ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.06.2021
Просмотров: 3625
Скачиваний: 3
226
Глава
13.
Методы
и
средства
несанкционированного
получения
...
MS DOS
или
Windows 98
изначально
не
проектировались
для
работы
в
сетях
.
Поэтому
в
них
практически
отсутствуют
развитые
средства
удаленного
доступа
,
а
имеющиеся
средства
представляют
собой
внешние
по
отношению
к
ядру
таких
систем
модули
,
слабо
интегрированные
с
остальными
компонентами
подобных
простейших
ОС
.
Поэтому
,
ес
-
ли
пользователь
АС
,
работающей
под
управлением
такой
ОС
,
как
Windows 98,
соблюда
-
ет
простейшие
правила
безопасности
(
например
,
не
предоставляет
доступ
по
сети
к
фай
-
лам
и
папкам
своего
компьютера
),
его
система
обладает
высокой
степенью
устойчивости
ко
взлому
.
С
другой
стороны
,
большинство
Unix-
подобных
операционных
систем
изначально
проектировались
и
развивались
именно
как
сетевые
операционные
системы
.
Поэтому
такие
системы
часто
для
обеспечения
безопасной
работы
в
сетях
требуют
тщательной
настройки
параметров
безопасности
.
Следует
заметить
,
что
за
редким
исключением
(
например
,
таким
,
как
ОС
OpenBSD),
большинство
современных
ОС
при
настройке
параметров
,
принятых
по
умолчанию
,
яв
-
ляются
небезопасными
с
точки
зрения
работы
в
компьютерных
сетях
.
Поскольку
полное
описание
методов
и
средств
несанкционированного
получения
информации
из
АС
при
удаленном
доступе
может
занять
объем
,
значительно
превы
-
шающий
объем
данной
книги
,
мы
лишь
вкратце
рассмотрим
основные
из
них
,
используя
для
этого
схему
удаленного
проникновения
в
АС
,
которой
пользуется
большинство
зло
-
умышленников
(
рис
. 13.2).
Рис
. 13.2.
Типовая
схема
несанкционированного
получения
информации
из
АС
при
удаленном
доступе
Сбор
информации
На
этапе
сбора
информации
злоумышленник
определяет
пул
IP-
адресов
АС
органи
-
зации
,
доступных
из
сети
общего
пользования
.
Строго
говоря
,
этапы
сбора
информации
,
сканирования
,
идентификации
доступных
ресурсов
и
,
в
какой
-
то
мере
,
получения
досту
-
па
могут
предприниматься
не
злоумышленниками
,
а
обычными
пользователями
(
хотя
,
конечно
,
трудно
назвать
“
обычным
”
пользователя
,
который
сканирует
все
открытые
порты
АС
,
чтобы
всего
-
навсего
отправить
сообщение
электронной
почты
).
Только
сово
-
купность
этих
операций
с
соблюдением
некоторых
условий
(
например
,
массированное
не
-
Удаленный
доступ
227
однократное
сканирование
всего
пула
IP-
адресов
организации
с
попытками
установления
соединений
на
все
открытые
порты
)
может
говорить
о
предпринимающихся
попытках
не
-
санкционированного
получения
информации
.
Каждая
же
из
указанных
операций
сама
по
себе
не
является
чем
-
то
из
ряда
вон
выхо
-
дящим
.
Именно
поэтому
в
комплект
поставки
многих
современных
сетевых
ОС
входят
инструментальные
средства
,
призванные
обеспечить
выполнение
соответствующих
за
-
дач
,
в
частности
,
сбора
информации
.
К
таким
средствам
относятся
стандартные
утилиты
Unix
whois
,
traceroute
(
в
Windows —
tracert
),
nslookup
,
host
,
и
их
аналоги
,
портированные
в
другие
ОС
,
а
также
другие
подобные
средства
,
обладающие
более
дружественным
интерфейсом
(Web-
ориентированные
варианты
whois
, VisualRoute, Sam Spade
и
т
.
п
.).
