечто странное, и последовал установленной процедуре. Это и позволило сорвать планы Джона украсть текст экзамена по математике вместо того, чтобы писать его. В общем, неплохая пара дней, но сеть следовало бы взять под более пристальный контроль.
Этот рассказ, конечно, был вымышлен, но подобные события происходили множество раз в академической среде. И не только в ней, страдали также и компьютеры домашних пользователей, вплоть до их банковских счетов. Организованная преступность быстро замечает преимущества троянов в сочетании с некоторой социальной инженерией. Имеется не один пример, когда клиенты банков были шокированы, обнаружив нехватку средств на своем банковском счету. В каждом известном мне случае после всестороннего и дорогостоящего внутреннего аудита, проведенного банком, брешь обнаруживалась на клиентском компьютере. Каждый раз виноватым был троян со встроенным клавиатурным шпионом. Из этого можно выучить урок — обращайте внимание на сетевую активность Ваших машин, и особо пристальное внимание всегда уделяйте присылаемым Вам вложениям. Я искренне надеюсь, что данная серия статей была для Вас интересной. До следующей встречи, безопасной и удачной работы с компьютером!
Источник www.windowsecurity.com