Противодействие - Проникновение в систему с использованием найденных уязвимостей
Для предотвращения проникновения в систему при помощи найденных уязвимостей есть два пути:
1) Настроить систему так, чтобы существующие уязвимости нельзя было найти JДля этого следует максимально закрыть Ваш ПК для доступа из сети. Как это сделать – смотрите разделы выше.
2) Настроить ОС и ПО таким образом, чтобы исключить само наличие уязвимостей. Конечно, так бывает только в сказках.
Поэтому самым правильным решением будет использование одновременно этих двух подходов. Что нужно сделать для выполнения п.1. – сказано выше. Пункт 2 – это «всего- лишь» постоянно следить за выходом программных обновлений операционной системы и используемого ПО и вовремя все это устанавливать.
Противодействие - Внедрение утилит удаленного управления (backdoor, потайные ходы)
Заключительным этапом деятельности злоумышленника, проникшего на Ваш ПК является создание плацдарма, обеспечение возможности беспрепятственного повторного проникновения в систему и усыпление бдительности системного администратора, т.е. Вас. J
Если Ваши «гости» закрепятся в системе, избавиться от них бывает весьма непросто. Даже если уязвимость, которой они воспользовались, будет найдена и закрыта, взломщик может обеспечить специальный механизм быстрого получения доступ в любое время. Такой механизм называется потайным ходом (back door).
Выявление и устранение такого потайного хода — задача почти неосуществимая, поскольку его можно создать самыми разнообразными способами. Единственной реальной возможностью восстановления системы после взлома является повторная установка операционной системы с исходных носителей и выполнение долгой и кропотливой работы по восстановлению пользовательских данных и приложений с проверенных резервных копий.
Далее рассмотрим основные механизмы, которые могут быть использованы взломщиком для сохранения контроля над системой. Знание этих методов поможет быстро идентифицировать такие вторжения и по возможности сократить трудоемкость процесса восстановления.
Создание фиктивных учетных записей
Надеюсь, никому не надо доказывать, что учетные записи с правами суперпользователя (администратора) — это такие ресурсы, которые легко защищать и контролировать. А вот учетные записи, равные по привилегиям суперпользователю, но имеющие неприметные имена, отследить намного труднее. Злоумышленник обязательно попытается создать такие учетные записи.
В Windows привилегированные локальные учетные записи легко создать с помощью следующих команд.
net user <имя_пользователя> <пароль> /ADD
net localgroup <имя__группы> <имя_пользователя> /ADD
С помощью команды net group можно добавить пользователя в глобальную группу.
Вывести список всех членов основных административных групп так же легко, как и добавить в них новую учетную запись. Как показано в следующем примере, в котором на экран выводится список членов группы «Администраторы», это можно сделать с помощью команды net [local] group.
C:\>net group "Администраторы"
Использование браузера Web для загрузки кода Internet!
Это должно быть понятно и без слов (хотя на протяжении многих лет это повторяется много раз): нужно быть предельно осторожным по отношению к исполняемым файлам, загружаемым из Internet. Запуск файлов с удаленного сервера — это путь, ведущий прямо к катастрофе. Вместо этого лучше загрузить их на свой компьютер локально, проверить на наличие вирусов, по возможности проанализировать содержимое (например, файлов сценариев или командных файлов), а затем протестировать их на какой-нибудь второстепенной системе.
Запланированные задания
В системе Windows простой "потайной ход" можно реализовать, установив утилиту netcat, которая будет ежедневно запускаться в назначенное время.
C:\>at \\192.168.202.44 12:ООА /every:! ""nc -d -L -р 8080 -е cmd.exe""
Added a new job with job ID = 2
С помощью этой команды каждый день в полдень будет инициироваться новая программа прослушивания порта 8080. Злоумышленник сможет без проблем подключиться к целевому компьютеру с помощью утилиты netcat и получить в свое распоряжение командную оболочку, периодически удаляя ранее запущенные экземпляры netcat. Кроме того, можно воспользоваться также командным файлом, чтобы сначала проверить, запушена ли утилита netcat, а затем при необходимости осуществить ее запуск.
