CMD-shell на службе у хакера

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-016-6

XCOPY

Основное средство копирования файлов и подкаталогов из одной директории в другую.

Защита от вторжения

Из всего вышесказанного можно сделать вывод, что командный интерпретатор – слишком опасная штука, чтобы держать его на своей машине. Но и удалить его мы не можем – перестанут работать некоторые инсталляторы и программы-оболочки (например, FAR). К тому же, оставлять себя без командой строки – это не выход. Может, попробовать переименовать его? Тогда атакующие программы останутся не у дел! Однако с легальными программами произойдет то же самое, поскольку они определяют имя командного интерпретатора по переменной COMSPEC, а она по умолчанию указывает на C:\WINNT\System32\cmd.exe.

Попробуем переименовать cmd.exe в w2k_commander.exe, соответствующим образом скорректировав переменную COMSPEC. Кликнув по иконке "Мой компьютер" правой клавишей мыши, выберем в контекстном меню пункт "Свойства", в появившемся диалоговом окне ищем закладку "Дополнительно", а в ней – кнопку "Переменные среды". COMSPEC будет расположена среди системных переменных, и для ее изменения необходимы права администратора. Теперь напишем коротенькую программу, выводящую на экран предупреждение о хакерском вторжении, и переименуем ее в cmd.exe. Все!

При всей своей простоте предложенный прием необычайно эффективен. Хакеры и сетевые черви практически никогда не анализируют переменную окружения COMSPEC, поскольку это требует определенного пространства для маневра, а в переполняющихся буферах оно не всегда есть. Вместо этого командный интерпретатор вызывается по его исходному имени cmd.exe, позволяя тем самым обнаружить атаку на самых ранних ее стадиях.

Заключение

Человеку, привыкшему к прелестям графических интерфейсов, командный интерпретатор на первых порах покажется жутко непроизводительным и неудобным. Однако со временем ощущение дискомфорта проходит и курсор начинает биться в такт сердцу компьютерщика :). Операции, ранее отнимавшие чудовищное количество времени, теперь выполняются одним легким пассом над клавиатурой. Известно много случаев, когда люди переходили с графических сред в консольные оболочки, но я не знаю ни одно поклонника командой строки, который променял бы ее на «интуитивно понятный» интерфейс Widows 2000/XP.

Умные советы от Microsoft

XS: Какие дополнительные программы и меры имеет смысл использовать для повышения безопасности Windows? Что бы вы посоветовали пользователю для обеспечения своей безопасности в интернете (конкретные действия, ПО, патчи)?

MS: Первое, что стоит сделать, – установить пакет обновления Service Pack 2 для Windows XP. Для нормальной повседневной работы Microsoft советует соблюдать три шага компьютерной «гигиены»: своевременно устанавливать обновления безопасности, использовать межсетевой экран Windows или третьих фирм, использовать антивирусное ПО с обновленными антивирусными базами.

XS: Какие нашумевшие взломы доставили массу неудобств компании? В чем была их причина и суть реализации?

MS: Нас больше всего волнуют неудобства наших заказчиков, и мы прикладываем массу усилий для облегчения процедур установки исправлений. Microsoft в России и странах СНГ проводит массовое обучение IT-специалистов по вопросам безопасности, и мы надеемся, что эти знания помогут нашим заказчикам обезопасить их инфраструктуру и избежать проблем с безопасностью в будущем. Последние инциденты связаны с несвоевременной установкой необходимых исправлений и c неиспользованием методик безопасной работы. Атаки были реализованы по опубликованным уязвимостям в компонентах операционной системы и эксплуатировали данные уязвимости на тех системах, где не были установлены выпущенные исправления.