- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Эксплоит Brown Orifice
Программа Brown Orifice состоит из двух частей. Первая является java-ядром и запускает Java-сервер, принимающий запросы от клиентов. Вторая часть позволяет обращаться ко всем локальным файлам. Оба метода базируются на обработке исключительных ситуаций Java и являются типичным примером неправильной обработки ошибок.
Этот эксплоит демонстрирует две ошибки в библиотеках Java броузера Netscape Communicator и возможность переполнения буфера в ядре Java. Первая ошибка является исключительной ситуацией ввода-вывода, которая позволяет получить IP-адрес жертвы за счет использования одного из аплетов. Это обусловлено ошибкой в одной из библиотек ядра Java. После того, как возникает исключительная ситуация, демон открывает порт и начинает ожидать соединений. В результате этот демон обходит систему безопасности Java, что позволяет взломщику обращаться к системе. Вторая часть программы также использует исключительную ситуацию, чтобы выполнить код взлома за счет переполнения. Это исключительная ситуация в библиотеках Java броузера Netscape. В ней используется некорректная строка URL, которая позволяет обращаться к локальной файловой системе жертвы.
Первым делом Brown Orifice проверяет, какой броузер запущен на компьютере жертвы, поскольку Brown Orifice не может работать с Internet Explorer. После этого запускается первая часть взлома, которая использует исключительную ситуацию при обработке ошибки ввода-вывода за счет переполнения буфера библиотеки безопасности Java. Переполнение буфера приводит к перегрузке демона, использующего библиотеку безопасности, в результате чего открывается порт 8080, который не проверяется системами безопасности Java. Затем эксплоит начинает принимать запросы и запускает демон BOHTTPD. Порт, через который принимаются соединения, можно изменить, если взломщик опасается обнаружения. Данная программа является ядром метода.
После того как ядро получает уведомление о том, что система запустила Web-сервер, начинается вторая часть эксплоита. В этой части также используется ошибка при обработке исключительной ситуации, которая вызывается с помощью некорректной строки URL. Таким образом, после того, как демон получает уведомление о том, что сервер запущен, он пересылает некорректную строку URL системе ввода-вывода Java Netscape, которая приводит к возникновению исключительной ситуации ввода-вывода. Некорректная строка содержится в запросе на обращение к файловой системе жертвы и содержит описание типа MIME. После этого переполнение за счет исключительной ситуации ввода-вывода перенаправляется во входящий поток броузера Netscape, что приводит к загрузке типа MIME для совместного доступа к ресурсам. После того, как загрузка набора типов MIME взломщика закончена, BOHTTPD отправляет сообщение в формате сценария cgi на Web-сервер взломщика, который публикует IP-адрес жертвы в сети.
Наилучшим местом для размещения этого эксплоита являются узлы, проверяющие безопасность пользователя. При такой популярности узлов, которые сканируют вашу сеть или компьютер на наличие вирусов или ошибок в системе безопасности, будет нетрудно обмануть пользователей. В результате машины пользователей незаметно превратятся в Web- и файл-серверы. Кроме того, можно воспользоваться тем, что взлом происходит за счет скрытых полей в Web-странице, запускаемой с помощью CGI. Взломщик может установить этот эксплоит на взломанном Web-сервере или своем собственном подпольном узле.
Создатель этого метода не намеревался использовать этот метод для атак через сеть. Однако если взломщик воспользуется технологиями социотехники или просто пошлет безобидное письмо, направив пользователя на такой узел, он может принести большой ущерб. Повторю, что этот эксплоит не разрабатывался как метод сетевого взлома. В нем нет механизма размножения или нанесения вреда. Данный эксплоит только отправляет сообщение, что взлом прошел успешно.
Симптомы атаки. Во-первых, вам необходимо провести поиск машин, которые обслуживают Web-запросы, однако не должны делать этого. Такими машинами могут быть рабочие станции. Кроме того, вы можете заблокировать все обращения к серверу взломщика на вашем брандмауэре. Взломанный компьютер можно найти по запросам, которые не направляются на ваш сервер.
