С петлей на шее

Анализирующий

Спецвыпуск Xakep, номер #040, стр. 040-084-1

(analyst1945@mail.ru)

Windows-скрипты на службе сил зла

Многие юзеры, продвинутые пользователи, и даже «Администраторы», установив новую операционную систему, настроив всевозможные файрволы и поставив обновления, думают, что теперь система надежно защищена, и можно откинуться на спинку кресла. Развеять это заблуждение мы и попытаемся в этой статье.

Встроенные средства автоматизации windows

Для облегчения жизни замученных работой сисадминов, компания Microsoft создала и успешно внедрила в линейку операционных систем Windows (начиная с 98 версии) сервер сценариев Windows Script Host (WSH). Основная задача WSH – интерпретация и выполнение сценариев (скриптов), написанных на языках VBScript и Jscript. Сервер сценариев состоит из файлов cscript.exe для командной строки и wscript.exe – для графического режима. Сами сценарии располагаются в файлах в текстовом формате, что предельно упрощает их создание и редактирование. Выполнение скриптов происходит прозрачно для пользователя, без диалоговых окон и выдачи сообщений, конечно, если это не было заранее предусмотрено.

Возможности сценариев

Возможности административных скриптов огромны: помимо доступа к реестру, файловой системе и специальным папкам, они могут запускать процессы (в том числе и службы) и контролировать ход их выполнения как на локальной, так и на удаленных машинах, получать доступ к базам данных, поддерживаемых интерфейсом ADO, работать со службой каталогов Active Directory и управлять системой через WMI. Использование интерфейса модели компонентных объектов COM и компонентов ActiveX, на которые опирается Windows, позволяет использовать всю мощь программных пакетов, поддерживающих эти технологии. Ярким примером могут служить продукты Microsoft Office (отсюда - обилие макровирусов) или же Corel Draw (макровирусов для этого пакета значительно меньше, но все же они существуют). Замечен в лояльности к WHS также и Virtual CD-ROM компании H+H Software. Простота языка и описанные возможности сделали VBScript одни из самых любимых инструментов кибертеррористов (стоит вспомнить знаменитых червей «Анна Курникова» и «I Love You»). И даже если ты скажешь: «Я всякую дрянь из интернета не скачиваю!» - я отвечу - а этого и не надо! Достаточно посетить определенную web-страничку, просмотреть пришедшее письмо или открыть офисный документ, чтобы на винчестере появился небольшой и незаметный, однако от этого не менее деструктивный файл. Дыр в ПО еще никто не отменял, а встроенные средства защиты оставляют желать лучшего. В том же Microsoft Office защита от макросов отключается элементарным редактированием ключей реестра. Что касается антивирусов, файрволов и других защитных средств, то их можно выключить или «временно приостановить» средствами все тех же сценариев. Даже если на подозрительное действие обратит внимание средство защиты, типа Agnitum Outpost Firewall, то поймает оно не сценарий, а именно ту программу, которой он воспользовался. Сам же «доброжелатель» останется незамеченным.

Что они со мной сделают???

Какие же цели может преследовать злоумышленник? Ответ прост: любые, что придут ему в голову. Современные средства автоматизации предоставляют широкий спектр возможностей. Например, можно открывать сетевой доступ к системному диску по пятницам с 17.00 до 18.00 или создать пользователя в группе администраторов. В итоге посещение сайта конкурента, скачанный с него прайс, или просто оставленный без присмотра компьютер может обернуться резким падением прибыли предприятия, и даже подозрительной осведомленностью работников налоговых органов.