Противодействие - Проникновение в систему с использованием найденных уязвимостей

Для предотвращения проникновения в систему при помощи найденных уязвимостей есть два пути:

1)      Настроить систему так, чтобы существующие уязвимости нельзя было найти JДля этого следует максимально закрыть Ваш ПК для доступа из сети. Как это сделать – смотрите разделы выше.

2)      Настроить ОС и ПО таким образом, чтобы исключить само наличие уязвимостей. Конечно, так бывает только в сказках.

Поэтому самым правильным решением будет использование одновременно этих двух подходов. Что нужно сделать для выполнения п.1. – сказано выше. Пункт 2 – это «всего- лишь» постоянно следить за выходом программных обновлений операционной системы и используемого ПО и вовремя все это устанавливать.

Противодействие - Внедрение утилит удаленного управления (backdoor, потайные ходы)

Заключительным этапом деятельности злоумышленника, проникшего на Ваш ПК является создание плацдарма, обеспечение возможности беспрепятственного повторного проникновения в систему и усыпление бдительности системного администратора, т.е. Вас. J

Если Ваши «гости» закрепятся в системе, избавиться от них бывает весьма непросто. Даже если уязвимость, которой они воспользовались, будет найдена и закрыта, взломщик может обеспечить специальный механизм быстрого получения доступ в любое время. Такой механизм называется потайным ходом (back door).

Выявление и устранение такого потайного хода — задача почти неосуществимая, по­скольку его можно создать самыми разнообразными способами. Единственной реальной возможностью восстановления системы после взлома является повторная установка опера­ционной системы с исходных носителей и выполнение долгой и кропотливой работы по восстановлению пользовательских данных и приложений с проверенных резервных копий.

Далее рассмотрим основные механизмы, которые могут быть использованы взломщиком для сохранения контроля над системой. Знание этих методов помо­жет быстро идентифицировать такие вторжения и по возможности сократить трудоемкость процесса восстановления.

Создание фиктивных учетных записей

Надеюсь, никому не надо доказывать, что учетные записи с пра­вами суперпользователя (администратора) — это такие ресурсы, которые легко защищать и контролиро­вать. А вот учетные записи, равные по привилегиям суперпользователю, но имеющие неприметные имена, отследить намного труднее. Злоумышленник обязательно попы­тается создать такие учетные записи.

В Windows привилегированные локальные учетные записи легко создать с помощью следующих команд.

net user <имя_пользователя> <пароль> /ADD

net localgroup <имя__группы> <имя_пользователя> /ADD

С помощью команды net group можно добавить пользователя в глобальную группу.

Вывести список всех членов основных административных групп так же легко, как и добавить в них новую учетную запись. Как показано в следующем примере, в котором на экран выводится список членов группы «Администраторы», это можно сделать с помощью команды net [local] group.

C:\>net group "Администраторы"

Использование браузера Web для загрузки кода Internet!

Это должно быть понятно и без слов (хотя на протяжении многих лет это повторяется много раз): нужно быть предельно осторожным по отношению к исполняемым фай­лам, загружаемым из Internet. Запуск файлов с удаленного сервера — это путь, веду­щий прямо к катастрофе. Вместо этого лучше загрузить их на свой компьютер ло­кально, проверить на наличие вирусов, по возможности проанализировать содержи­мое (например, файлов сценариев или командных файлов), а затем протестировать их на какой-нибудь второстепенной системе.

Запланированные задания

В системе Windows простой "потайной ход" можно реализовать, ус­тановив утилиту netcat, которая будет ежедневно запускаться в назначенное время.

C:\>at \\192.168.202.44 12:ООА /every:! ""nc -d -L -р 8080 -е cmd.exe""

Added a new job with job ID = 2

С помощью этой команды каждый день в полдень будет инициироваться новая про­грамма прослушивания порта 8080. Злоумышленник сможет без проблем подключиться к целевому компьютеру с помощью утилиты netcat и получить в свое распоряжение ко­мандную оболочку, периодически удаляя ранее запущенные экземпляры netcat. Кроме того, можно воспользоваться также командным файлом, чтобы сначала проверить, запу­шена ли утилита netcat, а затем при необходимости осуществить ее запуск.

