Атаки з використанням вкладень

Однією з найбільш зручних особливостей електронної пошти є можливість вставки в повідомлення файлів. Проте це зручність, що дозволяє заощадити час, має і очевидні негативні сторони, а саме: у користувачів з'являється непереборна тяга запустити мало не кожен файл, отриманий по електронній пошті. Здається, нікому не потрібно нагадувати, що це рівносильно запрошенню до себе у вітальню поганих хлопців.
У подальших розділах обговорюються багато видів атак, заснованих на використанні файлів, вставлених в електронні повідомлення. Існує ряд механізмів, що дозволяють замаскувати дійсні цілі файлу-вкладення або надати йому привабливу форму, при якій палець жертви сам тягнеться до кнопки миші. Деякі з описаних видів атак є набагато підступнішими, коли вкладений файл записується на диск без якого б то не було участі з боку користувача і його повідомлення. Більшість користувачів Internet розуміють, що з вкладеннями електронної пошти потрібно звертатися украй обережно і з великою часткою скептицизму. Автори сподіваються, що наступний розділ остаточно утвердіт їх в цій думці.

Злом з використанням як вкладення файлів-оболонок

Маловідомим секретом системи Windows є те, що у файлів з розширенням . SHS їх реальне розширення за умовчанням приховано відповідно до параметра системного реєстру Hkey_classes_root\shellscrap\nevershowext. Очевидно, що в цьому не було б нічого особливого, якби ці файли .SHS, також відомі як об'єкти Shell Scrap Objects, не володіли можливістю запускати команди. Засновані на технології Object Linking and Embedding (OLE), що обговорювалася в розділі, присвяченому елементам управління ACTIVEX, ці файли є, по суті, оболонками для інших упроваджених об'єктів. Такими об'єктами можуть бути електронні таблиці Excel (більшість читачів знають, що їх можна поміщати в документи Word) або файли іншого типу. Найпростіший спосіб створити такий файл — це помістити який-небудь файл в інше застосування, що підтримує технологію OLE (наприклад, Wordpad), а потім скопіювати його піктограму в іншу теку. Тепер файл, який ми вставляли, міститься в своєму власному файлі-оболонці, має свою піктограму і унікальне розширення (SHS). При запуску файлу SHS поміщений в нього об'єкт запускається разом з ним. Більш того, за допомогою компоненту Microsoft Object Packager з вкладеним об'єктом можна зв'язувати команди, що відкриває нові можливості для тих, хто хоч трохи знайомий з DOS.
У червні 2000 року невідомим зловмисником був запущений "черв'як", що отримав назву Lifechanges. Його робота грунтувалася на описаних властивостях файлів . SHS. Цей "черв'як" прямував у вигляді електронного повідомлення з рядком теми, яка указувала на те, що у вкладенні знаходяться анекдоти, що змінюється. Файл вкладення насправді був файлом . SHS з обманним розширенням .тхт, яке робило його схожим на звичайний текстовий файл (навіть встановлена за умовчанням піктограма цього файлу була схожа на піктограму текстового файлу). Після запуску Lifechanges виконував стандартні дії: розсилав себе поштою першим 50 адресатам з адресної книги жертви, видаляв файли і так далі Дуже цікаво було спостерігати, як хтось вибрав основою для злому підступну особливість файлів . SHS, яка була відома впродовж декількох років, і з такою легкістю потрапив в хроніку Web-узла Pchelp (http://www.pc-help.org/security/scrap.htm). Хто знає, скільки мін ще закладено в системному реєстрі Windows?

Контрзаходи проти використання файлів. SHS

На Web-узле Pchelp приведені деякі чудові раді із зниження риски від застосування найбільш небезпечних властивостей файлів . SHS. До числа цих рекомендацій входять наступні.

•  Видалите згадуваний раніше параметр системного реєстру Nevershowext і параметр Hklm\software\classes\docshortcut, щоб розширення . SHS і . SHB сталі видно в Windows. (Файли . SHB володіють аналогічними властивостями.)
•  Заміните використовувані антивірусні програми тими, в яких файли . SHS і .SHB розглядаються як виконувані.
•  Повністю відмовіться від файлів-оболонок, видаливши їх із списку відомих типів файлів Windows або видаливши з теки System файл shscrap.dll.

Заховання розширення вкладення за допомогою пропусків

18 травня 2000 року Волкер Вес (Volker Werth) помістив в списку розсилки Incidents повідомлення, в якому мовилося про один метод відправки вкладень в поштових повідомленнях. Особливість цього методу полягала в дотепному способі маскування імені приєднаного файлу. Вставка в ім'я файлу символів пропусків (%20) приводила до того, що поштові програми відображали тільки перші декілька символів імені файлу. Наприклад
freemp3.doc ... [150 пропусків]....ехе
Назва цього вкладення виглядає в інтерфейсі користувача як freemp3.doc. Сам файл здається цілком нешкідливим і, здавалося б, його можна зберегти на диску або запустити прямо з поштової програми. От як виглядає моментальний знімок вікна програми Outlook Express.

Контрзаходи проти заховання імені приєднаного файлу

З приведеного малюнка видно, що файл вкладення не є документом Word. На це указує і трикрапку (...) • Якщо цих ознак недостатньо, то взагалі не варто відкривати файл вкладення прямо з поштової програми! У цьому допоможе модуль оновлення Outlook Sr-1 Security. Після його установки користувачеві доведеться примусово зберігати на диску ті файли, які можуть завдати збитку.

Методи соціальної інженерії, що допомагають ввести користувача в оману і завантажити вкладення

Соціальна інженерія — це дієвий метод, що допомагає переконати користувача зберегти файл вкладення на диску. Вам коли-небудь зустрічалося повідомлення з наступним текстом?
"This message uses а character set that is not supported by the Internet Service. To view the original message content, open the attached message. If the text doesn't display correctly, save the attachment to disk, and then open it using а viewer that can display the original character set."
("У даному повідомленні використовується набір символів, які не підтримуються використовуваною службою Internet. Щоб проглянути вміст первинного повідомлення, відкрийте вкладене повідомлення. Якщо текст відображається некоректно, збережете вкладення на диску, а потім відкрийте його за допомогою програми перегляду, яка може відобразити первинний набір символів".)
Це стандартне повідомлення, яке створюється у тому випадку, коли поштові повідомлення (у форматі . EML) пересилаються користувачам Outlook і виникають деякі помилки з обробкою даних MIME вложенного/полученного повідомлення. В цьому випадку кожен може попастися на гачок, що дозволяє добитися запуску вкладення (або безпосередньо, або після збереження його на диску). Авторам доводилося отримувати такі повідомлення навіть з дуже відомих серверів. Звичайно, це лише одна з численних можливостей, якою зломщики можуть скористатися для реалізації своїх зловмисних задумів. Будьте пильні!

Запобіжні засоби проти трюків з вкладенням

Контролюйте свої дії і не здійснюйте необдуманих вчинків. Перш ніж запустити збережені на диску вкладення, перевіряйте їх на наявність вірусів за допомогою спеціальних програм. Навіть якщо в результаті перевірки не буде виявлено нічого підозрілого, перед запуском потрібно серйозно подумати про той, хто є автором повідомлення. При цьому пам'ятаєте, що такі віруси-"черві", як ILOVEYOU, можуть бути отримані навіть від найближчих друзів.