Черный ход и средства удаленного доступа
Представление о "черном ходе" и средствах удаленного доступа важны для любого профессионала в области безопасности. Для аудитора безопасности, осуществляющего атаку и попытку проникновения, такие средства важны, поскольку они могут быть использованы взломщиками для первого проникновения в безопасную на первый взгляд сеть. Для администраторов систем безопасности знание средств получения данных о системе и потенциальных точек входа в сеть - постоянная задача. Для исследователя инцидентов с нарушением безопасности получение сведений о системе и процесс восстановления должны быть абсолютно понятны, чтобы предпринять законные методы предотвращения попыток вторжения в сеть. Эта лекция посвящена возможностям и средствам, предназначенным для аудиторов безопасности, администраторов и исследователей инцидентов вторжения.
Такие средства лучше всего использовать как вспомогательные инструменты при оценке систем обеспечения безопасности. Некоторые из инструментов, обсуждаемых в этой лекции, могут быть определены системами IDS и средствами выявления вирусов. Поскольку черные ходы и средства удаленного доступа могут распространяться пользователями по невнимательности при входе в сеть, средства, обсуждаемые в этой лекции, помогут проверить, выполняют ли ваши IDS-системы и антивирусные программы свои функции должным образом.
Поскольку некоторые пакеты программного обеспечения удаленного доступа обычно используются с добрыми намерениями, их обычно не относят к средствам взлома. Поэтому большинство детекторов вирусов и систем IDS не обращают внимания на проявления активности таких программ, если они специально на это не настроены. Сообразительный взломщик может использовать средства, разработанные для благих целей, чтобы уклонится от обнаружения. Одна из утилит удаленного контроля/входа через черный ход в этом разделе, предназначенная для работы с "добрыми намерениями" - Virtual Network Computing (VNC).
Другие инструменты были разработаны специально для неправедных целей. Эти программы разработаны и поддерживаются теми, кто относит себя к "подполью". Эти разновидности программ обычно определяются сканерами вирусов, сетевыми и персональными IDS-системами, и, следовательно, зачастую пользуются более изощренными приемами - такими, как изменение механизма, приемы шифрования и изменение параметров - чтобы ввести в заблуждение доминирующие, основанные на определении сигнатур, средства противодействия взломам.
Тем не менее, средства этого типа быстро обнаруживаются детекторами вирусов и IDS-системами с установленными файлами наиболее распространенных сигнатур. Поэтому эти средства используются взломщиками в том случае, когда жертва не отличается хоть каким-то здравым смыслом. Эта лекция охватывает такие средства взлома как Back Orifice, Netbus и SubSeven.
Есть еще средства проникновения через черный ход, которые не относятся ни к одной из этих двух категорий. Эта разновидность программ сложна для определения настолько, что иногда даже невозможно определить политику защиты на будущее. Внимательное изучение того, как работают такие программы, позволит вам понять, как действовали разработчики этих программных средств при преодолении типичных проблем безопасности большого количества систем в интернете. Эти программы могут использоваться любым аудитором с высокой степенью комфорта в области безопасности систем.
Хотя эти программы обычно не определяются детекторами вирусов, они обнаруживаются системами IDS. Однако если эти программы будут использоваться с пониманием, то даже обнаружение деятельности программы не добавит жертве информации. Из программ, обсуждаемых в настоящей лекции, к этой категории относятся Loki, stcpshell и Knark.
VNC
Программа Virtual Network Computing (VNC) была написана в AT&T Laboratories, чтобы обеспечить пользователям полный контроль над удаленным компьютером. Возможности управления, предоставляемые пользователю программой, таковы, как если бы пользователь сидел за консолью свой машины. Программа независима от операционной системы, как для клиента, так и для сервера. Это программное обеспечение работает с большинством версий операционных систем Unix и Windows, а исходные коды программы можно загрузить по адресу http://www.uk.research.att.com/vnc/.
У VNC есть клиентская и серверная части. Сервер размещается на машине, которой вы хотите управлять. Клиент устанавливается на управляющей машине. Следовательно, вы можете установить клиентскую программу на вашей "атакующей" машине, а сервер должен быть установлен на машине "жертве". В отдельных случаях, можно обойтись без клиентской части программы, поскольку VNC также работает, как Web-сервер. Это означает, что сервер может управляться с помощью обычного Web-броузера.
Реализация
Если вашей целью является Windows-машина, то работа может быть компромиссом нескольких способов. Самый простой и наиболее распространенный метод, когда взломщик посылает по электронной почте письмо с замаскированной под почтовое вложение программой VNC. В этом случае VNC используется вместо аналогичных программ входа через черный ход, поскольку детекторы вирусов не определяют VNC.
VNC должна быть установлена и сконфигурирована на машине взломщика до того, как будет заражен сервер-жертва. Программа установки VNC аналогична многим другим программам для Windows. Простой мастер установки поможет вам осуществить инсталляцию.
Предположим, что вы взломщик. После того, как VNC будет установлена, вы можете запустить VNC -сервер, чтобы прошло его первоначальное конфигурирование. В диалоговом окне Current User Properties, доступном в программе VNC "app mode", которая находится в папке Start/Programs/VNC, задайте параметры конфигурации, как это показано на следующем рисунке.
Вам важно знать, что VNC запускается по аналогии с X Window, когда для него инициализируется displays. В данном случае, дисплей номер 0 (ноль) позволяет VNC прослушивать порт 5800 для Web-сервера и порт 5900 для VNC -сервера. Значения этих портов становится понятным из следующего рисунка, на котором взломщик, используя FreeBSD, соединяется с машиной, на которой установлен VNC. Взломщик использует Web-броузер для соединения с портом 5800 по IP-адресу VNC -машины. При этом открывается Web-страница, которая запрашивает у пользователя пароль для входа в систему.
После того как был введен правильный пароль, рабочий стол доступен для взломщика через Web-броузер. Ниже приведена копия экрана DOS-сессии, отображаемой в окне VNC -сессии. Обратите внимание на то, что вы видите то же самое, как если бы вы сидели перед консолью машины. На этом изображении Web-броузер удален с рисунка.
Пока видно, что рабочий стол машины-жертвы отображается у вас на экране в окне Web-броузера. Собственные средства просмотра VNC дают возможность отобразить рабочий стол атакуемой машины и вне окна Web-броузера. Средство просмотра использует вместо порта 5800, как показано на предыдущем рисунке, порт 5900.