Windows – дом хакера

Докучаев Дмитрий aka Forb

Спецвыпуск: Хакер, номер #048, стр. 048-066-4

HKEY_USERS\S-1-5-21-329068152-484763869-839522115-500\Software\RealVNC

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

HKEY_CURRENT_USER\Software\RealVNC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1

HKEY_USERS\S-1-5-21-329068152-484763869-839522115-500\Software\Microsoft\Windows\CurrentVersion\Applets\Reedit

HKEY_USERS\S-1-5-21-329068152-484763869-83952 2115-500\Software\RealVNC

Теперь запускаем команду regedit /e 1.reg НАЗВАНИЕ_ПЕРВОГО_РАЗДЕЛА. Когда с первой вкладкой будет покончено, экспортируем вторую в файл 2.reg. И так до конца. Программисты Microsoft не позаботились о том, чтобы regedit понимал несколько веток в одной командой строке, поэтому работа может показаться нудной :). Когда вся информация окажется экспортирована, составляем из нескольких информационных документов один-единственный vnc.reg. Благодаря тому что все данные представлены в текстовом виде, у не возникнет проблем со склеиванием файлов.

Вроде бы все готово к переносу. Создаем на удаленном сервере каталог, в точности совпадающий с тем, который мы вписали в окно инсталлятора. Теперь синхронизируем эти директории. Остался последний шаг – импорт данных реестра. Ведь vncconfig записал пароль в специальную ветку. Но не все так плохо, ведь мы только что экспортировали все данные по продукту VNC. Закачиваем vnc.reg на машину, а затем запускаем regedit с параметрами «/s vnc.reg». Опция /s помогает избежать запроса на добавление (подумай, как можно нажать OK в консоли? :)). Таким вот образом важные данные попадают в удаленный реестр. Теперь ничто не мешает запустить vncwin4.exe на удаленном сервере.

Настало время проверить проделанную работу: стартуем vncviewer.exe и указываем хост сервера с нулевым портом (например, 195.55.55.55:0), затем вводим нужный пароль и видим полноэкранный графический интерфейс. Теперь можно работать с сервером с помощью клавиатуры и мыши, а также запускать ресурсоемкий графический софт!

Атака ботами

Я совсем не упомянул про DoS-атаки. Ведь многие хакеры ищут дырявые машины, чтобы поставить на них специальный боевой софт. В наше время большую популярность набирают так называемые «боты». Бот – это не просто робот, сидящий в IRC. Хакерские боты отличаются интеллектом. Они умеют размножаться, осыпать жертву ICMP-запросами и SYN/ACK-пакетами, искать баги в интернете, подключать плагины и многое другое. Хакеру достаточно запустить один-единственный файл, и тут же бот распакует себя, запустит скрытый mIRC, приконнектится к нужному серверу и будет ждать команд хозяина. Кстати, прежде чем опознать хозяина, бот попросит у него сложный пароль и потребует совпадения хоста и идента.

Что касается поиска багов и саморазмножения, то тут все просто. Вероятно, ты знаешь, что такое авторутер. Точно такой же механизм интегрирован в обычного mIRC-бота. По требованию хозяина запускается сканер, ищущий баг в DCOM/lsass-сервисах (а также другие виндовые бреши). После того как баг успешно проэксплуатирован, бот сам себя заливает на машину и распаковывает. Новорожденный «младенец» забирается на тот же IRC-сервер, где обитает его папа :), и присоединяется к злодеяниям. Учитывая масштаб эпидемии на RPC-фронте, число таких ботов может достигать десятков тысяч. А теперь представь, что все они нападут на сервер со средним каналом. Машина просто не справится с большим напором и сразу же уйдет в даун.