Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3480 / 785 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 10:

Черный ход и средства удаленного доступа

Поскольку одной из целей получения доступа к машине является возможность запускать процессы (например, дополнительные программы доступа с черного хода, или программы прослушивания сети), можно проверить статус процессов на атакованной машине. С помощью функции Process Control вы можете получить список процессов, запускать или уничтожать процессы.


Если же ваша цель состоит в просмотре отображаемого на мониторе атакованной машины, то BO2k предоставляет вам такую возможность с помощью папки Multimedia.


Возможно, цель состоит в том, чтобы проинспектировать содержимое файловой системы. Простой поиск *.mdb-файлов может вознаградить взломщика найденными базами данных с информацией о кредитных картах или других интересных вещах. В папке File/Directory вы можете искать, передавать, создавать файлы, которые вам могут понадобиться на атакованной машине.

SubSeven

После BO2k в сообществе специалистов по безопасности появилась программа SubSeven (Sub7). На сегодняшний день это лучшее, что можно пожелать. Sub7 совершенно смертельна, поскольку ее последние версии могут изменять свои параметры и, тем самым, обманывать средства поиска вирусов, которые обычно перехватывают утилиты, подобные Netbus и BO2k. С точки зрения средств удаленного управления, Sub7 - практически то же, что и Netbus и BO2k.

Sub7 может быть доступна по адресам http://www.packetstormsecurity.com, http://www.tlsecurity.com и http://www.securityfocus.com (Web-сайт авторов программы не был доступен на момент написания этой книги).

Реализация

Так же как Netbus и BO2k, Sub7 требует, чтобы перед использованием был сконфигурирован сервер. Во-первых, взломщику потребуется открыть утилиту редактирования сервера, которая поставляется вместе с программой и размещается в папке Sub7. Когда программа будет запущена, вы увидите следующее окно.


  1. Выберите сервер, который вы собираетесь конфигурировать, щелкнув на кнопке Browse в левом верхнем углу окна.
  2. Выберите сервер Sub7, по умолчанию - Server.exe.
  3. Измените некоторые параметры, содержащиеся в этом окне. Важные для понимания параметры будут обсуждаться далее.

Лучше всего использовать пароль для доступа к Sub7. Кроме того, Sub7 пытается самостоятельно сделать себя более незаметным, чем другие программы, и, как это видно в правом верхнем углу окна, в его распоряжении есть несколько способов сделаться незаметным после установки на атакованной машине.

Sub7 может не только выполнять работу по управлению захваченной машиной, но также информировать вас о новых машинах, которые он смог захватить, используя одну из нескольких возможностей:

  • персональный коммуникатор ICQ;
  • сеть IRC;
  • уведомление по электронной почте.

В результате, взломщик получает дополнительные преимущества, связанные с тем, что нет необходимости искать машины, которые могут быть заражены его сервером.

Для этой атаки сервер прослушивает TCP-порт 62875. Этот порт не является специальным портом, он выбран случайно. Если есть желание, то мы можем присоединить к серверу специальный файл, например, электронную поздравительную открытку, для отсылки ничего не подозревающему владельцу захваченной машины.

Последнюю возможность мы можем выбрать в зависимости от того, хотим мы или нет, чтобы при доступе к серверу работала парольная защита. Для взломщика полезно об этом подумать и предохранить утилиту от доступа посторонних. С точки зрения аудитора, это не слишком хорошо. Вы можете захотеть снова войти на сервер позднее для изменения конфигурации, или вам может понадобиться найти информацию о том, как настроен этот сервер.

Теперь в вашем распоряжении есть сервер, который может работать на атакованной машине. Для его запуска на захваченной машине вы можете использовать любой из методов, о которых мы постоянно говорим в этой лекции: пересылка по электронной почте и т.д. После запуска Sub7 на машине будет открыт порт (TCP 62875). Результат можно увидеть, запустив на захваченной машине netstat.

После того как сервер запущен на атакованной машине (и, возможно, взломщик/аудитор получили автоматическое оповещение об этом), взломщик/аудитор может осуществлять соединение с машиной, используя Sub7 -клиента, как это показано на следующей иллюстрации.


Примечание. Web-страница, представленная на этой стартовой странице, была недоступна, пока писалась эта книга. Авторы нашли программу по адресу http://www.tlsecurity.com.