LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Набор Rootkit — повний злом системи

А що, якщо навіть сам код операційної системи опиниться під контролем зломщика? Ця ідея досить добре випробувана для платформи UNIX. Закономірно, що для заміни стандартних виконуваних файлів "троянськими кіньми" зазвичай потрібно отримати обліковий запис root системи UNIX на цільовому комп'ютері. Набори програм, що виконують цю операцію, отримали назву "відмичок". "Відмички", вживані в UNIX, детально розглядаються в розділі 8, а обговорення "відмичок" взагалі можна знайти в розділі 14.

Відмички" Nt/2000


Немає нічого дивовижного в тому, що в 1999 році завдяки групі Грега Хогланда (Greg Hogland http://www.rootkit.com ) система Windows Nt/2000 "придбала" свій власний набір "відмичок". Грег застав зненацька співтовариство Windows, продемонструвавши робочий прототип таких інструментів, який здатний виконувати заховання параметрів системного реєстру і "підміну" виконуваних файлів. Цей набір можна використовувати у виконуваних файлах "троянських коней" без зміни їх вмісту. Всі ці трюки грунтуються на використанні перехоплення функцій (function hooking). Таким чином можна "модифікувати" ядро NT, внаслідок чого будуть захоплені системні виклики. За допомогою набору "відмичок" можна приховати процес, параметр системного реєстру або файл, а також перенаправити перехоплений виклик функціям "троянських коней". Отриманий результат здатний перевершити очікування від впровадження "троянських коней": користувач не може бути упевнений навіть в цілісності виконуваної коди.
У момент написання цієї книги набір "відмичок" систем Nt/2000 як і раніше залишався на стадії альфа-версиі і в основному призначався для демонстрації найбільш важливих особливостей, а не для реального застосування. Поширюваний комплект складається з двох файлів: _root_.sys і deploy.exe. При запуску файлу deploy.exe набір "відмичок" буде встановлений і запущений.
Після установки активізується режим заховання параметрів системного реєстру. Будь-який параметр або значення, що починаються з шести символів _root_, будуть прихований для перегляду за допомогою будь-якого з редакторів regedit.exe або regedt32.exe. Будь-який виконуваний файл, ім'я якого починатиметься з _root_, не буде видний. За допомогою копії редактора системного реєстру regedit.exe, перейменованою у файл _root_regedit.exe, можна проглянути всі приховані параметри. Тим самим зломщикові надається прекрасний "потайний хід", з використанням якого можна приступити до ручної роботи без відключення режиму маскування "набору відмичок".
У альфа-версиі засіб перенаправлення виконуваних файлів дозволяє виявляти виконання файлів з іменами, що починаються з _root_, і перенаправляти їх результати файлу З: \calc.exe (жорстко заданий режим, що не дозволяє зломщикові негайно отримати довгождану інформацію, проте наочно демонструє його потенційну зловмисність).
Грег також поширює консоль видаленого управління ROGUEX з набору "відмичок" з витонченим інтерфейсом. Вона знаходиться на стадії розробки і має обмежені функціональні можливості (зокрема, дозволяє ініціювати сканування портів видаленого вузла, на якому встановлений набір "відмичок").

Контрзаходи: захист від набору "відмичок"


