"Потайные ходы" и программы типа "троянский конь" в Win 9x
Если предположить, что в вашей системе Win Эх не используется совместный доступ к файлам, не установлен сервер удаленного доступа и отсутствует поддержка удаленного доступа к системному реестру, то можно ли считать ваш компьютер защищенным? По-видимому, в настоящий момент на этот риторический вопрос можно дать отрицательный ответ. Если злоумышленникам не хватает средств удаленного администрирования, они просто пытаются их установить.
В этом разделе мы рассмотрим три наиболее популярные из таких программ, которые разработаны по технологии клиент/сервер. Каждую из них можно найти в Internet. Кроме того, вы познакомитесь с "троянскими конями" — программами, которые на первый взгляд выглядят достаточно полезными, однако на самом деле содержат другой код, который может привести к злонамеренным или разрушительным действиям. Конечно, в Сети можно обнаружить бесчисленное множество таких программ и для их описания не хватит даже самой толстой книги.
Back Orifice
Программа Back Orifice (ВО), фактически являясь одной из самых известных программ хакинга Win 9x, анонсирована разработчиками как средство удаленного администрирования системы Win 9x. Эта программа была выпущена летом 1998 года в соответствии с соглашениями по безопасности Black Hat (http: //www.blackhat.com/), и ее по-прежнему можно свободно получить по адресу (http: //www.cultdeadcow.com/tools). Back Orifice позволяет получить практически полный удаленный контроль над системой Win 9x, включая возможность добавления и удаления ключей системного реестра, перезагрузки системы, отправки и получения файлов, просмотра кэшированных паролей, порождения процессов и создания совместно используемых файловых ресурсов. Кроме того, другими хакерами для исходного сервера ВО были написаны подключаемые модули, предназначенные для установления связи с определенными каналами IRC (Internet Relay Chat), такими, например, как #BO_OWNED, и последующего разглашения IP-адреса жертвы всем, кто интересуется подобными вещами.
Программу ВО можно настроить таким образом, чтобы она самостоятельно устанавливалась и запускалась с использованием любого имени файла ([space] .exe используется по умолчанию). При этом
добавляется параметр в ключ системного реестра
HKEY_LOCAL_MACHINE\ Software\MicrosoftWindows\CurrentVersion\RunServices , чтобы запуск ВО выполнялся при каждой загрузке компьютера. По умолчанию программой ВО применяется UDP-порт с номером 31337.
Очевидно, что программа ВО является воплощением мечты любого хакера, если не для проникновения в систему, то уж наверняка для удовлетворения болезненного любопытства. Появление ВО оказалось настолько грандиозным событием, что через год появилась вторая версия: Back Orifice 2000 (ВО2К, http://www.bo2k.com). Программа ВО2К имеет те же возможности, что и ее предыдущая версия, за исключением следующего. Во-первых, и клиентская и серверная части работают в системах Windows NT/2000 (а не просто в Win 9л:). А, во-вторых, появился набор средств разработки, что значительно затрудняет выявление различных модификаций этой программы. По умолчанию программой ВО2К используется TCP-порт 54320 или UDP-порт 54321 и выполняется копирование файла UMGR32.EXE в папку %systemroot%. Для предотвращения принудительного завершения работы ВО2К в списке задач будет маскироваться под именем EXPLORER. Если программа разворачивается в скрытом режиме, то она будет установлена в качестве службы удаленного администрирования (Remote Administration Service), в ключ
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices будет добавлен соответствующий параметр, а затем будет удален исходный файл. После этого запуск программы ВО2К будет выполняться при каждой загрузке компьютера. Все эти действия можно выполнить также с помощью утилиты bo2kcfg.exe, распространяемой вместе с пакетом Back Orifice 2000. На рис. 4.5 представлен внешний вид клиентной части программы ВО2К, bo2kgui. ехе, которая осуществляет контроль системы Win 98SE. Из рис. 4.5 видно, что теперь клиент ВО2К может использоваться для остановки удаленного сервера и его удаления из инфицированной системы. Для этого нужно открыть папку Server Control, выбрать элемент Shutdown Server, а затем ввести команду DELETE.
