Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба
Компьютерная помощь |
Основные контрмеры против атак, направленных на расширение привилегий |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши: (8911) 239-8212 |
|
|||||
|
Основные контрмеры против атак, направленных на расширение привилегий Как же избавиться от всех программ, установленных
в ходе изучения вами данной главы, и "залатать" все оставшиеся
"дыры" в защите? Поскольку многие из них были созданы с
доступом на уровне администратора, что позволяет использовать все
аспекты архитектуры NT, а большинство нужных нам файлов могли быть
переименованы и (или) настроены десятками различных способов, эта
задача довольно нетривиальна. Мы предлагаем следующие решения общего
характера, затрагивающие четыре основные области, к которым так или
иначе относятся описываемые в данной главе вопросы: имена файлов,
параметры системного реестра, процессы и порты. Для ознакомления с некоторыми дополнительными контрмерами против описанных атак мы настоятельно рекомендуем прочитать о "потайных ходах" в главе 14. |
||||
Если взломщику удалось получить привилегии администратора, то лучшим выходом из ситуации является полная переустановка системного программного обеспечения с использованием проверенных носителей. Искушенный взломщик может настолько хорошо скрыть определенные "потайные ходы", что их не удастся обнаружить даже опытным исследователям. Этот совет дан в основном для создания полноты картины. Его не рекомендуется применять при организации подобных атак. Имена файлов Контрмеры, построенные на использовании имен файлов,
по всей видимости, наименее эффективны, поскольку любой мало-мальски
соображающий взломщик либо переименует файлы, либо предпримет другие
меры, чтобы скрыть их (см. ниже раздел "Сокрытие следов").
Тем не менее, обезопасив себя в этом отношении, вы сможете еще на
"дальних подступах" обнаружить хотя бы наименее изобретательных
взломщиков. Параметры системного реестра В отличие от утомительного поиска файлов с определенными
именами в надежде, что они не были изменены, поиск параметров системного
реестра может оказаться особенно эффективным, поскольку большинство
из рассмотренных программ помешает строго определенные параметры в
строго определенные места системного реестра. Хорошим местом для начала
поиска являются группы параметров HKLM\SOFTWARE и HKEY_USERS\ .DEFAULT\Software,
в которых большинство устанавливаемых приложений помещают свои параметры.
В частности, утилиты NetBus Pro и WinVNC сохраняют свои параметры
следующим образом.
reg delete [параметр] \\компьютер Например: С:\>reg delete HKEY_USERS\.DEFAULT\Sofware\ORL\WinVNC3 \\192.168.202.33 Параметры системного реестра, управляющие запуском программ в процессе загрузки Основываясь на своем опыте, можем отметить, что практически
все взломщики помещают параметры своих программ в стандартную группу
параметров системного реестра, управляющих запуском приложений при
загрузке Windows. Поэтому на предмет наличия вредоносных или подозрительных
параметров нужно регулярно проверять соответствующие области системного
реестра, перечисленные ниже.
Рассмотрим небольшой пример. На приведенном ниже рисунке показано окно редактора системного реестра, в котором отображается информация о программе netcat, запускающейся при каждой загрузке Windows (группа параметров HKLM\ . . \ . . \Run) для прослушивания порта 8080.
В данном случае взломщик в любой момент может скрытно
подключиться к системе, по крайней мере до тех пор, пока администратор,
взявшись за ум, не проверит системный реестр и не удалит из него соответствующий
параметр. Процессы Для обнаружения тех хакерских инструментов, которые
нельзя переименовать или скрыть каким-либо другим способом, можно
проанализировать список выполняющихся на компьютере процессов. Например,
с помощью команды AT можно запланировать задание, которое просматривает
список процессов и удаляет из него такие обнаруженные процессы, как
remote.exe или пс.ехе. Поскольку для использования сервера remote
в системном администрировании нет особых причин (особенно, если учесть,
что эта утилита не выполняет аутентификации), то для периодического
удаления ее из списка процессов можно использовать команду kill.exe
из набора NTRK. В следующем примере показано, как с помощью команды
AT запланировать задание, которое будет выполняться каждый день в
шесть часов утра и удалять процесс remote. Это немного грубо, но зато
эффективно — вам остается лишь настроить время запуска в соответствии
со своими предпочтениями. C:\>at 6А /е:1 Порты Даже если такие утилиты, как remote или пс, были
переименованы, утилита netstat поможет выявить их присутствие по наличию
портов, находящихся в состоянии ожидания или соединения. Периодический
запуск netstat с целью проверки подобных соединений — это иногда наилучший
способ найти их. В следующем примере показано, как утилита netstat,
запущенная на целевом сервере в то время, когда взломщик подключился
к нему с помощью утилит remote, nc и установил соединение с портом
8080, отображает результаты опроса портов (описание параметра -an
можно узнать, введя в командной строке команду netstat /?). Обратите
внимание, что в соединении remote используется порт TCP 139, а утилита
netcat находится в состоянии ожидания и имеет одно установленное соединение
с портом TCP 8080 (остальные данные, отображаемые netstat, удалены
для наглядности). С:\> netstat -an С помощью конвейера, организованного между командами netstat и find, можно получить данные об определенных портах. Так, с помощью следующей команды выполняется поиск серверов NetBus, прослушивающих порт по умолчанию, netstat -an| find "12345" Утилита fport от компании Foundstone (http://www.foundstone.com) позволяет получить комбинированную информацию о процессах и портах. Она предоставляет перечень всех активных сокетов и идентификаторов процессов, использующих соединение. Вот пример ее результатов. FPORT - Process port mapper |
|||||
|
|
|||
|