С
помощью
таких
вполне
безобидных
средств
можно
выяснить
:
•
тип
сетевого
подключения
организации
(
единичный
компьютер
,
сеть
класса
C,
сеть
класса
B);
•
имена
и
адреса
серверов
доменных
имен
(DNS — Domain Name System),
обеспечи
-
вающих
трансляцию
символьных
имен
в
IP-
адреса
по
запросам
АС
организации
;
•
сеть
,
в
которой
установлены
подключенные
к
Internet
АС
организации
(
сеть
провай
-
дера
,
прямое
подключение
и
т
.
п
.);
•
схему
подключения
маршрутизаторов
и
брандмауэров
;
•
реальные
имена
,
телефоны
и
адреса
электронной
почты
администратора
подключе
-
ния
;
•
схему
распределения
IP-
адресов
внутри
сети
организации
и
имена
отдельных
узлов
(
с
помощью
так
называемого
переноса
зоны
с
помощью
утилиты
nslookup
).
Если
сеть
организации
достаточно
обширна
и
в
ней
имеется
множество
компьюте
-
ров
,
подключенных
к
Internet,
тщательно
проведенный
сбор
информации
может
дать
много
других
интересных
для
злоумышленника
сведений
.
Чем
тщательнее
проведен
предварительный
сбор
информации
,
тем
выше
вероятность
успешного
проникновения
в
АС
интересующей
злоумышленника
организации
.
Сканирование
Составив
предварительную
схему
сети
и
наметив
предварительный
перечень
наибо
-
лее
уязвимых
ее
узлов
,
злоумышленник
,
как
правило
,
переходит
к
сканированию
.
Ска
-
нирование
позволяет
выявить
реально
работающие
АС
исследуемой
организации
,
дос
-
тупные
по
Internet,
определить
тип
и
версию
ОС
,
под
управлением
которых
они
работа
-
ют
,
а
также
получить
перечни
портов
TCP
и
UDP,
открытых
на
выявленных
АС
.
Для
проведения
сканирования
в
распоряжении
злоумышленника
имеется
широкий
спектр
инструментальных
средств
,
начиная
от
простейшей
утилиты
ping
,
входящей
в
ком
-
плект
поставки
всех
современных
ОС
,
и
заканчивая
специализированными
хакерскими
ин
-
струментами
,
такими
,
как
fping
, Pinger,
icmpenum
,
nmap
,
strobe
,
netcat
, NetScant-
Tools Pro 2000, SuperScan, NTOScanner, WinScan,
ipeye
, Windows UDP Port Scanner, Cheops
и
множеством
других
.
228
Глава
13.
Методы
и
средства
несанкционированного
получения
...
Вооружившись
этими
или
подобными
инструментами
,
злоумышленник
может
уточ
-
нить
составленную
на
предыдущем
этапе
схему
сети
и
выбрать
АС
,
на
которые
следует
обратить
внимание
в
первую
,
вторую
и
т
.
д
.
очереди
.
Идентификация
доступных
ресурсов
Очертив
круг
АС
организации
,
которые
представляют
собой
для
злоумышленника
наибольший
интерес
,
он
переходит
к
следующему
этапу
—
идентификации
доступных
ресурсов
.
В
большинстве
современных
сетевых
ОС
для
решения
подобных
задач
имеет
-
ся
целый
ряд
инструментальных
средств
,
таких
,
например
,
как
команды
net
,
nbtstat
и
nbtscan
в
Windows NT/2000/XP
и
telnet
,
finger
,
rwho
,
rusers
,
rpcinfo
и
rpcdump
в
Unix.
Кроме
того
,
злоумышленнику
могут
пригодиться
такие
утилиты
,
как
nltest
,
rmtshare
,
srvcheck
,
srvinfo
и
snmputil
(Windows NT/2000/XP Re-
source Toolkit),
а
также
хакерские
утилиты
DumpSec, Legion, NAT,
enum
,
user2sid
,
sid2user
и
netcat
.
Тщательно
проведенная
идентификация
доступных
ресурсов
выбранной
для
несанк
-
ционированного
доступа
АС
может
дать
злоумышленнику
информацию
о
доступных
по
сети
дисках
и
папках
,
о
пользователях
и
группах
,
имеющих
доступ
к
данной
АС
,
а
также
о
выполняющихся
на
этой
АС
приложениях
,
включая
сведения
об
их
версиях
.
