"Потайні ходи" і програми типу "троянський кінь" в Win 9x

Якщо припустити, що у вашій системі Win Ех не використовується сумісний доступ до файлів, не встановлений сервер видаленого доступу і відсутня підтримка видаленого доступу до системного реєстру, то чи можна вважати ваш комп'ютер за захищений? Мабуть, зараз на це риторичне питання можна дати негативну відповідь. Якщо зловмисникам не вистачає засобів видаленого адміністрування, вони просто намагаються їх встановити.
У цьому розділі ми розглянемо три найбільш популярні з таких програм, які розроблені за технологією клієнт/сервер. Кожну з них можна знайти в Internet. Крім того, ви познайомитеся з "троянськими кіньми" — програмами, які на перший погляд виглядають достатньо корисними, проте насправді містять інший код, який може привести до зловмисних або руйнівних дій. Звичайно, в Мережі можна виявити незліченну безліч таких програм і для їх опису не вистачить навіть найтовщої книги.

Back Orifice

Програма Back Orifice (У), фактично будучи одній з найвідоміших програм хакинга Win 9x, анонсована розробниками як засіб видаленого адміністрування системи Win 9x. Ця програма була випущена літом 1998 року відповідно до угод по безпеці Black Hat (http: //www.blackhat.com/), і її як і раніше можна вільно отримати за адресою (http: //www.cultdeadcow.com/tools). Back Orifice дозволяє отримати практично повний видалений контроль над системою Win 9x, включаючи можливість додавання і видалення ключів системного реєстру, перезавантаження системи, відправки і отримання файлів, проглядання кешированних паролів, породження процесів і створення спільно використовуваних файлових ресурсів. Крім того, іншими хакерами для початкового сервера В були написані модулі, що підключалися, призначені для встановлення зв'язку з певними каналами IRC (Internet Relay Chat), такими, наприклад, як #bo_owned, і подальшого розголошування IP-адреса жертви всім, хто цікавиться подібними речами.
Програму В можна набудувати так, щоб вона самостійно встановлювалася і запускалася з використанням будь-якого імені файлу ([space] .exe використовується за умовчанням). При цьому додається параметр в ключ системного реєстру Hkey_local_machine\ Software\microsoftwindows\currentversion\runservices, щоб запуск У виконувався при кожному завантаженні комп'ютера. За умовчанням програмою В застосовується UDP-порт з номером 31337.
Очевидно, що програма В є втіленням мрії будь-якого хакера, якщо не для проникнення в систему, то вже напевно для задоволення хворобливої цікавості. Поява У виявилося настільки грандіозною подією, що через рік з'явилася друга версія: Back Orifice 2000 (Во2к http://www.bo2k.com ). Програма Во2к має ті ж можливості, що і її попередня версія, за винятком наступного. По-перше, і клієнтська і серверна частини працюють в системах Windows Nt/2000 (а не просто в Win 9л:). А, по-друге, з'явився набір засобів розробки, що значно утрудняє виявлення різних модифікацій цієї програми. За умовчанням програмою Во2к використовується TCP-порт 54320 або UDP-порт 54321 і виконується копіювання файлу Umgr32.EXE у теку %systemroot%. Для запобігання примусовому завершенню роботи Во2к в списку завдань маскуватиметься під ім'ям EXPLORER. Якщо програма розгортається в прихованому режимі, то вона буде встановлена як служба видаленого адміністрування (Remote Administration Service), в ключ Hklm\software\microsoft\windows\ Currentversion\runservices буде доданий відповідний параметр, а потім буде видалений початковий файл. Після цього запуск програми Во2к виконуватиметься при кожному завантаженні комп'ютера. Всі ці дії можна виконати також за допомогою утиліти bo2kcfg.exe, поширюваною разом з пакетом Back Orifice 2000. На мал. 4.5 представлений зовнішній вигляд клієнтной частини програми Во2к, bo2kgui. ехе, яка здійснює контроль системи Win 98se. З мал. 4.5 видно, що тепер клієнт Во2к може використовуватися для зупинки видаленого сервера і його видалення з інфікованої системи. Для цього потрібно відкрити теку Server Control, вибрати елемент Shutdown Server, а потім ввести команду DELETE.

Мал. 4.5. Клієнтська програма з графічним інтерфейсом (bo2kgui.exe) з пакету Back Orifice 2000 (Во2к) управляє "потайним ходом " системи Win 9х. З її допомогою можна видалити і сам сервер Во2к

У клієнта Во2к є одна особливість, яка погано документована. Вона полягає в тому, що іноді в полі Server Address необхідно указувати номер порту (наприклад, 192.168.2.78:54321, а не просто IP-адрес або ім'я DNS).

Netbus

Вимогливішому хакерові, можливо, більше сподобається "дальня кузина" В — програма Netbus, що дозволяє отримати видалене управління над системою Windows (у тому числі і Windows Nt/2000). Ця програма, написана Карлом-Фредеріком Нейктером (Carl-fredrik Neikter), має привабливіший і зрозуміліший інтерфейс, а також ефективніший набір функцій. Зокрема, вона оснащена графічним інтерфейсом, за допомогою якого можна здійснювати видалене управління (правда, тільки для високопродуктивних з'єднань). Програма Netbus теж дозволяє гнучко настроювати параметри. Крім того, в Internet можна знайти декілька її модифікацій. Сервер, що запускається за умовчанням, має ім'я patch.exe (хоча його можна замінити на будь-яке інше). Зазвичай при установці в ключ системного реєстру Hkey_local_machinexsoftware\ Microsoft\windows\currentversion\run додається відповідний параметр, щоб сервер запускався кожного разу при завантаженні комп'ютера.
За умовчанням з програмою Netbus зв'язується TCP-порт 12345 або 20034. Оскільки ця програма не дозволяє використовувати UDP-порт (як Во2к), то що пересилаються нею дані можуть з більшою вірогідністю фільтруватися брандмауером.