Якщо ви не можете довіряти навіть команді dir, значить, прийшов час визнати себе переможеним: створіть резервну копію важливих даних (окрім двійкових файлів!), видалите все програмне забезпечення і переустановите його з перевірених носіїв. На покладайтеся на резервні копії, оскільки невідомо, в який момент зломщик отримав контроль над системою, — ви можете відновити тих же самих "троянських коней".
Зараз важливо підкреслити одне із золотих правил забезпечення безпеки і відновлення після збоїв: відомі стани (known states) і повторюваність (repeatability). Виробничі системи часто мають бути швидко переустановлені, так що добре документована і достатньо автоматизована процедура установки дозволить заощадити багато часу. Наявність перевірених носіїв, готових для виконання процедури відновлення, також достатньо важлива. Якщо під рукою є компакт-диск з повністю конфігурованим чином Web-сервера, то виграш в часі виявиться ще значнішим. Іншим хорошим прийомом є документування процесу налаштування виробничого режиму експлуатації, а не проміжного режиму, оскільки в процесі побудови системи або її обслуговування можуть з'явитися вади в системі захисту (появи нових спільно використовуваних ресурсів і так далі). Переконаєтеся, що у вашому розпорядженні є контрольний список або автоматизований сценарій повернення у виробничий режим.
Підрахунок контрольних сум також виявляється хорошим захистом проти використання наборів "відмичок", проте цей прийом потрібно застосовувати до системи в початковому стані (тобто такий підхід є превентивною мірою, яка виявиться даремною після виникнення неприємностей). Засоби, подібні до вільно поширюваної утиліти Mdssum, здатні "знімати" образи файлів і повідомляти про порушення їх цілісності при виникненні змін. Для системи Windows двійковий код утиліти Mdssum можна знайти за адресою http: //sourceware.cygnus.com/cygwin/. З її допомогою для файлу можна обчислити або перевірити профільне повідомлення (message digest) довжиною 128 битий. При цьому застосовується популярний алгоритм Md5 Рона Райвеста (Ron Rivest) з лабораторії MIT Laboratory for Computer Science and RSA Security. Цей алгоритм описаний в документі RFC 1321. У наступному прикладі утиліта Mdssum показана в роботі в процесі генерації контрольної суми для файлу з подальшою її перевіркою.

D:\toolbox>md5sum d:\test.txt > d:\test.md5
D:\toolbox>cat d:\test.md5
efd3907b04b037774d831596f2clbl4a d:\xtest.txt
D:\toolbox>md5sum —check d:\test.md5
d:\xtest.txt: OK

На жаль, утиліта Mdssum одночасно працює лише з одним файлом (звичайно, використання сценаріїв декілька пом'якшує цю незручність).
До ефективніших засобів виявлення вторгнень у файлову систему відноситься добре відома утиліта Tripwire, яку можна знайти за адресою http://www.tripwire.com. З її допомогою можна виконати аналогічний підрахунок контрольних сум для широкого діапазону систем.

Перенаправлення виконуваних файлів, що виконується набором "відмичок" системи Nt/2000, теоретично може нейтралізувати підрахунок контрольних сум. Проте оскільки код при цьому не змінюється, але в той же час "захоплюється" і передається через іншу програму, то такий прецедент все ж таки можна виявити.

Необхідно згадати ще декілька важливих утиліт, призначених для перевірки вмісту двійкових файлів. До них відноситься стара утиліта UNIX strings, перенесена на платформу Windows (також розроблена компанією Cygnus), Bintext від Робіна Кейра  і могутній редактор текста/ шістнадцятиричних даних Ultraedit32 для Windows, який можна знайти за адресою http: //www.ultraedit.com. Ми вважаємо, що редактор Bintext краще всього помістити в теку Sendto, так щоб його можна було активізувати при клацанні правою кнопкою миші на імені файлів в провіднику Windows. Для цих же цілей редактор Ultraedit32 поміщає в контекстне меню відповідну команду.
І нарешті, щодо набору "відмичок" Nt/2000 Грішивши можна сказати, що наявність файлів deploy.exe і _root_.sys служить явним підтвердженням нападу (або як мінімум допитливості господаря комп'ютера). На щастя, запуск і завершення набору "відмичок" можна виконати з використанням команди net.

net start _root_
net stop _root_

У Windows 2000 з'явився засіб захисту файлів операційної системи (Windows File Protection), яке запобігає перезапису системних файлів, встановлених програмою інсталяції Windows 2000 (для цього близько 600 файлів зберігається в теці %systemroot%). У останніх повідомленнях, що з'явилися в бюлетені Ntbugtraq, міститься інформація про те, що систему WFP можна обійти, особливо, якщо раніше були отримані привілеї адміністратора.




:: Реклама ::

>Страница статей


:: Посилання ::

-


:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2008