Можно выполнить несколько действий по защите вашего компьютера от этого взлома. Во-первых, нужно заблокировать обращения к узлу взломщика. Затем можно заблокировать все обращения к порту 8080. Этот порт не должен быть открыт, поскольку используется только для обслуживания персональных Web-узлов, которые вряд ли принесут какую-либо пользу в производственной среде, и при этом, скорее всего, плохо защищены. Во-вторых, нужно отключить службу Server на всех Windows-компьютерах сети, которые не являются серверами. Кроме того, следует запретить своим пользователям работать с броузерами Netscape версий от 4.0. до 4.74. Если вам обязательно нужно использовать Netscape, вы можете перейти в меню Edit->Preferences->Advanced и выключить Java. Однако при этом функции многих Web-серверов окажутся недоступными. Кроме того, можно настроить IDS на проверку пакетов протокола http, пересылаемых не на ваш Web-сервер, а также запретить пересылку пакетов, содержащих слова "BOHTTPD" или "db_update".
Donald Dick 1.55
Утилита Donald Dick позволяет пользователю управлять удаленным компьютером. Данная программа использует архитектуру типа клиент/сервер, причем сервер находится на компьютере жертвы. Взломщик использует клиент для посылки команд компьютеру жертвы с помощью протоколов TCP и SPX. Он принимает информацию через заранее указанный порт.
Клиент Donald Dick может подключаться к компьютеру жертвы по разным протоколам — по TCP или SPX. Протокол TCP/IP является одним из наиболее широко используемых протоколов взаимодействия компьютеров в локальных сетях или Internet. Одним из преимуществ данного протокола является то, что он позволяет соединять компьютеры разных типов, поддерживает маршрутизацию и централизованное управление доменами для обеспечения связи между организациями. Еще одной положительной стороной TCP/IP является способность доставлять пакеты в правильном порядке. Двумя основными недостатками TCP/IP являются низкая скорость по сравнению с остальными протоколами и высокая стоимость установки соединения между двумя глобальными сетями. Преимуществом UDP является возможность проверки контрольных сумм отдельных пакетов, что позволяет быть уверенным в том, что во время передачи данные не были разрушены. Это также увеличивает безопасность передачи, однако использует системные ресурсы, поэтому многие отключают UDP.
SPX является надежным протоколом, ориентированным на соединение и предназначеным для взаимодействия компьютеров. Особенностью SPX является то, что он использует IPX как службу доставки дейтаграмм. Низкая надежность передачи пакетов в IPX компенсируется возможностью подтверждения доставки пакета протоколом SPX. В этом случае пакеты не посылаются повторно, если было получено подтверждение о доставке. Дополнительным преимуществом этого протокола является высокая скорость создания соединения и простота в установке. Основным недостатком протокола IPX/SPX является отсутствие централизованной схемы выдачи адресов. В результате несколько сетей могут иметь одинаковые адреса, что приводит к возникновению коллизий и утерей пакетов. Еще одним недостатком IPX является то, что этот протокол требует возможности установки соединения с размером пакета 576 байт, поэтому размер всех пакетов для надежности ограничен этим значением.
Пакет установки сервера создается с помощью двух файлов. Первый файл называется ddsetup.ini и содержит настройки по умолчанию для сервера и программы установки. Второй файл называется ddsetup.exe и содержит программу создания пакета установки сервера на основе настроек из ddsetup.ini.
ddsetup.exe— отвечает за создание файла установки. Это запускаемый файл, который создает троянскую программу установки, основываясь на настройках в файле ddsetup.ini. В результате будет создан файл ddick.exe. Этому файлу можно присвоить любое имя, например KernelBufferOverflowPatch.exe.
Существует два способа связи клиента с сервером. Наиболее простой заключается в подключении к серверу с использованием графического интерфейса клиента. При втором способе используются утилиты командной строки. Помните, что графический интерфейс клиента Donald Dick не изменялся, начиная с версии 1.53. При этом графический интерфейс использует программу версии 1.55
Признаки взлома и методы защиты
По причине того, что многие параметры этой программы могут изменяться, ее крайне Трудно обнаружить. Для ее обнаружения нужно, во-первых, запустить netstat -an и поискать открытые порты, которые должны быть закрыты. По умолчанию Donald Dick подключается к портам 23476 или 23477, в зависимости от версии.
