нагибаем AOL/MSN

ВОЛЬФ ДАНИЯР AKA PAYHASH

Спецвыпуск: Хакер, номер #063, стр. 063-108-1

[AOLHACKERS.RU]

НОВЫЙ ВЗГЛЯД НА УДАЛЕННОЕ АДМИНИСТРИРОВАНИЕ

СОВРЕМЕННЫЕ КОНЦЕПЦИИ OLD SCHOOL-ХАКИНГА ТРЕБУЮТ КОНЦЕПТУАЛЬНО НОВЫХ ВЗГЛЯДОВ, ВЕЯНИЙ И МЫШЛЕНИЯ В УДАЛЕННОМ УПРАВЛЕНИИ HACKED BOX. ОБ ЭТОМ И ПОГОВОРИМ

Постараемся рассмотреть, как мне кажется, один из новых методов удаленного администрирования, который сильно отличается от классического метода теневого администрирования взломанной машины. Пока не существует определенного термина, но я буду называть этот метод так: Remote Control In Official Internet Services, или RCIOIS.

RCIOIS — удаленное управление внутри официального интернет-сервиса. Два года я исследовал работу одного из продуктов от AOL/ICQ, поэтому буду приводить примеры именно по этому сервису, но моя статья касается и других интернет-служб, таких как MSN, Jabber, AIM, etc. Я не имею ничего против самой конторы AOL и ее продуктов! И несмотря на это хочу показать, как использовать в корыстных целях ICQ-подобные службы, которые бесплатно предоставляются подобными AOL/MSN-конторами. Может быть, после прочтения статьи ты найдешь, над чем задуматься.

Чтобы не повторяться, рассмотрим TOC-протокол, описанный в сентябрьском Спеце за 2005-й год (#9/58), — рекомендую поднять архив именно этого номера, чтобы основательно разобраться в протоколе.

Возьмем классический контроль надо удаленной системой: взламываешь машину, вешаешь на нее сервис для удаленного контроля, подключаешься к сервису, используешь машину в своих целях. Классика!

Теперь — нетрадиционный метод, который, в принципе, предусматривает все то же самое, но, в отличие от классического метода, подразумевается наличие в цепи машины-посредника, которая выполняет функции управляющего элемента, к примеру — наличие сервера ISP. Цель такой машины — управляющий интерфейс между жертвой и хакером. Хакер отсылает команды на сервер, сервер передает их на конечные управляемые поинты. Отследить хакера и доказать его причастность к данному механизму сложно — вот в чем состоит все отличие нетрадиционного метода от классического.

Могу предложить еще один способ удаленно-теневого администрирования системы. Итак, метод RCIOIS — частный случай второго метода удаленного теневого администрирования, при использовании RCIOIS-метода применяются уже существующие официальные интернет-сервисы.

Метода RCIOIS имеет серьезные перспективность и преимущества: хакер получает повышенную защиту от обвинений в несанкционированном использовании удаленной системы. Во втором же случае, чтобы управлять удаленной системой, нужно плюс ко всему взломать «сервер посредник» или оплатить hosting-провайдера, что мешает заметать хакерские следы и вообще сеет ненадежность. RCIOIS же легализирует присутствие в сети — вся работа идет внутри официальных служб, и следов практически не остается.

Представь, что ты подключился к сети интернет через твой ISP, запустил ICQ-, MSN-, Jabber-клиент, а в списке контактов вместо твоих друзей/недругов оказались контакты машин, над которыми ты имеешь контроль. Так вот вместо текстовых сообщений на эти машины ты отправляешь cmd- или shell-команды, а к тебе возвращаются вполне полноценные терминал-ответы на выполненные команды. Даже если жертва обнаружит постороннюю сетевую активность, то только от серверов, предоставляющих ICQ-, AIM-, MSN-, Jabber-службы и активные сетевые сессии, — только от этих серверов! На самом деле такая «оплошность» влечет за собой серьезную тенденцию, которая народилась в теневом управлении системой, — очень скоро хакеры и не только хакеры с успехом начнут пользоваться ей на практике.