LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Маніпуляції в процесі запуску системи

Як згадувалося в розділі 5, улюблений прийом хакерів — залишити в системі свої виконувані файли, які автоматично запускатимуться при завантаженні системи. Такі можливості як і раніше є в системі Win 2000. Тому необхідно перевіряти відповідні теки зламаної системи на наявність невідомих або дивних команд.
Параметри запуску системи задаються в системному реєстрі в наступних підрозділах розділу Hklm\software\microsoft\windows\currentversion:

  •  ...\Run
  •  ...\Runonce
  •  ...\Runonceex
  •  ...\Runservices
У Win 2000 відрізняється лише місцеположення теки автозавантаження Startup для кожного користувача. Тепер ця тека знаходиться в теці Documents and Settings (%systemdrive%\ Documents and Settings\%user%\start Menu\programs\startup).

Прикріплення до виконуваних файлів


Іноді найбільш очевидні потайні ходи найскладніше розгледіти. Наприклад, можна просто розмістити троянську оболонку Windows під ім'ям explorer.exe в корені каталога %systemdrive% цільової системи (за умовчанням право запису в цей каталог мають всі користувачі). Тоді при інтерактивній реєстрації користувача ця профамма за умовчанням використовуватиметься як оболонка для цього користувача. Чому це відбувається?
У документації до набору засобів розробки програмних продуктів (SDK — Software Development Kit) компанії Microsoft ясно сказано, що якщо ім'я виконуваного файлу або динамічної бібліотеки DLL вказане в реєстрі без завдання шляху до цього файлу, то операційна система Windows Nt/2000 виконує пошук цього файлу в наступній послідовності.
1. У каталозі, з якого завантажений додаток.
2. У поточному каталозі батьківського процесу.
3. У системному каталозі %windir%\System32.
4. У системному каталозі %windir%\System.
5. У каталозі Windows %windir%.
6. У каталогах, визначуваних значенням змінної оточення PATH.
Потенційна небезпека такої поведінки виявляється при використанні пропонованої за умовчанням оболонки Nt/2000, що задається ключем реєстру нкъм\SOFTWARE\-Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell. За умовчанням цьому ключу відповідає значення explorer.exe без явної вказівки шляху до цього файлу. Отже, якщо хтось в процесі завантаження скопіює модифіковану оболонку з ім'ям explorer. ехе в кореневий каталог системного диска (наприклад, диска З: \), то вона і буде використана для даного сеансу користувача за умовчанням, оскільки пошук файлу оболонки виконуватиметься в кореневому каталозі (за поточний каталог в процесі завантаження системи вважається %systemdrive%).
По словах Альберто Арагонеса (Alberto Aragones) (http://www.quimeras.com/ecadv/ntpath.htm ), для демонстрації цього ефекту досить скопіювати командну оболонку Nt/2000 cmd.exe у кореневий каталог системного розділу, завершити сеанс, а потім реєструватися знову. Тоді замість стандартної оболонки Windows використовуватиметься командна оболонка.
Розглянемо наслідки цієї ситуації. Як буде описано в розділі 14, існують засоби (типу elitewrap), за допомогою яких можна легко об'єднати декілька програм з метою їх непомітного і асинхронного виконання. Іншими словами, програму типу Back Orifice 2000 можна пов'язати з копією explorer.exe, помістити цей пакет в кореневий каталог системного диска, і ця хакреська програма непомітно запускатиметься при кожній наступній інтерактивній реєстрації. При цьому Explorer працюватиме як ні в чому не бувало. Острах...
Альберто на своєму Web-узле приводить дотепний спосіб реалізації такого підходу з видаленого комп'ютера, заснований на використанні служби telnet для Nt/2000, що працює на цільовому комп'ютері. Для цього потрібно підключитися до служби telnet на цільовому комп'ютері, потім завантажити на цей комп'ютер "запасний варіант" explorer. ехе (наприклад, через службу FTP в режимі командного рядка), і, нарешті, з командного рядка telnet переписати його в каталог %windir%, запустити справжній explorer.exe і завершити сеанс telnet. Після цього в кожному інтерактивному сеансі замість реального провідника використовуватиметься "підставний варіант" explorer. ехе.
Цей же прийом застосовний для підміни динамічних бібліотек. Інформація про імена динамічних бібліотек зберігається у відповідних виконуваних файлах Windows. Пошук вказаних бібліотек виконується в тому ж приведеному вище порядку. Така послідовність пошуку може викликати схожі проблеми з підміною бібліотек DDL.

Виявлення всіх відносних шляхів в реєстрі


Ця проблема була усунена в модулі оновлення Ms00-052, не включеному до складу сервісного пакету Sp1, тому цей модуль необхідно застосовувати незалежно від установки сервісного пакету. І хоча в розділі питань, що часто ставляться, компанія Microsoft заявляє про відсутність цієї загрози (http://www.microsoft.com/technet/ security/bulletin/fq00-052.asp), Альберто Арагонес (Alberto Aragones) наводить приклади інших виконуваних файлів (наприклад, rundll32.exe), для яких шляхи в реєстрі явно не вказані. Дійсно, ім'я цього файлу багато разів зустрічається в реєстрі без вказівки абсолютного шляху.
Одін із способів вирішення проблеми полягає у виявленні всіх змінних в реєстрі, для яких не задані абсолютні шляхи, і додаванні таких шляхів уручну. Проте ця процедура може виявитися дуже тривалою.
Можливо ефективнішим рішенням яштяєтся обмеження можливості інтерактивної реєстрації на сервері (правда, це декілька ускладнюється появою термінального сервера). І, звичайно ж, необхідно встановити вказаний вище модуль оновлення. Цей модуль усуває загрозу за рахунок додавання префікса %systemroot% до імені оболонки.

Виникає питання, як повернути систему в нормальний стан, якщо з нею вже зіграли злий жарт, описану Альберто? На цей випадок Альберто радить запустити програму %windir%\explorer.exe з командної оболонки, а потім видалити "підроблений" провідник, або просто ввести команду геп\ explorer.exe harmless.txt, а потім перезавантажити комп'ютер за допомогою комбінації клавіш <Alt+ctrl+del>.




:: Реклама ::

>Страница статей


:: Посилання ::

-


:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2024