конецформыначалоформыВ прошлой главе мы рассмотрели как обманывать хакера, а сейчас займемся другим интересным направлением — ниспровержением нападающего. Мы можем предпринять ряд действий для того, что бы уменьшить эффективность действий взломщика и перехватить у него инициативу. Примером этого может служить попытка заставить нападающего с помощью социальной инженерии использовать «отравленные» утилиты, содержащие бэкдоры. Такой подход может в корне подорвать все действия хакера и заодно эксплуатирует и его любопытство, и его лень. Подрывная деятельность может так же использовать для деморализации противника и игре на его чувствах, что может в полной мере использоваться нами в дальнейшем.
В качестве примера возьмем ситуацию в которой эксплоит оснащен «задним проходом» и каждый раз «звонит домой» при использовании — несколько гипотетическая ситуация, конечно. Но представьте, что эксплоит (или утилита) размещен на поддельном сайте на ряду с многими другими, даже реальными, где-нибудь на хакерском сервере в Восточной Европе. Или можно его положить и на открытом сайте и ждать когда хакер скачает и попробует запустить. Это пример использования любопытства — хакер скорее всего выполнит бинарник или эксплоит без его полного анализа, просто посмотреть, что на самом деле он делает. К тому же мы эксплуатируем и человеческую лень, заниматься реверс инжинирингом не слишком веселое занятие.
Такие эксплоиты и утилиты не плод больного воображения. Могу привести пример эксплоита для samb-ы в котором мы обнаружили вызов system(), что довольно необычно для такого рода программ. Посмотрев глубже мы нашли такой фрагмент:
Этот скрипт создает /etc/.mc для ежедневного отчета. Смотрим дальше:
Видно, что каждый раз при использовании программ сохраняет удаленный адрес в выше созданном файле. Раз в день файл пересылается истинному владельцу, тому лишь остается сидеть и наблюдать за распространением своего творения. Естественно, в такой ситуации возможно создание более вредоносных и комплексных бэкдоров, которые позволют перехватить управление машиной хакера, а не просто сообщать о его действиях. Всегда думайте что же вы запускаете!
Обратите внимание, что доклад своему создателю о действиях жертвы — давняя техника, которая используется во многих вредоносных приложениях. Например, можно внедрить ссылку на картинку в почтовый документ или отсылаемую страницу для определения факта прочтения. Спамеры довольно хорошо освоили этот пример и часто им пользуются. Например в письме можно встретить ссылку на такую картинку:
http://emailing.spamme.com/cgi-bin2/flosensing?y=6l0BUf4O0BFA0&Db
Значение 6l0BUf4O0BFA0 используется для слежения за письмом, когда письмо открывается почтовик читает картинку с удаленного сайта посылая определенный набор информации о подопытном клиенте.
Отказ от обслуживания
Наша задача в данной главе — вызвать сбой на стороне атакующего. Это можно вызвать исчерпанием его ресурсов или же «уничтожением» нападающего.
Исчерпание ресурсов
Идею такого противодействия можно найти, например, в проекте LaBrea : это особого рода honeypot, который соединения искусственно держит так долго, что червь не может обрабатывать другие хосты. Однако не будем останавливаться на работе червей, а разберем воздействие эксплоитов. Эксплоит — главное оружие нападения у атакующего, необходимый инструмент даже если есть и обходные пути. Попытаемся же остановить хакера на раннем подступе к нашей системе.