| |
 |
| служба Компьютерная
помощь |
Удаленное управление и потайные ходы |
 Антивирусная защита компьютера. Вызов мастера на дом в Кириши |
|
|
||||
|
|
Удаленное управление и потайные ходы Мы не раз отмечали, что в системе NT недостаточно хорошо обстоят дела с удаленным выполнением команд, однако до этого момента картина освещалась несколько однобоко. Дело в том, что после получения статуса администратора у взломщика появляется целый ряд возможностей выполнения таких операций. |
||||
Утилита remote.exe (NTRK) В состав NTRK входят две утилиты, обеспечивающие
удаленное выполнение команд: Remote Command Line (remote.exe) и Remote
Command Service (rcmd.exe и rcmdsvc.exe, клиент и сервер соответственно).
Эти утилиты включены лишь в серверный вариант NTRK. С:\> ас \\192.168.202.44 start schedule Для запуска команд в течение нескольких секунд можно использовать утилиту soon из набора NTRK. Теперь можно воспользоваться командой AT и запустить экземпляр remote. exe в серверном варианте, запланировав запуск через две минуты от текущего времени взламываемого компьютера (для использования в команде пробелов ее необходимо заключить в двойные кавычки). С помощью второй команды, как показано ниже, можно убедиться, что задание было запланировано корректно (для исправления ошибок воспользуйтесь первой командой AT с параметром [номер задания] /delete). С:\> at \\192.168.202.44 10:40Р ""remote
/s cmd D:\> remote /с 192.168.202.44 secret Наконец, необходимо отметить еще одно важное свойство утилиты remote.exe, которое заключается в поддержке именованных каналов. Она будет работать на любых двух узлах, поддерживающих один и тот же протокол — IPX, TCP/IP либо NetBEUI. Удаленный доступ к командной оболочке с помощью netcat Еще одним простым способом организации "потайного
хода" является применение "армейского швейцарского ножа
TCP/IP"— утилиты netcat (http://www.ldpht. com/netcat). Утилиту
netcat можно настроить на прослушивание определенного порта с последующим
запуском исполняемой программы, если удаленная система подключается
к данному порту. Настроив утилиту netcat на запуск интерпретатора
командной строки NT, можно сделать так, чтобы этот интерпретатор запустился
на удаленной системе. Синтаксис для запуска команды netcat в режиме
скрытого прослушивания приведен в следующем примере. Параметр -L позволяет
восстанавливать разорванное соединение; -d активизирует режим скрытого
прослушивания (т.е. без обмена информацией с консолью); -е позволяет
задать запускаемую программу (в данном случае — интерпретатор командой
строки NT cmd. exe); а -р указывает порт, который будет прослушиваться.
С:\TEMP\NC1lNT>nc -L -d -e and.exe -p 8080 D:\> nc 192.168.202.44 8080 NetBus Невозможно, рассказывая о безопасности NT, умолчать
о NetBus — "старшей сестре" широко известной утилиты Back
Orifice (ВО) для Win 9x, разработанной группой хакеров "Культ
мертвой коровы" (cDc — Cult of the Dead Cow). Она предназначена
для удаленного управления и хакинга. Главное различие между NetBus
и ВО состоит в том, что первая работает как на платформе Windows NT,
так и в Win 9x (правда, последние версии ВО также работают в NT —
подробнее см. в следующем разделе "Back Orifice 2000").
Первая версия утилиты, разработанной Карлом-Фриде-риком Нейктером
(Carl-Fredrik Neikter), распространялась бесплатно, но в начале 1999
года появившаяся версия 2.0 вышла уже в варианте NetBus Pro, который
распространяется узлом http://www.netbus.org по цене $15. В новой
версии были устранены многие проблемы NetBus, такие как необходимость
физического доступа для ее использования в режиме скрытой работы,
а также несовместимость с некоторыми средствами доставки "троянских
коней". Однако "взломанные" версии утилиты, имеющиеся
на хакерских узлах в Internet, не поддерживают данных возможностей.
Таким образом, в Internet можно найти лишь недостаточно надежные версии
NetBus (последняя версия, выпущенная перед выходом NetBus Pro, имела
номер 1.7). Учитывая, сколько новых возможностей реализовано в профессиональной
версии, мы не будем тратить время на описание методов использования
предыдущих версий. D:\temp>regini -m \\192.168.202.44 netbus.txt После того как системный реестр отредактирован, можно запустить NBSRV.EXE из командной строки удаленной системы, а затем запустить клиентскую часть на локальной системе и подключиться к находящемуся в состоянии ожидания серверу. На следующем рисунке показан графический пользовательский интерфейс NetBus, в меню которого выбрана команда Reboot, с помощью которой на удаленной системе можно, выполнить один их самых "жестоких" трюков — перезагрузку.
Большинство остальных команд включено в программу, скорее для "невинных шалостей", а не для извлечения какой-то пользы (открытие и закрытие дисковода компакт-дисков, блокировка клавиатуры и т.д.). Одним из немногих действительно полезных средств является регистратор нажатия клавиш, диалоговое окно которого показано ниже. Кроме того, с помощью такой полезной функции, как перенаправление портов, можно использовать взломанный компьютер как плацдарм для проникновения на другие узлы сети.
