Связки и вредоносное программное обеспечение (Часть 1)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Проблема с вредоносным программным обеспечением не является новой, точно также она не исчезнет в ближайшем будущем. Слишком много денег вложено теми людьми, которые используют трояны, вирусы и армии ботов, чтобы просто отказаться от их использования. Целью атак этого вредоносного программного обеспечения являются не только обычные пользователя домашних компьютеров, но и также пользователи корпоративных компьютеров. Именно это послужило поводом для написания этой статьи. Эту проблему можно устранить не только с помощью образования. Установка антивирусного программного обеспечения, конечно же, очень важная вещь, также как и программа для проверки содержимого, которая должна работать на вашем сервере Exchange. Но ваше лучшее оружие защиты – это обученный пользователь. Всегда будут появляться новые версии вредоносного программного обеспечения (malware), которые смогут проскользнуть через вашу защиту, неважно, будь то новый троян, или новая уязвимость в веб браузере на клиентском компьютере. Если ваши пользователи будут знать о проблеме, то вы пройдете большой путь по снижению угроз от вредоносного программного обеспечения в вашей корпоративной среде.

Эта статья напрямую рассчитана на системного администратора (system administrator или sys admin), который работает с любыми сетевыми настройками. Количество программ, запущенных в вашей сети, неважно, будь то антивирус или система предупреждения атак Intrusion Prevention Systems (IPS), не будет играть в этой статье решающего фактора. Мы будем использовать такой подход – чтобы обезопасить нашу сеть, мы должны обратиться к ее самому слабому звену – к пользователю. Это вовсе не значит, что нужно испугать менеджера, бухгалтера или сотрудников офиса. Все мы обладаем различными навыками, а в нашем случае дело касается компьютерной безопасности. И с помощью наших знаний о компьютерной безопасности, во многих ее формах, мы сможем помочь пользователям корпоративной сети делать их работу безопасно настолько, насколько это возможно.

А сейчас, мы собираемся показать нашим пользователям, как вредоносное программное обеспечение (malware) имплантируется в безобидно выглядящую программу. Лишь благодаря точному воссозданию того, как это делается, мы сможем достичь нашей цели научить их защищаться от угроз, нацеленных на них. Для этого мы будем использовать набор инструментов, как законных, так и незаконных. В нашем сценарии мы будем использовать программу для связки (binder program), под названием YAB, троянского коня (trojan) под названием Optix Pro, и игру под названием Pong.exe. С помощью этих трех программ, мы сконструируем троянского коня, который будет маскироваться под игру Pong.exe. Мы также пойдем немного дальше и посмотрим на это вредоносное программное обеспечение на байтовом уровне, чтобы выяснить, как оно выглядит. Увидев вредоносное программное обеспечение с помощью шестнадцатиричного редактора (hex editor), мы сможем посмотреть на определенные индикаторы, которые позволят нам узнать, что плохого содержится в определенном исполняемом модуле. Просмотр вредоносного программного обеспечения в шестнадцатиричном редакторе (hex editor) также позволяет вам взглянуть внутрь него безопасным способом, т.к. в действительности вы не запускаете программу, а лишь смотрите ее содержимое.

Давайте приступим

Пожалуйста, обратите внимание, что я не дал вам ссылку на программу для связки вредоносного программного обеспечения (malware binder) под названием YAB, или на трояна (trojan) под названием Optix Pro. Я не хочу помогать людям с недобрыми намерениями, которые могут читать эту статью. Вам необходимо потратить около минуты, чтобы с помощью Google найти все те программы, о которых я упоминал выше. На этом давайте приступим к работе. Сначала мы настроим троянского коня Optix Pro trojan. Я не буду углубляться в подробное описание конфигурации Трояна, т.к. нам нужно всего лишь его некоторые возможности. Пожалуйста, обратите внимание на рисунок ниже, как выглядит папка для Optix Pro, после того, как я загрузил и распаковал ее.

Вредоносное программное обеспечение презентация

Рисунок 1

Мы продолжим дальше и дважды щелкнем левой кнопкой мыши на иконке “Builder”, чтобы вызвать сервер, и чтобы мы смогли сделать некоторые простые изменения в конфигурации. Теперь вы должны посмотреть на рисунок ниже.

Nhjzy cdzprf

Рисунок 2

В этом окне необходимо выбрать из меню “Main Settings” (основные настройки). Единственное изменение, которое мы сделаем, будет заключаться в том, что сервер Трояна будет расположен здесь, т.к. мы не будем делать долгую презентацию опасного вредоносного программного обеспечения для наших пользователей. Теперь, если вы хотите, то вы можете использовать порт по умолчанию TCP 3410, или изменить его на свой выбор. По умолчанию язык настройки для Optix Pro – английский, как вы могли заметить. Если вы хотите произвести еще какие-либо изменения в настройках сервера Трояна, то самое время это сделать. Если нет, то, пожалуйста, нажмите на кнопку “Build/Create Server” (создать сервер) в левом верхнем углу графического интерфейса GUI троянского коня. Вам предложат задать имя, что можно увидеть из рисунка ниже.

Malware системное программное обеспечение

Рисунок 3

Задайте любой понравившееся вам название, а также путь к нему. Вы также можете просто сохранить его в самой папке Optix для простоты и держать все в одном месте. После того, как вы закончите с названием, вы увидите следующее окно, которое представлено на рисунке 4.

Malware системное программное обеспечение

Рисунок 4

После этого вы можете продолжить и просто создать сервер, или же вы можете выбрать его сжатие с помощью программы UPX. Если вы выберите второй вариант, сжатие Трояна, то сервер Трояна просто будет иметь меньший размер. Это часто делается, т.к. большие файлы или программы часто вызывают подозрения у людей, особенно, если эти люди обладают определенными знаниями в области компьютерной безопасности. Они могут догадаться, что определенный файл не должен иметь такой большой размер, который он имеет. Но у меня будет два сервера, один будет сжат с помощью UPX, а другой нет. Мы посмотрим, как будет выглядеть троянский конь, сжатый с помощью UPX позднее в статьях из этого цикла. После того, как вы закончили с настройками, просто нажмите на кнопку “OK all done!” (все готово).

Резюме

В этой статье мы рассказали об инструментах, которые необходимы, чтобы рассказать о компьютерной безопасности нашим корпоративным пользователям. Далее мы настроили Трояна или вредоносное программное обеспечение под названием Optix Pro (malware – это общий термин, который используется для описания не только Троянов, но и также вирусов и других форм хакерского программного обеспечения), который мы будем использовать в нашем случае. Во второй части этой статьи мы рассмотрим программу для связки (malware binder) под названием YAB и обычную безобидную игру под названием Pong.exe. Это будут две последних части нашего рецепта. В действительности эта статья предназначена не только для пользователей наших корпоративных сетей, но и также для нас. Вы, как специалист по компьютерной безопасности, не можете знать всего. Я могу честно заявить, что я точно не знал, как происходит создание такого вредоносного программного обеспечения до тех пор, пока сам не попробовал. К счастью, для тех из вас, кто находился в такой же ситуации, эта статья поможет реализовать теоретические знания на практике. Лишь сделав что-то, мы может в действительности лучше это понять. До встречи во второй части.

Источник www.windowsecurity.com

Best Of Time Management


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]