Руйнування системного оточення: "набори відмичок" і засобу створення образу стану системи

До цих пір мова йшла про численні способи розміщення в системі прихованих пасток, щоб звичайні користувачі навіть і не здогадувалися про те, що ж відбувається насправді. Багато представлених концепцій стосувалися засобів, що працюють під виглядом звичайних програм (не дивлячись на шкідливість виконуваних ними дій), які ховалися в таких місцях, де їх легко знайти. На жаль, зломщики здатні на шкідливіші вчинки, в чому ви дуже скоро переконаєтеся. Через те, що професійне знання архітектури операційних систем в даний час стало нормою, повне порушення цілісності системи стає тривіальним завданням.

"Набори відмичок"

Що відбудеться, якщо під контролем зломщика опиниться сам код операційної системи? Передумови такого підходу з'явилися ще в ті часи, коли компіляція ядра UNIX іноді виконувалася щонеділі, якщо система погано була настроєна або знаходилася на начал'ном етапі установки. Природно, що набори програм, які замість звичайних двійкових файлів операційної системи вбудовують компоненти типу "троянський кінь", отримали назву "Наборів відмичок". Такі засоби забезпечують найбільшу дискредитацію зламуваного комп'ютера. В розділі 8 були описані "набори відмичок", призначені для системи UNIX, які зазвичай складаються з чотирьох груп інструментів, адаптованих під конкретну платформу і версію операційної системи: (1) програми типу "троянський кінь", наприклад такі, як змінені версії login, netstat і ps; (2) програми, призначені для створення "потайних ходів", наприклад вставки у файл inetd; (3) програми перехоплення потоку даних в мережі; (4) програми очищення системних журналів.
Існує величезна безліч "наборів відмичок" для системи UNIX. Для того, щоб переконатися в цьому, досить заглянути тільки на один Web-узел, що знаходиться за адресою http://packetstorm.security.com/UNIX/penetration/rootkits/. Ще декілька подібних наборів можна знайти на цьому ж Web-узле за адресою /unix/misc. Мабуть, одним з найбільш відомих є "набір відмичок" для системи Linux версії 5, в який входить декілька модифікованих версій основних утиліт, включаючи su, ssh і декілька аналізаторів мережевих пакетів.
Щоб не відставати, операційна система Windows Nt/2000 в 1999 році теж "обзавелася" своїм власним набором аналогічних засобів. Це трапилося завдяки групі хакерів Грега Хогланда (Greg Hoglund). Грег застав зненацька співтовариство Windows, продемонструвавши робочий прототип таких інструментів, який здатний виконувати заховання параметрів системного реєстру і "підміну" виконуваних файлів. Цей набір можна використовувати у виконуваних файлах типу "троянський кінь" без зміни їх вмісту. Всі ці трюки грунтуються на використанні перехоплення функцій (function hooking). Таким чином можна "модифікувати" ядро NT, внаслідок чого будуть захоплені системні виклики. За допомогою "набору відмичок" можна приховати процес, параметр системного реєстру або файл, а також перенаправити перехоплений виклик функціям програм типу "троянський кінь". Отриманий результат здатний перевершити очікування від впровадження звичайних "троянських коней": користувач не може бути упевнений навіть в цілісності виконуваної коди.

Контрзаходи проти "наборів відмичок"

Якщо виявилось, що не можна довіряти навіть командам Is або dir, значить, прийшов час визнати себе переможеним: створіть резервні копії важливих даних (але тільки не двійкових файлів!), видалите все програмне забезпечення, а потім переустановите його з перевірених носіїв. Не слід особливо сподіватися на резервні копії, оскільки абсолютно невідомо, коли саме зломщик пробрався в систему. Після відновлення програмне забезпечення також може опинитися "троянізірованним".
Важливо не забувати одне із золотих правил забезпечення безпеки і відновлення після збоїв: відомі стани (known states) і повторюваність (repeatability). Виробничі системи часто мають бути швидко переустановлені, так що добре документована і достатньо автоматизована процедура установки дозволить заощадити багато часу. Наявність перевірених носіїв, готових для виконання процедури відновлення, також достатньо важлива. Якщо під рукою є компакт-диск з повністю конфігурованим чином Web-сервера, то виграш в часі виявиться ще значнішим. Іншим хорошим прийомом є документування процесу налаштування виробничого режиму експлуатації, а не проміжного режиму, оскільки в процесі побудови системи або її обслуговування можуть з'явитися вади в системі захисту (поява нових спільно використовуваних ресурсів і так далі). Переконаєтеся, що у вашому розпорядженні є контрольний список або автоматизований сценарій повернення у виробничий режим.
Підрахунок контрольних сум також виявляється хорошим захистом проти використання "наборів відмичок", проте цей прийом потрібно застосовувати до системи в початковому стані. Засоби, подібні до вільно поширюваної утиліти Md5sum або програмі Tripwire, яка розглядалася вищим, здатні "знімати" образи файлів і повідомляти про порушення їх цілісності при виникненні змін. Перенаправлення виконуваних файлів, що виконується "набором відмичок" системи Nt/2000, теоретично може нейтралізувати підрахунок контрольних сум. Проте оскільки код при цьому не змінюється, але в той же час "захоплюється" і передається через іншу програму, то такий прецедент все ж таки можна виявити.
У момент написання цієї книги "набір відмичок" систем Nt/2000 як і раніше залишався на стадії альфа-версиі і в основному призначався для демонстрації найбільш важливих особливостей, а не для реального застосування. Отже його легко виявити. Просто перевірте наявність файлів deploy.exe і _root_.sys. Запуск і зупинку цих засобів можна виконати за допомогою команди net:

net start_root_ net stop_root_

Створення образу системного оточення для нейтралізації механізму перевірки контрольних сум

Існує декілька засобів для створення дзеркального образу системних томів (таблиця. 14.3). Ці могутні утиліти допомагають заощадити час і при виникненні позаштатної ситуації можуть виявитися просто незамінними. Проте їх побітова точність фіксації стану системи може бути використана для того, щоб обвести навколо пальця механізми забезпечення безпеки, засновані на перевірці контрольних сум поточних системних даних.
Очевидно, що для здійснення подібної атаки потрібний високий рівень доступу до цільової системи, оскільки всі перераховані в таблиці. 14.3 процедур вимагають перезапуску системи або фізичного видалення жорсткого диска. Втім, якщо зломщик отримає цей вид доступу, то з упевненістю можна сказати, що він зможе відвести душу по-справжньому (читачам, яким в це не віриться, варто ще раз перечитати розділ про "набори відмичок"). Подумайте про практичне застосування додатків, заснованих на використанні такої системної інформації, як вміст списку процесів, даних про завантаження центрального процесора і так далі На основі цих даних генеруються контрольні суми, вживані надалі при санкціонуванні деяких видів транзакцій.

Таблиця 14.3. Деякі технології копіювання стану системи і пов'язані з ними програмні продукти

Контрзаходи

Фізична безпека завжди має бути на чолі списку захисних заходів будь-якої інформаційної системи. Двері з надійними замками можуть запобігти атакам, направленим на копіювання або клонування системних даних.
Положення стає серйознішим при зломі, при якому зловмисники користуються додатком, раніше придбаним самою компанією. Надійні застосування мають бути засновані на технологіях, які ніяк не пов'язані з функціонуванням системних компонентів, що забезпечують можливість використання списку процесів, файлової системи або інших даних, які можуть бути легко відтворені за допомогою засобів створення образу системи. Якщо виробники програмного забезпечення не поспішають ділитися технічними подробицями і обгрунтовувати надійність своїх програм, краще пошукати яку-небудь альтернативу.