В прошлый
раз мы закончили на том, что внедрили сканер
в альтернативный поток и показали как его
можно запустить. Однако это не едиснтвенный
метод, которым можно инициировать запуск.
Еще можно использовать команду Start, которая
проще, или bat-файл. Каждый раз действия
хакеров различаются и, по опыту honeynet,
заранее определить каким путем пойдет
нападающий и что конкретно он будет делать
трудно спрогнозировать. В данном случае мы
используем пакет бесплатных утилит от Sysinternals.
Продолжим исследование пакетов:

Понятно, что в данном случае используется
команда:

psexec.exe c:\compaq\test_file:ipeye.exe 192.168.1.100 -syn -p 139

В данном случае мы используем известный в
лабораторных условиях адрес, однако в
реальных условиях надо было бы произвести
сканирование для поиска других компьютеров.

Из этих пакетов видно, что выполнение
сканера, скрытого в альтернативном потоке
данных, завершилась удачно. Он доложил, что
139 действительно открыт на сканируемой
машине. Этот пример показывает пользу таких
потоков для хакера, причем не только для
него, а для любого, желающего скрыть
необходимую информацию - будь то порнушку
на работе, МР3 или что-то еще.

Как исправить

Посмотрим чем же можно обнаружить
дополнительные потоки и скрытую в них
информацию. Рассмотрим две ситуации - до и
после взлома. В нашем примере рассмотрим
две фриварных утилиты (LADS и lns), которые
покажут нам присутствие взломщика и
спрятанные им данные. Вот что показывают
утилиты на чистой W2K машине:

LADS - Freeware version 4.00
(C) Copyright 1998-2004 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:
size ADS in file
---------- ---------------------------------
Error 32 opening C:\pagefile.sys

The following summary might be incorrect because there was at least one error!

0 bytes in 0 ADS listed

и

lns 1.0 - (c) 2002, Arne Vidstrom (arne.vidstrom@ntsecurity.nu)
- http://ntsecurity.nu/toolbox/lns/

А вот что после:

LADS - Freeware version 4.00
(C) Copyright 1998-2004 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\compaq
size ADS in file
---------- ---------------------------------
32768 C:\compaq\test_file:ipeye.exe
32768 C:\compaq\test_file2:klogger.exe
143360 C:\compaq\test_file3:psexec.exe
86016 C:\compaq\test_file4:pslist.exe

294912 bytes in 4 ADS listed

и

lns 1.0 - (c) 2002, Arne Vidstrom (arne.vidstrom@ntsecurity.nu)
- http://ntsecurity.nu/toolbox/lns/

c:\compaq\test_file
- Alternative data stream [:ipeye.exe:$DATA]

c:\compaq\test_file2
- Alternative data stream [:klogger.exe:$DATA]

c:\compaq\test_file3
- Alternative data stream [:psexec.exe:$DATA]

c:\compaq\test_file4
- Alternative data stream [:pslist.exe:$DATA]

Хорошо видно, что все описанное в статье
было хорошо обработано обеими сканерами.
Используя эти утилиты вы легко сможете все
потоки, существующие на вашем компьютере.
Очень рекомендуется проводить
сканирование на регулярной основе, так как
не все антивирусы могут работать и
обнаруживать данные в дополнительных
потоках. 

Заключение

Дополнительные потоки данных Windows NTFS
действительно угроза, однако ее влияние на
безопасность компьютер можно
минимизировать за счет правильной политики
безопасности. Кроме того потоки можно
довольно просто обнаружить, а значит
побороть. 

Источник: http://www.securityfocus.com/infocus/1822

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии