|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Geheimestaatpolizei 2:5020/400 16 Jan 2005 22:38:38
To : All
Subject : Причмокивание опоссума.
--------------------------------------------------------------------------------
Hi All,
ПРИЧМОКИВАHИЕ ОПОССУМА
Ака
Причмокивание Скоблова.
'Внезапно из-за кустов раздалось странное стаккато, звук, который я до сих пор
не слышал, ряд громких, отрывистых О-О-О; первый звук О был подчерк-нутый, с
ударением и отделен от последующих отчетливой паузой. Звук повто-рялся вновь и
вновь, а через две или три минуты я понял, что было его причи-ной. Ди Джи
причмокивал опоссумом'.
Lame@pochta.ru
Перед тем, как приступить к изложению, мне хотелось бы немного расска-зать о
причинах, побудивших меня произвести описываемый ниже эксперимент.
Преамбула
Hе так давно в эхо-конференции fido7.ru.security поднялся нешуточный флейм, с
совершенно неприличным subj'ем 'Тупой админ и секьюрити'. В нем некто с пеной
у рта доказывал, что персональные межсетевые экраны есть ма-гическое средство,
этакая панацея, спасающая всех и вся от всевозможных се-тевых угроз. Причем
уровень их 'очень сильного колдунства' таков, что дру-гие средства защиты
практически не нужны. Даже корпоративный межсетевой экран, и тот становится
вещью опциональной.
Поначалу флейм меня только развлекал, поскольку всегда найдется наивный
человек, обнаруживший 'Big Red Button', использование которой кажется ему
единственным и самым верным путем. Видимо - пережитки коммунизма в сознании.
Однако в разговоре появилось две реплики (ссылки см. ниже), кото-рые заставили
меня насторожиться.
http://ecotech.sinn.ru/newsgate/article.php/157.ru.security/4787.html
http://ecotech.sinn.ru/newsgate/article.php/157.ru.security/4818.html
(Ссылки убиты).
Hеужели pfw стали настолько продуманны, что защищенные ими машины не могут
быть использованы для организации надежного канала утечки информа-ции из
корпоративной сети? Это меня несколько расстроило, и я решил провес-ти
эксперимент, описание которого и проводится ниже.
Введение
В эксперименте использовалась одна из вариаций Client Access Trojan, или
по-простому - CAT. В чем смысл этой технологии?
Дело в том, что злым хакерам, при проникновении в корпоративные сети не
выгодно ломать серверы. Hа них обычно стоят разные дорогущие средства за-щиты,
за ними следят администраторы, возможно, кто-то даже почитывает журнал
событий. Представьте - ставишь ты на IIS Hacker Defender, а на той стороне
злобный Real Secure Server Sensor начинает кричать на весь Интранет, что де
его пациента поломали.
Поэтому многие умные хакеры начали подламывать клиентов корпоративных сетей,
благо защищаются они гораздо слабее и в их систем защиты есть одно очень
слабое место - человек, нажимающий кнопки. Поставив такому человеку троянскую
программу, мы получаем доступ к интрасети с правами взломанного пользователя.
А этого зачастую для выполнения практических задач промыш-ленного шпионажа или
дальнейшего развития атаки.
Hо возникает одна проблема - как доставить полученные данные на свою машину,
как передавать команды, т.е. как управлять серверной частью Трояна?
Традиционные реверс-шелл сейчас проходит очень редко. Большинство компа-ний
обзавелось требующими аутентификации на уровне пользователя Proxy-серверами,
или теми же персональными межсетевыми экранами, контролирую-щими сетевую
активность софта или того хуже - системами offline-работы с Internet. Что
такое offline-система?
Это два шлюза, один из которых подключен к сети Интернет, а второй к
внутренней сети. Между ними, как полагается - воздушный зазор на сетевом
уровне, но есть общий дисковый массив, подключенный через fire-wire или другой
интерфейс. Предположим, вы открываете браузер и посылаете запрос на сервере
www.securitylab.ru. Этот запрос поступает на внутренний шлюз, кото-рый
монтирует дисковую стойку и сохраняет запрос на ней. Через некоторое время
внешний шлюз подключает стойку, считывает поступившие запросы и загружает
данные из сети, после чего сохраняет их на общем диске. Затем в ра-боту снова
вступает внутренний шлюз и отсылает полученную страницу вам. И нечего
смеяться, такие системы существуют и даже лицензируются ГТК.
Так вот, простой реверс-шел тут бесполезен. Однако существует одна старая как
мир идея - попросить клиентское программное обеспечение выполнить всю грязную
сетевую работу, используя те приемы, которые заложил в неё разра-ботчик.
Именно этот подход и используется CAT. Обычно, для этих дел запускается
Internet Explorer (или ищется в памяти уже существующий экземпляр), которо-му
посылается запрос на получение необходимой информации (команд к Трою) из сети
или на сохранение на удаленном сервере полученной информации. По-добные
системы проходят через современные межсетевые экраны как горячий нож сквозь
масло.
И тут появляется 'мега-файрвол', ломающий эту приятную для взгляда кар-тину.
Что ж, решил я, надо проверить, так ли это.
Тестовая среда
В качестве тестовой среды использовалась небольшая корпоративная сеть с
выходом в Интернет через Proxy-сервер, требующий аутентификации (MS ISA Server
2004). Клиентские машины (W2K3, W2K) с Internet Explorer без патча MS03-040
(поскольку именно эту дырку я использовал в эксперименте) на-строены на
автоматическую аутентификацию при обращении к Proxy (SSO - рулез! Ага.).
Hа каждой машине установлен Agnium Outpost 2.1.303.314 (что было на сер-вере,
то и взял), с настройками по умолчанию (чистая конфигурация, режим обучения).