Для того чтобы предотвратить эту атаку,  с использованием команды at проверьте список заданий на предмет наличия в нем несанкционированных заданий. 

С:.\> at Status ID     Day      Time    Command Line 12:00 AM

net localgroup administrators joel /add

Затем с помощью следующей команды завершите подозрительные процессы с идентификатором 0.

C:\>at \\172.29.11.214 0 /delete

Альтернативный способ заключается в завершении работы службы с помощью ко­манды net stop schedule, а затем запрещении ее запуска с помощью консоли «Управление компьютером/Службы».

 Изменения состава модулей автозапуска

Самый распространенный прием по создании потайных ходов — разместить на взломанном компьютере свои исполняемые файлы, которые будут автоматически запускаться при загрузке операционной системы. Для предотвращения запуска нежелательных программ на этапе загрузки операционной системы необходимо проверять папки  и ключи реестра, отвечающие за автозапуск программ:

Параметры запуска системы задаются в системном реестре в следующих подразде­лах раздела HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion:

·        .\Run

·        .\RunOnce

·        .\RunOnceE

·        .\RunService

Часто наиболее очевидные потайные ходы сложнее всего разглядеть. Например, можно просто разместить троянскую оболочку Windows под именем explorer.exe в корне каталога %systemdrive% взломанной системы (по умолчанию право записи в этот каталог имеют все пользователи). Тогда при интерактивной регистрации пользователя эта программа по умолчанию будет использоваться в качестве оболочки для этого пользователя.

Такое возможно потому, что если имя исполняемого файла или динамической библиотеки DLL указано в реестре без задания пути к этому файлу, то операционная система выполняет поиск этого файла в следующей последовательности каталогов:

1. В каталоге, из которого загружено приложение.
2. В текущем каталоге родительского процесса.
3. В системном каталоге %windir%\System32.
4. В системном каталоге %windir% \System,
5. В каталоге Windows %windir%.
6. В каталогах, определяемых значением переменной окружения path.

Опасность такого алгоритма работы операционной системы проявляется при использовании предлагаемой по умолчанию оболочки Windows, имя исполняемого файла которой задаваемой ключом системного реестра hklm\ software \-Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell. По умолчанию, этому ключу соответствует значение explorer. exe без всякого явного указания пути к этому файлу. Как следствие, если злоумышленник в процессе загрузки скопирует модифицированную оболочку (да и любую программу по своему усмотрению) с именем explorer.exe в корневой каталог системного диска (например, диска С:\), то именно эта программа (C:\explorer.exe) будет использована для данного сеанса пользователя в качестве оболочки операционной системы  для данного пользователя по умолчанию, поскольку поиск файла оболочки будет выполняться по указанному выше алгоритму.

Существуют программные средства, с помощью которых можно довольно просто объединить несколько исполняемых программ в один файл с целью их незаметного и асинхронного выполнения. Проще говоря, любую троянскую программу можно связать с копией «настоящего» файла оболочки explorer.exe, поместить этот «бутерброд» в корневой каталог системного диска, и эта троянская программа будет без вашего ведома запускаться при каждой следующей интерактивной регистрации пользователя. И Вы ничего не заметите, поскольку Explorer будет работать как ни в чем не бывало. Вот так вот. J

Такую «фишку» злоумышленник может провернуть и для подмены динамических библиотек. Информация о менах динамических библиотек хранится в соответствующих исполняемых файлах Windows. Поиск указанных библиотек выполняется в том же приведенном выше порядке. Такая последовательность поиска может вызвать схожие проблемы с подменой библиотек DDL.

Чтобы вернуть систему в первоначальное состояние можно запустить %windir%\explorer.exe  из командной строки, а затем удалить или переименовать «поддельный» файл и затем перезагрузить компьютер.
Далее...