Контрмеры против использования NetBus Показанные выше изменения в системном реестре очень
просто обнаружить и удалить, однако более старые версии NetBus размещали
файл изменений реестра и файл сервера в разных местах и под разными
именами (ранее выполняемый файл серверной части NetBus по умолчанию
назывался patch.exe и часто переименовывался в [space] .exe). Кроме
того, различные версии NetBus прослушивают разные порты (чаше всего
по умолчанию используются порты 12345 и 20034). Наконец, все установленные
по умолчанию конфигурационные параметры легко модифицировать в соответствии
с желаниями взломщика. Поэтому самый лучший совет, который мы можем
дать, состоит в том, чтобы найти хорошую утилиту, позволяющую удалить
NetBus. Современные антивирусные пакеты легко справляются с этой задачей,
поэтому нужно их регулярно использовать. Однако сначала убедитесь,
что антивирусный пакет в процессе проверки не ограничивается поиском
имен стандартных файлов NetBus и параметров системного реестра. Кроме
того, мы считаем, что нужно также регулярно проверять параметры, управляющие
запуском программ при загрузке Windows (см. раздел "Параметры
Реестра, Обеспечивающие Выполнение Программ" выше в данной главе),
поскольку избавиться от вредоносной программы, которая всякий раз
запускается вместе с Windows, невозможно. Back Orifice 2000 Хотя первая версия Back Orifice не работала в системе
NT, всего за год ее программисты из группы хакеров "Культ мертвой
коровы" (Cult of the Dead Cow) справились с задачей переноса
своего детища на эту платформу. Версия Back Orifice 2000 (ВО2К) появилась
10 июля 1999 года, чем изрядно подпортила настроение администраторам
NT, которые посмеивались над ВО9х По предоставляемым функциям ВО2К
практически не отличается от ВО9х в том, что касается удаленного управления.
Мы уже подробно рассматривали соответствующие функции в главе 4, поэтому
не будем повторять их здесь еще раз, а сосредоточимся лишь на том,
как распознать и удалить ВО2К, установленную в вашей сети. Контрмеры: защита от Back Orifice 2000 Как и в случае с NetBus, большинство ведущих разработчиков
антивирусного программного обеспечения обновили свои программные продукты,
так что теперь с их помощью можно распознать и удалить ВО2К. Поэтому
самый простой способ обезопасить себя от ВО2К — регулярно обновлять
антивирусный пакет. Существуют также и специальные средства обнаружения
и удаления ВО, однако к ним нужно относиться с осторожностью. Некоторые
из них не удаляют ВО2К, а устанавливают, играя роль "троянских
коней". Одним из продуктов, которым можно доверять, является
Internet Scanner компании Internet Security Systems (ISS). С его помощью
можно выявить присутствие ВО2К в сети, проверяя все находящиеся в
режиме ожидания запросов порты. Удаленная атака на GUI системы NT с помощью WinVNC Удаленное управление с помощью утилит командной строки
— это хорошо, но все же NT является операционной системой с мощным
графическим интерфейсом. Программа NetBus предоставляет возможность
удаленного управления с помощью графического интерфейса, но версия,
имеющаяся в нашем распоряжении во время написания книги, работает
слишком медленно и к тому же нестабильно. Тем не менее, существует
прекрасное средство, свободное от всех этих недостатков, — пакет Virtual
Networking Computing (VNC), созданный кембриджской лабораторией AT&T
и распространяемый через http: //www.uk.research.att.com/vnc (более
подробное обсуждение VNC приведено в главе 13). Одна из причин, по
которой VNC выгодно отличается от прочих программ аналогичного назначения
(помимо столь примечательного факта, что VNC абсолютно бесплатна!),
заключается в том, что ее установка через удаленное сетевое соединение
выполняется не намного сложнее, чем локальная установка. Используя
удаленный сеанс командной строки, который был рассмотрен выше, достаточно
лишь установить на удаленный компьютер службу VNC и обеспечить ее
скрытый запуск, внеся одно-единственное изменение в системный реестр.
Ниже приведено краткое описание этой процедуры, но для того, чтобы
лучше разобраться в методах управления VNC из командной строки, мы
все же рекомендуем изучить полную документацию по VNC, которую также
можно найти по указанному выше адресу URL. HKEY_USERSX.DEFAULTXSoftware\ORL\WinVNC3 С:\> regini -m \\192.168.202.33 winvnc.ini С:\> net start winvnc
Вуаля! Перед вами во всей своей красе появляется
изображение рабочего стола удаленного компьютера, как показано на
рис. 5.9. При этом указатель мыши ведет себя так, словно вы держите
в руках не свою мышь, а мышь удаленного компьютера. Остановка и удаление WinVNC Самый простой способ остановки службы WinVNC и ее
удаления состоит в использовании двух следующих команд. net stop winvnc C:\>reg delete \\192.168.202.33 |
|||||
|
|||||
|
|
|||
| |
||||