Подготовившись
таким
образом
,
злоумышленник
либо
принимает
решение
о
прове
-
дении
попытки
получения
несанкционированного
доступа
,
либо
выбирает
в
качестве
“
жертвы
”
другую
АС
организации
.
Получение
доступа
Если
принято
решение
о
попытке
проникновения
,
злоумышленник
переходит
к
ста
-
дии
активных
действий
,
которые
,
как
правило
,
выходят
за
рамки
простого
любопытст
-
вах
,
а
в
отдельных
случаях
могут
уже
квалифицироваться
как
уголовно
наказуемые
дея
-
ния
.
Целью
операций
,
предпринимаемых
на
данном
этапе
,
является
получение
доступа
на
уровне
легального
пользователя
АС
или
ОС
.
К
таким
операциям
относятся
:
•
перехват
паролей
;
•
подбор
паролей
для
доступа
к
совместно
используемым
сетевым
ресурсам
;
•
получение
файла
паролей
;
•
использование
программ
взлома
,
обеспечивающих
интерактивный
доступ
к
АС
пу
-
тем
перевода
работающих
на
АС
приложений
в
нештатный
режим
.
Часто
для
получения
доступа
злоумышленники
прибегают
к
социальному
инжини
-
рингу
,
побуждая
пользователей
тем
или
иным
способом
установить
на
своих
АС
про
-
граммные
закладки
,
действующие
по
принципу
“
Троянского
коня
”.
Если
это
им
удается
,
например
,
путем
установки
таких
закладок
,
как
Back Orifice
или
SubSeven,
дальнейшее
получение
доступа
к
таким
АС
для
злоумышленников
не
составляет
труда
.
В
тех
случаях
,
когда
злоумышленник
по
каким
-
то
причинам
не
может
или
не
наме
-
рен
манипулировать
пользователями
,
ему
приходиться
обеспечивать
получение
доступа
Удаленный
доступ
229
самостоятельно
.
Для
этого
он
может
применить
такие
средства
,
как
NAT, SMBGrind,
L0phcrack, NT RAS,
winhlp32
, IISHack (Windows NT/2000/XP), Brutus,
brute_web.c
,
pop.c
,
middlefinger
, TeeNet (Unix)
и
множество
специализированных
программ
взлома
,
рассчитанных
на
применения
против
конкретных
приложений
.
Если
АС
предоставляет
удаленный
доступ
к
системе
,
например
,
на
гостевом
уровне
,
злоумышленник
может
предпринять
попытку
применения
методов
и
средств
,
исполь
-
зуемых
при
локальном
доступе
(
например
,
скопировать
файл
паролей
из
небрежно
на
-
строенной
системы
).
Однако
в
некоторых
случаях
злоумышленникам
вообще
не
приходится
что
-
либо
предпринимать
,
а
просто
воспользоваться
“
любезностью
”
легального
пользователя
,
не
-
предусмотрительно
установившего
какую
-
либо
систему
удаленного
доступа
с
настроен
-
ным
по
умолчанию
паролем
(
или
даже
вообще
без
пароля
),
например
pcAnywhere, VNC
или
Remotely Anywhere.
В
последнее
время
особенно
часто
жертвами
злоумышленников
становятся
Web-
серверы
и
работающие
под
их
управлением
приложения
.
Опытному
взломщику
Web-
серверов
достаточно
провести
несколько
минут
за
исследованием
Web-
сервера
,
админи
-
страторы
которого
имеют
поверхностное
представление
о
безопасности
,
чтобы
,
не
при
-
бегая
к
особым
ухищрением
,
получить
доступ
на
уровне
пользователя
(
а
нередко
и
на
системном
или
административном
уровне
),
пользуясь
одним
лишь
стандартным
Web-
клиентом
.
Расширение
полномочий
Если
на
предыдущем
этапе
злоумышленник
получил
несанкционированный
доступ
на
гостевом
или
пользовательском
уровне
он
,
как
правило
,
постарается
расширить
свои
полномочия
и
получить
,
как
минимум
,
административный
уровень
.