Рис. 4.5. Клиентская программа с графическим интерфейсом (bo2kgui.exe) из пакета Back Orifice 2000 (ВО2К) управляет "потайным ходом " системы Win 9х. С ее помощью можно удалить и сам сервер ВО2К
У клиента ВО2К имеется одна особенность, которая плохо документирована. Она заключается в том, что иногда в поле Server Address необходимо указывать номер порта (например, 192.168.2.78:54321, а не просто IP-адрес или имя DNS).
NetBus
Более требовательному хакеру, возможно, больше понравится "дальняя кузина" ВО — программа NetBus, позволяющая получить
удаленное управление над системой Windows (в том числе и Windows NT/2000). Эта программа, написанная Карлом-Фредериком
Нейктером (Carl-Fredrik Neikter), имеет более привлекательный и понятный интерфейс, а также более эффективный набор функций. В частности, она оснащена графическим интерфейсом, с помощью которого можно осуществлять удаленное управление (правда, только для высокопроизводительных соединений). Программа NetBus тоже позволяет гибко настраивать параметры. Кроме того, в Internet можно найти несколько ее модификаций. Сервер, запускаемый по умолчанию, имеет имя patch.exe (хотя его можно заменить на любое другое). Обычно при установке в ключ системного реестра HKEY_LOCAL_MACHINEXSoftware\
Microsoft\Windows\CurrentVersion\Run добавляется соответствующий параметр, чтобы сервер запускался каждый раз при загрузке компьютера.
По умолчанию с программой NetBus связывается TCP-порт 12345 или 20034. Поскольку эта программа не позволяет использовать UDP-порт (как ВО2К), то пересылаемые ею данные могут с большей вероятностью отфильтровываться брандмауэром.
SubSeven
Судя по всему, сервер SubSeven по популярности превосходит программы ВО, ВО2К и NetBus вместе взятые. Он определенно более стабильный, простой в использовании и предоставляет гораздо более широкие возможности хакерам. Эту программу МОЖНО найти ПО адресу
http://subseveri.slak.org/main.html.
С сервером SubSeven (S7S) по умолчанию связан TCP-порт 27374, который используется по умолчанию и для клиентских соединений. Как и ВО и NetBus, программа S7S предоставляет взломщику практически полный контроль
пал "жертвой". включая следующие возможности.
- Сканирование портов (выполняется непосредственно на
удаленном компьютере!).
- Запуск FTP-сервера с корневым каталогом С:\ (с неограниченными правами чтения/записи).
- Удаленное редактирование системного реестра.
- Извлечение кэшированных паролей, а также паролей RAS, ICQ и других служб.
- Перенаправление потоков ввода-вывода портов и приложений.
- Печать.
- Перезагрузка удаленной системы.
- Регистрация нажатий на клавиши (по умолчанию прослушивается порт 2773).
- Удаленный терминал (по умолчанию прослушивается порт 2773).
- Перехват управления мышью.
- Контроль за удаленными приложениями iCQ, AOL Instant Messenger, MSN Messenger и Yahoo Messenger (по умолчанию используется порт 54283).
- Запуск Web-броузера и переход на узел, заданный пользователем.
Сервер предоставляет также возможность использования канала IRC, что позволяет взломщику задать IRC-сервер и канал, к которому нужно подключиться. После этого сервер S7S передает данные о своем местоположении (IP-адрес, связанный с ним порт и пароль). Кроме того, S7S может функционировать в качестве стандартного IRC-сервера, передавать через канал команды, уведомлять взломщика об успешном
поиске ценной информации через службу ICQ, почтовые службы, а также выполнять множество других действий.
С помощью приложения EditServer, распространяемого вместе с S7S, сервер можно настроить таким образом, чтобы он загружался в процессе загрузки системы. Для этого нужно поместить параметр WinLoader в ключ Run/RunServices или внести соответствующие изменения в файл WIN. INI.