Для того чтобы предотвратить эту атаку, с использованием команды at проверьте список заданий на предмет наличия в нем несанкционированных заданий.
С:.\> at Status ID Day Time Command Line 12:00 AM
net localgroup administrators joel /add
Затем с помощью следующей команды завершите подозрительные процессы с идентификатором 0.
C:\>at \\172.29.11.214 0 /delete
Альтернативный способ заключается в завершении работы службы с помощью команды net stop schedule, а затем запрещении ее запуска с помощью консоли «Управление компьютером/Службы».
Изменения состава модулей автозапуска
Самый распространенный прием по создании потайных ходов — разместить на взломанном компьютере свои исполняемые файлы, которые будут автоматически запускаться при загрузке операционной системы. Для предотвращения запуска нежелательных программ на этапе загрузки операционной системы необходимо проверять папки и ключи реестра, отвечающие за автозапуск программ:
Параметры запуска системы задаются в системном реестре в следующих подразделах раздела HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion:
· .\Run
· .\RunOnce
· .\RunOnceE
· .\RunService
Часто наиболее очевидные потайные ходы сложнее всего разглядеть. Например, можно просто разместить троянскую оболочку Windows под именем explorer.exe в корне каталога %systemdrive% взломанной системы (по умолчанию право записи в этот каталог имеют все пользователи). Тогда при интерактивной регистрации пользователя эта программа по умолчанию будет использоваться в качестве оболочки для этого пользователя.
Такое возможно потому, что если имя исполняемого файла или динамической библиотеки DLL указано в реестре без задания пути к этому файлу, то операционная система выполняет поиск этого файла в следующей последовательности каталогов:
- В каталоге, из которого загружено приложение.
- В текущем каталоге родительского процесса.
- В системном каталоге %windir%\System32.
- В системном каталоге %windir% \System,
- В каталоге Windows %windir%.
- В каталогах, определяемых значением переменной окружения path.
Опасность такого алгоритма работы операционной системы проявляется при использовании предлагаемой по умолчанию оболочки Windows, имя исполняемого файла которой задаваемой ключом системного реестра hklm\ software \-Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell. По умолчанию, этому ключу соответствует значение explorer. exe без всякого явного указания пути к этому файлу. Как следствие, если злоумышленник в процессе загрузки скопирует модифицированную оболочку (да и любую программу по своему усмотрению) с именем explorer.exe в корневой каталог системного диска (например, диска С:\), то именно эта программа (C:\explorer.exe) будет использована для данного сеанса пользователя в качестве оболочки операционной системы для данного пользователя по умолчанию, поскольку поиск файла оболочки будет выполняться по указанному выше алгоритму.
Существуют программные средства, с помощью которых можно довольно просто объединить несколько исполняемых программ в один файл с целью их незаметного и асинхронного выполнения. Проще говоря, любую троянскую программу можно связать с копией «настоящего» файла оболочки explorer.exe, поместить этот «бутерброд» в корневой каталог системного диска, и эта троянская программа будет без вашего ведома запускаться при каждой следующей интерактивной регистрации пользователя. И Вы ничего не заметите, поскольку Explorer будет работать как ни в чем не бывало. Вот так вот. J
Такую «фишку» злоумышленник может провернуть и для подмены динамических библиотек. Информация о менах динамических библиотек хранится в соответствующих исполняемых файлах Windows. Поиск указанных библиотек выполняется в том же приведенном выше порядке. Такая последовательность поиска может вызвать схожие проблемы с подменой библиотек DDL.
Чтобы вернуть систему в первоначальное состояние можно запустить %windir%\explorer.exe из командной строки, а затем удалить или переименовать «поддельный» файл и затем перезагрузить компьютер. Далее...
|