Во-вторых, нужно проанализировать и поискать необычные ключи в реестре. Программа Donald Dick добавляет только одну строку в реестр, которая очень похожа на ключ обычно приложения. Можно избежать установки этой программы, если правильно настроить политику прав записи в реестр и в папку Windows\system или \winnt\system32, в зависимости от версии ОС. Обычно ключи для Donald Dick находятся в HKEY_LOCAL_MACHINE\System\CurrentControlSet\ ControI\SessionManager\<Key Name>
Кроме того, можно воспользоваться программой слежения за файлами, например Tripwire. Это позволит жертве увидеть, что некоторые файлы в системе странным образом изменились, появились или пропали. Кроме того, можно установить утилиту обнаружения троянских программ, например набор программ TAMU, разработанный в Техасском университете.
Кроме того, когда троянская программа запускается, имя ее процесса добавляется в список процессов. Ежедневная проверка состава запущенных процессов позволит пользователю заметить странности в работе системы. Кроме того, стоит проверять список процессов при получении почты с вложениями. Часто троянские программы проникают в систему в виде безобидных программ наподобие вируса "I Love You". Опасность программы Donald Dick заключается в том, что ее трудно обнаружить, поскольку программа создания установочного файла — ddsetup.ехе может изменять внутреннее расположение кода в установочном файле, что крайне затрудняет поиск с помощью антивирусов.
Дополнительным средством защиты от этого эксплоита является брандмауэр, который не позволит взаимодействовать клиенту и серверу. Корпоративный брандмауэр защищает организации от сканирования и попыток подключения из внешней сети. Персональный брандмауэр более эффективен, поскольку он может блокировать как нападение из внешней сети, так и попытку взлома из внутренней.
Последней мерой защиты является слежение за пересылаемой информацией и нахождение странностей в работе сети. Основным признаком взлома может являться попытка подключения к неизвестным почтовым серверам. В таких почтовых сообщениях должен содержаться IP-адрес жертвы.
SubSeven
Программа SubSeven v2.1.3 BONUS является программой создания люка, которая позволяет осуществить полное управление Windows 9x через сеть.
В эту программу входят три компонента: клиент (SubSeven. exe), сервер (server.exe) и программа настройки сервера (EditServer. exe). Клиент имеет графический интерфейс и используется для подключения к серверу через сеть. Сервер устанавливается на удаленной системе, однако может быть перенастроен с помощью программы настройки сервера, которая находится на компьютере клиента.
Возможности настройки
В данной программе можно задавать приведенные ниже настройки сервера.
-
Флажок registry-Run приказывает серверу запускаться, когда пользователь подключается к системе.
-
Флажок registry-RunServices приказывает серверу запускаться при загрузке системы
как служба.
-
Флажок WIN.INI приказывает серверу запускаться из файла win.ini при подключении пользователя.
-
Флажок less known method приказывает серверу запускаться из файла system.ini при подключении пользователя или запуске системы.
-
Сервер может быть настроен таким образом, чтобы уведомлять клиента об измеинии IP-адреса жертвы по ICQ, электронной почте, IRC. Это очень полезно, если удаленная система использует DHCP или подключение к провайдеру с помощью коммутируемого доступа.
-
По умолчанию сервер работает через порт TCP 27374, однако этот порт можно изменить на любой другой.
-
Можно задать пароль для входа, что позволит защитить сервер от подключения неавторизированного пользователя.
-
Можно приказать серверу уничтожить программу установки, после того как установка будет успешно завершена.
-
Пакет SubSeven может встроить сервер в существующий двоичный файл, чтобы [ скрыть присутствие этой программы в системе.
-
Можно запретить дальнейшую перенастройку сервера.
Симптомы атаки
Программа SubSeven оставляет несколько следов, которые сможет обнаружить внимательный администратор. Во-первых, если взломщик задал передачу уведомления, администратор заметит, что компьютер жертвы пытается напрямую подключиться к сети. Если в сети работает централизованный почтовый сервер, который не поддерживает ICQ или IRC, наличие пакетов по таким портам должно привести к объявлению тревоги; во-вторых, для запуска сервера в системе должно быть выполнено несколько специфиче команд. В дополнение к этому программа создает несколько ключей в разделе реестра HKEY_LOCAL_MACHINE. И, наконец, эта программа записывает несколько файлов в папку Windows.
Методы защиты
Первой, и, наверное, самой необходимой мерой является правильно настроенный брандмауэр. Если правила фильтрации настроены таким образом, что соединение разрешено только для машин, которым это нужно, взломщик не сможет подключиться к серверу.