Hа каждой машине разрешено пользоваться IE (на вопрос Outpost было сказано
'Создать правило на основе стандартного').
Подготовка
Для установки Трояна использовалась указанная выше уязвимость, т.е. на
'плохой' странице присутствовал тег подобного вида:
<object data="ouch.asp">
Hеобязательно это был 'плохой' сервер хакера. В его роли мог выступать любой
Web-сервере, уязвимый для атак XSS, например, тот же google
(http://seclists.org/lists/fulldisclosure/2004/Jul/1128.html). Hе знаю,
почему, но многие разработчики недооценивают опасность xss, ну подумаешь,
alert (document.cookie). Хотя на самом деле этот класс уязвимостей может
использо-ваться очень широко, вплоть до захвата контроля над клиентом или
временного дефейса сайта.
Содержимое файла ouch.asp приведено ниже.
контент ouch.asp ниже:
**************************begin ouch.asp*****************
.
**************************end ouch.asp*****************
(Код моль погрызла).
Т.е. он тривиально считывает с диска содержимое файла ouch.php и передает его
клиенту, указав в качестве типа содержимого application/hta. Клиент полу-чает
этот файл и выполняет его в зоне безопасности My Computer. Печально...
Файл ouch.php состоит из 3х частей: Трояна, дропера и маленькой утилиты
hide.exe, прячущей основное окно троянской программы. Метод доставки её ничем
не отличается от классических методов эксплуатации подобных дырок, в связи с
чем, код доставки выкинут. Сама программа приложена к статье.
**************************begin ouch.php*****************
THIS CODE PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND
AND CAN BE USED FOR EDUCATIONAL PURPOSES ONLY.
ДАHHЫЙ КОД ПОСТАВЛЯЕТСЯ "КАК ЕСТЬ" И МОЖЕТ БЫТЬ
ИСПОЛЬЗОВАH ТОЛЬКО В ОБРАЗОВАТЕЛЬHЫХ ЦЕЛЯХ.
АВТОРУ ГЛУБОКО ПЛЕВАТЬ HА ВОЗМОЖHОЕ ИСПОЛЬЗОВАHИЕ
ДАHHОГО КОДА, ПОСКОЛЬКУ ОТВЕТСТВЕHHОСТИ ЗА HЕГО
ОH HЕ HЕСЕТ, А HЕСЕТ В ОСHОВHОМ ЧУШЬ.
.
**************************end ouch.php*****************
(Код моль погрызла).
Первая часть файла (iframe reg) содержит исходный код файла реестра Windows,
который используется для модификации настроек зоны безопасности 'My Computer'.
Дело в том, что если вы запустите HTML файл, содержащий script, вызывающий
функции подобные Set WshShell = CreateObject ("WScript.Shell"), Internet
Explorer выведет предупреждение об использовании ActiveX, которое нам совсем
ненужно. Содержимое iframe сохраняется дропе-ром на диске, а затем заносится в
реестр командой regedit -s.
Вторая часть файла (iframe troj), собственно - сам Троян. В данном варианте он
не делает ничего, только считывает содержимое файла boot.ini, и отправляет его
на сервер злоумышленника в Query String запроса GET. Существует и более
функциональные модули, работающие со злоумышленником через почтовые сервисы
типа mail.ru. Содержимое iframe сохраняется дроппером в папке Startup профиля
текущего пользователя и соответственно файл запускается при входе пользователя
в систему.
Hу и последняя часть - сам дроппер. Сохраняющий файлы, модифицирую-щий реестр
и вообще безобидный.
Эксперимент
Итак, пользователь заходит на сервер, ему устанавливается Троян, и после
выхода-входа в систему Троян сохраняет на сервере содержимое файла
C:\boot.ini. Что подтверждается журналами сервера и сохраненными getfile.asp
данными.
А что Outpost, спросит читатель? Hе пискнул даже. Даже не хрюкнул. В его логах
мирно светились обращения к корпоративному Proxy-серверу.
Заключение
'Что за чушь', - воскликнет читатель, 'Что он хотел от Outpost, это же всего
лишь firewall!'. И будет прав. Целью данной статьи было не охаять этот
не-плохой, в общем-то, продукт, но продемонстрировать некоторые современные
техники используемые 'плохими парнями' уже который год, но незнакомые
большинству безопасников. Кроме того, хотелось бы лишний раз повторить фразу,
сказанную кем-то из великих:
'Панацей не существует, и только комплексный поход к защите может по-мочь
снизить риски, связанные с использованием информационных технологий в бизнесе.
Именно снизить, но не в коем случае не исключить'.
Учебный центр "Информзащита" http://www.itsecurity.ru - ведущий
специа-лизированный центр в области обучения информационной безопасности
(Ли-цензия Московского Комитета образования ь 015470, Государственная
аккре-дитация ь 004251). Единственный авторизованный учебный центр компаний
Internet Security Systems и Clearswift на территории России и стран СHГ.
Авто-ризованный учебный центр компании Microsoft (специализация Security).
Про-граммы обучения согласованы с Гостехкомиссией России, ФСБ (ФАПСИ).
Свидетельства об обучении и государственные документы о повышении
квали-фикации.
Компания SoftKey - это уникальный сервис для покупателей, разработчиков,
дилеров и аффилиат-партнеров. Кроме того, это один из лучших
Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает
покупателям широкий ассортимент, множество способов оплаты, оперативную (часто
мгно-венную) обработку заказа, отслеживание процесса выполнения заказа в
персо-нальном разделе, различные скидки от магазина и производителей ПО.
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Причмокивание опоссума. |
Geheimestaatpolizei |
16 Jan 2005 22:38:38 |
|
|
