Черный ход и средства удаленного доступа
Netbus
Программа Netbus несколько отличается от VNC ; хотя Netbus позволяет лучше контролировать атакуемую машину, у программы нет такого развитого графического интерфейса, как у VNC, и разработана она для не слишком праведных целей. К тому же, большинство детекторов вирусов обнаруживают Netbus, что определяет использование программы только против незащищенных машин. В противном случае эффективно использовать программу трудно.
Вы можете найти Netbus на наиболее популярных Web-сайтах, посвященных компьютерной безопасности, таких как http://www.packetstormsecurity.org, http://www.tlsecurity.com или http://www.securityfocus.com
Реализация
Netbus версии 2 (бета) доступен для всех и содержит большинство необходимых взломщику функций. Сначала Netbus должен быть установлен на машине взломщика, чтобы его можно было сконфигурировать перед заражением жертвы. Инсталляция программы похожа на установку большинства приложений для Windows-систем, и ее можно выполнить, выбрав меню Start/Programs и щелкнув на имени приложения Netbus.
Netbus, также как и VNC, поставляется в комплекте клиент/сервер. Обычно сервер передается на машину жертву с использованием электронной почты, компакт-диска, или аналогичного устройства. Как только сервер запускается, машина оказывается захваченной, какая бы мощная система сетевой безопасности не работала между машиной и клиентом, размещенным на машине взломщика.
Чтобы сконфигурировать Netbus для установки на атакуемой машине, первый раз клиент запускается для модификации исполняемого модуля сервера. Процесс конфигурирования показан ниже.
- В клиентской программе выберите File/Server Setup, как показано на следующей иллюстрации.
- В диалоговом окне Server Setup выберите Server Executable. Исполняемый модуль будет сконфигурирован, чтобы быть установленным на атакуемой машине.
- Найдите исполняемый модуль сервера, который вы хотели бы сконфигурировать. В большинстве случаев вам потребуется конфигурировать исполняемый модуль NBsvr.exe, который поставляется в инсталляционном комплекте Netbus.
- После того как вы нашли исполняемый модуль сервера, который вы хотите сконфигурировать (обычно он располагается в установочной директории), вам необходимо закончить выбор параметров в диалоговом окне Server Setup, как это показано далее. Убедитесь, что вы отметили параметр Accept Connections.
- В поле Run On Port укажите TCP-порт, который может использовать Netbus для ожидания соединения. В данном примере выбран порт 4375, но может быть выбран и любой другой порт из тех, что не заняты на атакуемой машине. Этот порт должен быть доступен любым способом на протяжении всей сети от клиента до сервера.
- Затем выберите параметр visibility. Обсуждаемая программа создана для неправедных целей, поэтому по умолчанию в ней стоит значение Invisible.
- Отметьте Full Access в поле Access Mode. Другие режимы доступа позволяют использовать метод шпионского доступа (Spy Access), который не обеспечивает такого полного контроля, как метод полного доступа (Full Access). Поскольку программа может использоваться для захвата машины в сети с целью аудита, выберите Full Access.
- Наконец, отметьте, что Netbus будет запускаться заново всякий раз, когда машина будет перезагружаться. Обычно этот параметр активизирован.
Сконфигурировав исполняемый модуль сервера, вы можете переименовать его и переслать на атакуемую машину любым доступным способом. Как только исполняемый модуль будет установлен на атакуемой машине, просто запустите его. Сервер Netbus запустится и будет ожидать соединения с клиентом. Ниже приведена иллюстрация, которая показывает атакованную машину с адресом 192.168.1.100, прослушивающую порт 4375.
Конфигурирование клиента также несложно.
- Вновь запустите клиент Netbus и выберите Host/Add. Вы увидите диалоговое окно похожее на это.
- Введите здесь атакуемый IP-адрес и TCP-порт, который на нем прослушивается. В нижней части окна конфигурации подставьте пароль, который первоначально был введен в исполняемый модуль сервера.
- Выберите OK, чтобы добавить атакуемый хост в список доступных серверов.
Это простой способ сделать хост видимым в списке серверов, но вы можете добавить в список сотни серверов, выбрав Host/Find на первом шаге. Эта команда конфигурирует клиент для работы в режиме сканирования, когда проверяется список IP-адресов для заданного порта, и определяются любые работающие серверы Netbus. Этот параметр может быть использован системным администратором для попыток определения таких серверов в своей сети.
Следующие шаги выполняются для установки соединения клиента Netbus с атакуемой машиной, на которой установлен сервер.
- В основном окне клиента Netbus выберите требуемый IP-адрес.
- Выберите Host/Connect.
- Если установленный вами пароль правильный, и сервер доступен, то вы увидите сообщение о соединении, которое выглядит так.
- После того как вы установили соединение с сервером, на атакованной машине может выполняться весь спектр команд. Из меню Control вы можете получить доступ к некоторым доступным параметрам.
После того как Netbus установлен, вы можете выполнять две задачи: исследовать файловую систему и перенаправлять TCP-порты через систему безопасности. Обе задачи можно выполнять с использованием возможностей, предоставляемых клиентом. Как использовать Netbus после его установки - решать взломщику или аудитору.