Жесткий тест файрволов

Deeoni$

Спецвыпуск: Хакер, номер #058, стр. 058-044-3

Copycat (http://mc.webm.ru) делает то же самое, что и Thermite, но не создает поток для своего кода. Испытание пройдено успешно всеми.

Далее в нашем арсенале появляется Wallbreaker (www.firewallleaktester.com). Утилита проводит четыре теста. Первый использует explorer.exe для вызова IE. Таким образом, получается, что браузер запустила не "вредоносная" программа, а проводник, и в случае доверия к нему со стороны файрвола информация с компьютера просочится в Сеть. Второе испытание по-хитрому запускает IE. Как сказал разработчик, "Это достаточно известная шутка, но многие firewalls на ней прокалываются". Третий тест – это модификация первого, но для вызова IE он использует следующую цепочку: Wallbreaker.exe-> cmd.exe-> explorer.exe-> iexplore.exe. Четвертый - расширение третьего теста. Wallbreaker, установивший запланированную задачу, использует AT.exe, который в свою очередь выполнит задачу через svchost. Цепочка такова: Wallbreaker.exe-> AT.exe-> svchost.exe-> cmd.exe-> explorer.exe-> iexplore.exe. Для добавления задания создается bat-файл с произвольным именем. Чтобы тест полноценно сработал, нужно чтобы планировщик задач Windows был запущен. Правда, ничто не мешает сделать это какой-нибудь вредоносной программе самой. Четвертое испытание провалили все, а Outpost ухитрился осрамиться на втором.

Теперь мы попробуем провернуть фокус с саморестартингом. В этом нам поможет Ghost (www.firewallleaktester.com). Когда мы запускаем какое-нибудь приложение, для которого не установлены правила доступа в Сеть, файрвол при помощи WinAPI-функций получает PID и имя процесса, приостанавливает его и предлагает пользователю выбрать его дальнейшую судьбу. Ghost же, как только передает сведения о себе, сразу "убивает" себя и тут же снова стартует. Затем он запускает IE и передает на сервер указанную в начале теста строку. Если файрвол не следит за дочерними процессами или просто не успевает сработать вовремя, мы будем лицезреть страничку с наполовину затертыми IP-адресами таких же счастливых обладателей сетевых экранов. Это серьезное испытание прошли все: и ZoneAlarm, и Outpost, и Kerio Personal Firewall.

Следующая программа называется DNS tester (www.klake.org/~jt/dnshell). В операционных системах w2k/WinXP имеется сервис DNS-клиента, который выполняет все DNS-запросы. Само собой, файрвол должен доверять этой службе (svchost.exe) по умолчанию, иначе для серфинга нам пришлось бы запоминать не имена сайтов типа www.xakep.ru, а их IP-адреса. DNS tester использует эту службу, чтобы передать данные на сервер (вовсе не DNS). Троянцы вполне могут послать пароли и еще что-нибудь своему хозяину. Как ни проста и ни опасна такая идея, сопротивляться программе, реализующей ее, смог только ZoneAlarm.

Последней внутренней проверкой стал Surfer (www.firewallleaktester.com/leaks/surfer.exe). Утилита создает скрытый десктоп, затем запускает в нем IE, не передавая ему никакого url'а. После этого стартует новая копия IE, а первая уничтожается. Протокол url передается через DDE новой копии браузера. Все эти хитрые манипуляции были сделаны потому, что многие файволы контролируют прямой вызов ShellExecute или CreateProcess. Как оказалось, не зря мучились авторы утилиты: Outpost завалил финальный экзамен, а Kerio и ZoneAlarm устояли.