Как видно из информации одного из популярных списков почтовой рассылки, посвященного вопросам безопасности в Internet, представители крупных телекоммуникационных компаний США жаловались на то, что на протяжении конца января и начала марта 2000 года большое количество компьютеров их корпоративных сетей было поражено программой S7S. Все серверы подключались к виртуальному IRC-cepsepy
(irc.ircnetwork.net, а не к определенному серверу) и использовали один и тот же канал. При этом примерно через каждые пять минут передавался их IP-адрес, номер порта и пароль. В качестве заключения можно сказать следующее: после того, как сервер поместил в открытый канал пароль и другие важные данные, практически любой пользователь, подключенный к этому же каналу, с помощью клиента SubTClient может подключиться к инфицированному компьютеру и выполнять любые действия. Вне всяких сомнений, Sub? представляет собой сложную и скрытую программу, которая прекрасно подходит для сетевого хакинга. FTP-сервер, входящий в состав пакета Sub7, представлен на рис. 4.6.
Рис. 4.6. Клиент SubSeven предоставляет возможности использования FTP-cepeepa
Контрмеры: ликвидация "потайных ходов" и удаление "троянских коней"
Все приложения-серверы, создающие "потайные ходы", должны выполняться на целевом компьютере. Их нельзя запустить удаленно (конечно, если ранее удаленная система не стала "собственностью" хакера). Обычно это можно осуществить, воспользовавшись распространенными ошибками клиентов Internet и/или элементарным обманом. Возможно, взломщики применят оба подхода. Эти методы, а также возможные контрмеры, более подробно рассматриваются в главе 16. Здесь же стоит сказать лишь следующее: постоянно выполняйте обновление используемого клиентского программного обеспечения, предназначенного для работы в Internet, и тщательно осуществляйте его настройку.
Другая возможность закрытия всех "тайных лазеек" заключается в предотвращении внешнего доступа к тем открытым портам, которые обычно используются такими программами. Через соответствующие порты с большими номерами нам удавалось подключиться ко многим узлам с помощью брандмауэра. При этом подключение к запущенным серверам внутренних сетей превращалось в детскую игру. Полный список портов, используемых "троянскими конями" и приложениями, применяемыми для создания "потайных ходов", можно найти на Web-узле компании TLSecurity по адресу
http://www.tlsecurity.net/trojanh.htm.
Уделяйте пристальное внимание вопросам контроля доступа к брандмауэрам из внутренней сети. Хотя более опытные взломщики могут настроить свои серверы и на использование портов 80 и 25 (которые практически всегда доступны для таких целей), это значительно сузит спектр их возможностей.
Для тех, кто хочет познакомиться с рассматриваемой проблемой поглубже и удостовериться в ее отсутствии в действующей сети, можно обратиться к базе данных компании TLSecurity по адресу
http://www.tlsecurity.net/tlfaq.htm. Ее автор, группа Int-13h, провела кропотливую работу по сбору всеобъемлющей и подробной информации о том, где можно найти подобное программное обеспечение. (Возможно ли, чтобы в этой базе данных упоминалось каждое из таких средств? Познакомьтесь с содержащимся там перечнем.)
В настоящее время многие из антивирусных программных продуктов позволяют выполнять поиск всех подобных средств (перечень коммерческих производителей можно найти в базе данных компании Microsoft (Knowledge Base) в статье Q495000 по адресу
http://search.support.microsoft.com). Специалисты Int_13h настоятельно рекомендуют использовать пакет AntiViral Toolkit Pro (AVP), который можно найти по адресу
http://www.avp.com. Некоторые компании предоставляют средства, предназначенные для удаления "троянских коней" и ликвидации других "потайных ходов", например пакет TDS (Trojan Defense Suite). Его можно найти по адресу
http: //www.multimania.com/ilikeit/tds .htm (еще одна рекомендация Int_13h).
Остерегайтесь волков в овечьих шкурах. Например, одно из средств удаления программы ВО, называемое BoSniffer, на самом деле является "троянским конем" и содержит саму программу ВО. Будьте осмотрительны в применении свободно распространяемых утилит поиска "троянских коней".
Программное обеспечение для создания "потайных ходов" и "троянские кони'' будут рассматриваться также в главе 14.
|