Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
Проблема с вредоносным программным обеспечением не является новой, точно также она не исчезнет в ближайшем будущем. Слишком много денег вложено теми людьми, которые используют трояны, вирусы и армии ботов, чтобы просто отказаться от их использования. Целью атак этого вредоносного программного обеспечения являются не только обычные пользователя домашних компьютеров, но и также пользователи корпоративных компьютеров. Именно это послужило поводом для написания этой статьи. Эту проблему можно устранить не только с помощью образования. Установка антивирусного программного обеспечения, конечно же, очень важная вещь, также как и программа для проверки содержимого, которая должна работать на вашем сервере Exchange. Но ваше лучшее оружие защиты – это обученный пользователь. Всегда будут появляться новые версии вредоносного программного обеспечения (malware), которые смогут проскользнуть через вашу защиту, неважно, будь то новый троян, или новая уязвимость в веб браузере на клиентском компьютере. Если ваши пользователи будут знать о проблеме, то вы пройдете большой путь по снижению угроз от вредоносного программного обеспечения в вашей корпоративной среде.
Эта статья напрямую рассчитана на системного администратора (system administrator или sys admin), который работает с любыми сетевыми настройками. Количество программ, запущенных в вашей сети, неважно, будь то антивирус или система предупреждения атак Intrusion Prevention Systems (IPS), не будет играть в этой статье решающего фактора. Мы будем использовать такой подход – чтобы обезопасить нашу сеть, мы должны обратиться к ее самому слабому звену – к пользователю. Это вовсе не значит, что нужно испугать менеджера, бухгалтера или сотрудников офиса. Все мы обладаем различными навыками, а в нашем случае дело касается компьютерной безопасности. И с помощью наших знаний о компьютерной безопасности, во многих ее формах, мы сможем помочь пользователям корпоративной сети делать их работу безопасно настолько, насколько это возможно.
А сейчас, мы собираемся показать нашим пользователям, как вредоносное программное обеспечение (malware) имплантируется в безобидно выглядящую программу. Лишь благодаря точному воссозданию того, как это делается, мы сможем достичь нашей цели научить их защищаться от угроз, нацеленных на них. Для этого мы будем использовать набор инструментов, как законных, так и незаконных. В нашем сценарии мы будем использовать программу для связки (binder program), под названием YAB, троянского коня (trojan) под названием Optix Pro, и игру под названием Pong.exe. С помощью этих трех программ, мы сконструируем троянского коня, который будет маскироваться под игру Pong.exe. Мы также пойдем немного дальше и посмотрим на это вредоносное программное обеспечение на байтовом уровне, чтобы выяснить, как оно выглядит. Увидев вредоносное программное обеспечение с помощью шестнадцатиричного редактора (hex editor), мы сможем посмотреть на определенные индикаторы, которые позволят нам узнать, что плохого содержится в определенном исполняемом модуле. Просмотр вредоносного программного обеспечения в шестнадцатиричном редакторе (hex editor) также позволяет вам взглянуть внутрь него безопасным способом, т.к. в действительности вы не запускаете программу, а лишь смотрите ее содержимое.
Пожалуйста, обратите внимание, что я не дал вам ссылку на программу для связки вредоносного программного обеспечения (malware binder) под названием YAB, или на трояна (trojan) под названием Optix Pro. Я не хочу помогать людям с недобрыми намерениями, которые могут читать эту статью. Вам необходимо потратить около минуты, чтобы с помощью Google найти все те программы, о которых я упоминал выше. На этом давайте приступим к работе. Сначала мы настроим троянского коня Optix Pro trojan. Я не буду углубляться в подробное описание конфигурации Трояна, т.к. нам нужно всего лишь его некоторые возможности. Пожалуйста, обратите внимание на рисунок ниже, как выглядит папка для Optix Pro, после того, как я загрузил и распаковал ее.
Рисунок 1
Мы продолжим дальше и дважды щелкнем левой кнопкой мыши на иконке “Builder”, чтобы вызвать сервер, и чтобы мы смогли сделать некоторые простые изменения в конфигурации. Теперь вы должны посмотреть на рисунок ниже.
Рисунок 2
В этом окне необходимо выбрать из меню “Main Settings” (основные настройки). Единственное изменение, которое мы сделаем, будет заключаться в том, что сервер Трояна будет расположен здесь, т.к. мы не будем делать долгую презентацию опасного вредоносного программного обеспечения для наших пользователей. Теперь, если вы хотите, то вы можете использовать порт по умолчанию TCP 3410, или изменить его на свой выбор. По умолчанию язык настройки для Optix Pro – английский, как вы могли заметить. Если вы хотите произвести еще какие-либо изменения в настройках сервера Трояна, то самое время это сделать. Если нет, то, пожалуйста, нажмите на кнопку “Build/Create Server” (создать сервер) в левом верхнем углу графического интерфейса GUI троянского коня. Вам предложат задать имя, что можно увидеть из рисунка ниже.
Рисунок 3
Задайте любой понравившееся вам название, а также путь к нему. Вы также можете просто сохранить его в самой папке Optix для простоты и держать все в одном месте. После того, как вы закончите с названием, вы увидите следующее окно, которое представлено на рисунке 4.
Рисунок 4
После этого вы можете продолжить и просто создать сервер, или же вы можете выбрать его сжатие с помощью программы UPX. Если вы выберите второй вариант, сжатие Трояна, то сервер Трояна просто будет иметь меньший размер. Это часто делается, т.к. большие файлы или программы часто вызывают подозрения у людей, особенно, если эти люди обладают определенными знаниями в области компьютерной безопасности. Они могут догадаться, что определенный файл не должен иметь такой большой размер, который он имеет. Но у меня будет два сервера, один будет сжат с помощью UPX, а другой нет. Мы посмотрим, как будет выглядеть троянский конь, сжатый с помощью UPX позднее в статьях из этого цикла. После того, как вы закончили с настройками, просто нажмите на кнопку “OK all done!” (все готово).
В этой статье мы рассказали об инструментах, которые необходимы, чтобы рассказать о компьютерной безопасности нашим корпоративным пользователям. Далее мы настроили Трояна или вредоносное программное обеспечение под названием Optix Pro (malware – это общий термин, который используется для описания не только Троянов, но и также вирусов и других форм хакерского программного обеспечения), который мы будем использовать в нашем случае. Во второй части этой статьи мы рассмотрим программу для связки (malware binder) под названием YAB и обычную безобидную игру под названием Pong.exe. Это будут две последних части нашего рецепта. В действительности эта статья предназначена не только для пользователей наших корпоративных сетей, но и также для нас. Вы, как специалист по компьютерной безопасности, не можете знать всего. Я могу честно заявить, что я точно не знал, как происходит создание такого вредоносного программного обеспечения до тех пор, пока сам не попробовал. К счастью, для тех из вас, кто находился в такой же ситуации, эта статья поможет реализовать теоретические знания на практике. Лишь сделав что-то, мы может в действительности лучше это понять. До встречи во второй части.
Источник www.windowsecurity.com
Best Of Time Management