 Subseven

Судячи з усього, сервер Subseven по популярності перевершує програми В, Во2к і Netbus разом узяті. Він ясно стабільніший, простій у використанні і надає набагато ширші можливості хакерам. Цю програму МОЖНА знайти ЗА адресою http://subseveri.slak.org/main.html.
З сервером Subseven (S7s) за умовчанням пов'язаний TCP-порт 27374, який використовується за умовчанням і для клієнтських з'єднань. Як і В і Netbus, програма S7s надає зломщикові практично повний контроль ліг "жертвою". включаючи наступні можливості.

•  Сканування портів (виконується безпосередньо на видаленому комп'ютері!).
•  Запуск FTP-сервера з кореневим каталогом С:\ (з необмеженими правами читання/запису).
•  Видалене редагування системного реєстру.
•  Витягання кешированних паролів, а також паролів RAS, ICQ і інших служб.
•  Перенаправлення потоків введення-виводу портів і додатків.
•  Друк.
•  Перезавантаження видаленої системи.
•  Реєстрація натиснень на клавіші (за умовчанням прослуховується порт 2773).
•  Видалений термінал (за умовчанням прослуховується порт 2773).
•  Перехоплення управління мишею.
•  Контроль за видаленими додатками icq, AOL Instant Messenger, MSN Messenger і Yahoo Messenger (за умовчанням використовується порт 54283).
•  Запуск web-броузера і перехід на вузол, заданий користувачем.

Мал. 4.6. Клієнт Subseven надає можливості використання Ftp-cepeepa

Контрзаходи: ліквідація "потайних ходів" і видалення "троянських коней"

Всі застосування-сервери, що створюють "потайні ходи", повинні виконуватися на цільовому комп'ютері. Їх не можна запустити видалено (звичайно, якщо раніше видалена система не стала "власністю" хакера). Звичайно це можна здійснити, скориставшись поширеними помилками клієнтів Internet і/або елементарним обманом. Можливо, зломщики застосують обидва підходи. Ці методи, а також можливі контрзаходи, детальніше розглядаються в розділі 16. Тут же варто сказати лише наступне: постійно виконуйте оновлення використовуваного клієнтського програмного забезпечення, призначеного для роботи в Internet, і ретельно здійснюйте його налаштування.
Інша можливість закриття всіх "таємних лазівок" полягає в запобіганні зовнішньому доступу до тих відкритих портів, які зазвичай використовуються такими програмами. Через відповідні порти з великими номерами нам вдавалося підключитися до багатьом вузлам за допомогою брандмауера. При цьому підключення до запущених серверів внутрішніх мереж перетворювалося на дитячу гру. Повний список портів, використовуваних "троянськими кіньми" і додатками, вживаними для створення "потайних ходів", можна знайти на Web-узле компанії Tlsecurity за адресою http://www.tlsecurity.net/trojanh.htm.
Приділяйте пильну увагу питанням контролю доступу до брандмауерів з внутрішньої мережі. Хоча досвідченіші зломщики можуть набудувати свої сервери і на використання портів 80 і 25 (які практично завжди доступні для таких цілей), це значно звузить спектр їх можливостей.
Для тих, хто хоче познайомитися з даною проблемою чим глибше і упевнитися в її відсутності в мережі, що діє, можна звернутися до бази даних компанії Tlsecurity за адресою http://www.tlsecurity.net/tlfaq.htm. Її автор, група Int-13h, провела копітку роботу по збору всеосяжної і докладної інформації про те, де можна знайти подібне програмне забезпечення. (Чи можливо, щоб в цій базі даних згадувався кожен з таких засобів? Познайомтеся з переліком, що міститься там.)
В даний час багато хто з антивірусних програмних продуктів дозволяє виконувати пошук всіх подібних засобів (перелік комерційних виробників можна знайти в базі даних компанії Microsoft (Knowledge Base) в статті Q495000 за адресою http://search.support.microsoft.com). Фахівці Int_13h настійно рекомендують використовувати пакет Antiviral Toolkit Pro (AVP), який можна знайти за адресою http://www.avp.com. Деякі компанії надають засоби, призначені для видалення "троянських коней" і ліквідації інших "потайних ходів", наприклад пакет TDS (Trojan Defense Suite). Його можна знайти за адресою http: //www.multimania.com/ilikeit/tds .htm (ще одна рекомендація Int_13h).
Остерігайтеся вовків в овечих шкурах. Наприклад, один із засобів видалення програми В, зване Bosniffer, насправді є "троянським конем" і містить саму програму В. Будьте обачні в застосуванні вільно поширюваних утиліт пошуку "троянських коней".
Програмне забезпечення для створення "потайних ходів" і "троянські коні'' розглядатимуться також в розділі 14.