Для
этого
в
боль
-
шинстве
случаев
применяются
такие
же
средства
взлома
и
подбора
паролей
,
а
также
программы
взлома
,
что
и
при
доступе
на
локальном
уровне
.
Расширение
полномочий
позволяет
злоумышленнику
не
только
получить
полный
доступ
к
интересующей
его
АС
,
но
и
внести
себя
в
список
легальных
администраторов
,
а
также
,
возможно
,
сразу
же
получить
административный
доступ
к
другим
АС
организа
-
ции
.
Исследование
системы
и
внедрение
Получив
доступ
на
административном
уровне
,
злоумышленник
изучает
все
имею
-
щиеся
на
взломанной
АС
файлы
и
,
найдя
интересующую
его
информацию
,
завершает
несанкционированный
сеанс
связи
либо
,
если
такая
информация
отсутствует
или
целью
проникновения
было
не
получение
информации
,
а
само
проникновение
,
приступает
к
изучению
других
доступных
ему
в
качестве
администратора
взломанной
АС
систем
.
При
этом
процесс
повторяется
,
начиная
с
этапа
идентификации
ресурсов
,
и
заканчи
-
вается
внедрением
в
следующую
АС
организации
и
т
.
д
.,
и
т
.
п
.
Сокрытие
следов
230
Глава
13.
Методы
и
средства
несанкционированного
получения
...
Получение
административного
доступа
также
может
понадобиться
злоумышленнику
в
том
случае
,
если
ему
по
каким
-
то
причинам
нужно
скрыть
следы
проникновения
.
Час
-
то
для
облегчения
своей
задачи
в
будущем
злоумышленники
оставляют
на
подвергших
-
ся
взлому
АС
утилиты
,
маскируя
их
под
системные
файлы
.
Однако
к
таким
приемам
прибегают
только
в
тех
случаях
,
когда
вероятность
обнаружения
взлома
оценивается
злоумышленником
как
очень
высокая
.
В
большинстве
же
случаев
после
первого
успеш
-
ного
проникновения
в
АС
злоумышленник
создает
на
ней
тайные
каналы
доступа
.
Создание
тайных
каналов
К
методам
создания
тайных
каналов
,
с
помощью
которых
злоумышленник
может
по
-
лучать
многократный
доступ
к
интересующей
его
АС
,
относятся
:
•
создание
собственных
учетных
записей
;
•
создание
заданий
,
автоматически
запускаемых
системным
планировщиком
(cron
в
Unix, AT
в
Windows NT/2000/XP);
•
модификация
файлов
автозапуска
(autoexec.bat
в
Windows 98,
папка
Startup,
систем
-
ный
реестр
в
Windows,
файлы
rc
в
Unix);
•
внедрение
программных
закладок
,
обеспечивающих
удаленное
управление
взломан
-
ной
АС
(netcat, remote.exe, VNC, Back Orifice);
•
внедрение
программных
закладок
,
перехватывающих
нужную
злоумышленнику
ин
-
формацию
(
регистраторы
нажатия
клавиш
и
т
.
п
.)
•
внедрение
программных
закладок
,
имитирующих
работу
полезных
программ
(
на
-
пример
,
окно
входа
в
систему
).
Блокирование
Иногда
злоумышленники
,
не
получив
доступа
к
нужной
им
системе
,
прибегают
к
блокированию
(DoS — Denial of Service).
В
результате
подвергнувшаяся
блокированию
АС
перестает
отвечать
на
запросы
легальных
пользователей
,
т
.
е
.
возникает
состояние
“
отказ
в
обслуживании
”.
Причем
далеко
не
всегда
состояние
DoS
АС
является
самоце
-
лью
злоумышленников
.
Часто
оно
инициируется
для
того
,
чтобы
вынудить
администра
-
тора
перезагрузить
систему
.
Однако
нередко
это
нужно
злоумышленнику
,
чтобы
выдать
свою
систему
за
систему
,
намеренно
переведенную
им
в
состояние
DoS.
Наконец
,
в
по
-
следнее
время
состояние
DoS,
от
которого
не
застрахована
ни
одна
современная
АС
,
подключенная
к
Internet,
используется
в
качестве
средства
кибертерроризма
.