Продолжение, начало вы можете обнаружить тут.
Подрывная деятельность
В прошлой главе мы рассмотрели как
обманывать хакера, а сейчас займемся другим
интересным направлением - ниспровержением
нападающего. Мы можем предпринять ряд
действий для того, что бы уменьшить
эффективность действий взломщика и
перехватить у него инициативу. Примером
этого может служить попытка заставить
нападающего с помощью социальной инженерии
использовать "отравленные" утилиты,
содержащие бэкдоры. Такой подход может в
корне подорвать все действия хакера и
заодно эксплуатирует и его любопытство, и
его лень. Подрывная деятельность может так
же использовать для деморализации
противника и игре на его чувствах, что может
в полной мере использоваться нами в дальнейшем.
В качестве примера возьмем ситуацию в
которой эксплоит оснащен "задним
проходом" и каждый раз "звонит домой"
при использовании - несколько
гипотетическая ситуация, конечно. Но
представьте, что эксплоит (или утилита)
размещен на поддельном сайте на ряду с
многими другими, даже реальными, где-нибудь
на хакерском сервере в Восточной Европе.
Или можно его положить и на открытом сайте и
ждать когда хакер скачает и попробует
запустить. Это пример использования
любопытства - хакер скорее всего выполнит бинарник или эксплоит без его полного
анализа, просто посмотреть, что на самом
деле он делает. К тому же мы эксплуатируем и
человеческую лень, заниматься реверс инжинирингом
не слишком веселое занятие.
Такие эксплоиты и утилиты не плод
больного воображения. Могу привести пример
эксплоита для samb-ы в котором мы обнаружили
вызов system(), что довольно необычно для
такого рода программ. Посмотрев глубже мы
нашли такой фрагмент:
Этот скрипт создает /etc/.mc для ежедневного
отчета. Смотрим дальше:
Видно, что каждый раз при использовании
программ сохраняет удаленный адрес в выше
созданном файле. Раз в день файл
пересылается истинному владельцу, тому
лишь остается сидеть и наблюдать за
распространением своего творения.
Естественно, в такой ситуации возможно
создание более вредоносных и комплексных
бэкдоров, которые позволют перехватить
управление машиной хакера, а не просто
сообщать о его действиях. Всегда думайте
что же вы запускаете!
Обратите внимание, что доклад своему
создателю о действиях жертвы - давняя
техника, которая используется во многих
вредоносных приложениях. Например, можно
внедрить ссылку на картинку в почтовый
документ или отсылаемую страницу для
определения факта прочтения. Спамеры
довольно хорошо освоили этот пример и часто
им пользуются. Например в письме можно
встретить ссылку на такую картинку:
http://emailing.spamme.com/cgi-bin2/flosensing?y=6l0BUf4O0BFA0&Db
Значение 6l0BUf4O0BFA0 используется для
слежения за письмом, когда письмо
открывается почтовик читает картинку с
удаленного сайта посылая определенный
набор информации о подопытном клиенте.
Отказ от обслуживания
Наша задача в данной главе - вызвать сбой
на стороне атакующего. Это можно вызвать
исчерпанием его ресурсов или же "уничтожением"
нападающего.
Исчерпание ресурсов
Идею такого противодействия можно найти,
например, в проекте LaBrea:
это особого рода honeypot, который соединения
искусственно держит так долго, что червь не
может обрабатывать другие хосты. Однако не
будем останавливаться на работе червей, а
разберем воздействие эксплоитов. Эксплоит -
главное оружие нападения у атакующего,
необходимый инструмент даже если есть и
обходные пути. Попытаемся же остановить
хакера на раннем подступе к нашей системе.
Продолжение: