Иллюстрированный самоучитель по защите в Интернет

Атаки с использованием вложений

Одной из наиболее удобных особенностей электронной почты является возможность вставки в сообщения файлов. Однако это удобство, позволяющее сэкономить время, имеет и очевидные отрицательные стороны, а именно: у пользователей появляется непреодолимая тяга запустить чуть ли не каждый файл, полученный по электронной почте. Кажется, никому не нужно напоминать, что это равносильно приглашению к себе в гостиную плохих парней.

В последующих разделах обсуждаются многие виды атак, основанных на использовании файлов, вставленных в электронные сообщения. Существует ряд механизмов, позволяющих замаскировать истинные цели файла-вложения или придать ему притягательную форму, при которой палец жертвы сам тянется к кнопке мыши. Некоторые из описанных видов атак являются намного более коварными, когда вложенный файл записывается на диск без какого бы то ни было участия со стороны пользователя и его уведомления. Большинство пользователей Internet понимают, что с вложениями электронной почты нужно обращаться крайне осторожно и с большой долей скептицизма. Авторы надеются, что следующий раздел окончательно утвердит их в этом мнении.

Взлом с использованием в качестве вложений файлов-оболочек

Малоизвестным секретом системы Windows является то, что у файлов с расширением .SHS их реальное расширение по умолчанию скрыто в соответствии с параметром системного реестра HKEY_CLASSES_ROOT\ShellScrap\NeverShowExt. Очевидно, что в этом не было бы ничего особенного, если бы эти файлы.SHS, также известные как объекты Shell Scrap Objects, не обладали возможностью запускать команды. Основанные на технологии Object Linking and Embedding (OLE), обсуждавшейся в разделе, посвященном элементам управления ActiveX, эти файлы являются, по существу, оболочками для других внедренных объектов.

Такими объектами могут быть электронные таблицы Excel (большинство читателей знают, что их можно помещать в документы Word) или файлы другого типа. Самый простой способ создать такой файл – это поместить какой-либо файл в другое приложение, поддерживающее технологию OLE (например, Wordpad), а затем скопировать его пиктограмму в другую папку. Теперь файл, который мы вставляли, содержится в своем собственном файле-оболочке, имеет свою пиктограмму и уникальное расширение (SHS). При запуске файла SHS помещенный в него объект запускается вместе с ним. Более того, с помощью компонента Microsoft Object Packager с вложенным объектом можно связывать команды, что открывает новые возможности для тех, кто хоть немного знаком с DOS.

В июне 2000 года неизвестным злоумышленником был запущен "червь", получивший название LifeChanges. Его работа основывалась на описанных свойствах файлов. SHS. Этот "червь" направлялся в виде электронного сообщения с изменяющейся строкой темы, которая указывала на то, что во вложении находятся анекдоты. Файл вложения на самом деле был файлом. SHS с обманным расширением.ТХТ, которое делало его похожим на обычный текстовый файл (даже установленная по умолчанию пиктограмма этого файла была похожа на пиктограмму текстового файла). После запуска LifeChanges выполнял стандартные действия: рассылал себя по почте первым 50 адресатам из адресной книги жертвы, удалял файлы и т.д. Очень интересно было наблюдать, как кто-то выбрал основой для взлома коварную особенность файлов.SHS, которая была известна на протяжении нескольких лет, и с такой легкостью попал в хронику Web-узла PCHelp (http://www.pc-help.org/security/scrap.htm). Кто знает, сколько мин еще заложено в системном реестре Windows?

Контрмеры против использования файлов. SHS.

На Web-узле PCHelp приведены некоторые замечательные советы по снижению риска от применения наиболее опасных свойств файлов. SHS. В число этих рекомендаций входят следующие.

  • Удалите упоминавшийся ранее параметр системного реестра NeverShowExt и параметр HKLM\SOFTWARE\Classes\DocShortcut, чтобы расширения.SHS и.SHB стали видны в Windows. (Файлы.SHB обладают аналогичными свойствами.)
  • Замените используемые антивирусные программы теми, в которых файлы.SHS и.SHB рассматриваются как исполняемые.
  • Полностью откажитесь от файлов-оболочек, удалив их из списка известных типов файлов Windows либо удалив из папки System файл shscrap.dll.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.