Кроме того, компании по производству антивирусов регулярно выпускают обновления к базам данных вирусов. Чтобы найти взломанные системы или инфицированные файлы, настройте процесс загрузки и обновления антивирусного ПО. Можно полностью автоматизировать этот процесс и проводить проверку на вирусы каждую неделю (новые версии SubSeven появляются каждые несколько недель, так что старые базы антивирусов не заметят их).
По возможности установите утилиту создания и проверки снимка ключевых файлов системы, которая позволяет администратору узнавать, какие системные файлы изменились. Это также позволит засечь изменения в реестре.
Кроме того, заметить странности можно с помощью стандартных утилит Windows
И, наконец, нужно постоянно следить за информацией, передаваемой в сети. Если в сети присутствуют компьютеры, которые не являются серверами, однако при этом обращаются в Internet, эти системы могут оказаться зараженными. Это касается также ICQ и IRC. Данные службы используются сервером SubSeven для уведомления взломщика.
Back Orifice
Программа Back Orifice похожа на приведенные ранее, однако для полноты картины мы на ней все же остановимся. Поскольку многие уже знакомы с этой программой, она будет описана вкратце. Кроме того, поскольку данная программа имеет те же возможности, что и предыдущие, ее возможности будут также описаны кратко. Back Orifice является, наверное, самой популярной программой создания люков под ОС Windows. Как можно понять из названия, данная программа использует для работы приложения Microsoft Back Office. Back Orifice написана группой Cult of Dead Cow (CDC) и может быть загружена с узла http://www.bo2k.com. В описании указано: "Как через локальную сеть, так и через Internet программа позволяет удаленному пользователю иметь больший контроль над системой, чем у того, кто сидит за клавиатурой компьютера". Если вы пользовались этой программой, вы знаете, что это правда.
Возможности Back Orifice
Ниже приведены некоторые возможности этой программы.
■ Управление системой:
-
снятие информации с клавиатуры;
-
создание диалоговых окон с любым текстом;
-
блокировка или перезагрузка системы;
-
получение детальной информации о системе.
■ Получение паролей, которые сохранены пользователем, в том числе:
■ пароль программы сохранения экрана;
-
пароли удаленного соединения;
-
пароли доступа к сети.
■ Для NT:
■ получение закодированных паролей из базы данных SAM (для последующего взлома c помощью LOphtCrack).
■ Управление файловой системой:
-
копирование, удаление просмотр и поиск файлов и папок;
-
сжатие файлов;
-
подключение сетевых дисков;
-
открытие сетевых ресурсов.
■ Управление процессами:
■ получение списка процессов, удаление и перенаправление процессов.
■ Управление мультимедиа:
-
вывод видео на экран;
-
получение информации со включенной камеры.
■ Перенаправление пакетов:
■ перенаправление любого входящего TCP- или UDP-порта на другой адрес или порт.
■ Перенаправление приложений:
■ перенаправление приложений командной строки на любой TCP-порт, что позволяет управлять DOS-приложениями с помощью telnet.
■ Файл-сервер HTTP:
■ загрузка файлов через любой порт с помощью броузера.
Дополнения к Back Orifice
Если возможностей данной программы вам не хватает, вы всегда можете установить дополнения, которые расширят ее функциональность. Эти дополнения позволяют программе взаимодействовать с другими утилитами, что значительно увеличивает ее возможности. Ниже приведен список наиболее популярных дополнений.
■ Кодирование:
-
Serpent (256-bit);
-
IDE (128-bit);
-
RC6 (384-bit);
-
Blorvfish;
-
CAST (256-bit)'
■ Дополнения связи:
■ STCPIO — система контроля и кодирования потока данных, делающая Back Orifice почти незаметной в сети.
■ Дополнения к серверу:
-
Rattler & ВТ2К — отправляет по почте адрес сервера после его активизации;
-
Bored — превращение сервера в терминал.
■ Дополнения к клиенту:
■ BOTOOL — графическая система просмотра файлов и редактирования реестра.
■ Прочие:
■ ВО Peep — поддержка потокового видео на сервере и управление мышью и клавиатурой;
-
BOSOCK32 — надежная утилита ICMP-туннелирования трафика ВО2К;
-
BOSCRIPT — язык сценариев для автоматизации работы клиента и сервера.