Удаленное проникновение: состояние DoS и переполнение буфера
"Троянские кони" и расширение привилегий
"Троянский конь" (Trojan horse) – это программа, которая предоставляет некоторые полезные функции, однако на самом деле предназначена для скрытного выполнения злонамеренных или разрушительных действий (для получения более подробной информации читайте главу 14). От одной только мысли о возможностях, открывающихся при переименовании стандартных утилит NT, голова идет кругом! Например, вместо программы regedit.exe взломщик может поместить в каталог winnt\system32 командный файл regedit.cmd. Когда ничего не подозревающий администратор введет в командной строке regedit, чтобы выполнить какие-то операции с системным реестром, будет запущен командный файл. Обычно с его помощью выполняется тот или иной вариант следующей команды:
net localgroup administrators <пользователь> /add
Таким образом, администратор собственноручно внес учетную запись взломщика в группу Administrators.
Контрмеры: защита от "троянских коней"
Хотя предлагаемые контрмеры и не обеспечивают стопроцентной защиты, все же будьте внимательны при запуске приложений. Обращайте внимание на различные аномалии (например, быстро промелькнувшее окно командной строки в момент вызова полноценной программы Windows).
При выявлении "троянских коней" могут оказаться полезными некоторые средства. К ним относятся встроенные утилиты, например dir, которая при использовании параметра /С выводит размер файлов, а при указании параметра /Т также время его создания, последнего доступа и последней модификации. Команду dir использовать гораздо лучше, чем проводник Windows, поскольку она не изменяет временные параметры файлов. Можно воспользоваться также мощными коммерческими программами защиты файловой системы, например программой Tripwire от компании Tripewire, Inc. (см. табл. 5.2). Эта программа создает для файлов зашифрованные контрольные суммы, так что с ее помощью можно выявить любые изменения.
Подсистема защиты файлов системы WIN 2000 (WFP – Windows File Protection) обеспечивает хранение резервных копий около шестисот важных файлов в каталоге %windir% и предотвращает их от перезаписи.
Поскольку "троянских коней" очень трудно обнаружить (особенно те из них, которые выполняют модификацию самого ядра NT), стоит поддерживать максимальные меры предосторожности. А именно, создавайте резервные копии своих данных, переустанавливайте операционную систему и все приложения только с проверенных носителей информации. Некоторые из наиболее коварных "троянских коней", называемых наборами rootkit, будут рассмотрены ниже в данной главе.
Параметры реестра, обеспечивающие выполнение программ
Еще одним хорошим методом скрытого запуска командного файла является использование специальных значений в системном реестре NT. В зависимости от разрешений пользователя, под именем которого взломщик проник в систему, ему могут быть доступны некоторые из таких параметров системного реестра. Помните, что удаленный доступ к системному реестру могут получить только администраторы, а на консоли сервера могут зарегистрироваться лишь несколько пользователей из встроенных учетных записей NT. Поэтому вероятность того, что взломщику удастся воспользоваться описанным здесь способом, очень мала. Ему повезет только в том случае, когда используемая им учетная запись входит в группу Server Operators. В табл. 5.5 перечислены некоторые параметры системного реестра и разрешения, установленные для них по умолчанию, которыми могут воспользоваться взломщики для запуска программ.
Таблица 5.5. Параметры системного реестра, которые можно использовать для вызова программ, расширяющих привилегии пользователя.
Параметр | Разрешения по умолчанию | Значение, позволяющее запуск |
---|---|---|
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run | Everyone: Set Value | [любое] |
HKLMX SOFTWARE \Microsoft\Windows\ CurrentVersion \RunOnce | Server Operators: Set Value | [любое] |
HKLMX SOFTWARE \Microsoft\Windows\ Cur rent Version \RunOnceEx | Everyone: Set Value | [любое] |
HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVers i on \ AeDebug | Everyone: Set Value | Debugger |
HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVer si on XWinlogon | Server Operators: Set Value | Userinit |
Защита параметров системного реестра
С использованием редактора системного реестра regedt32 для этих параметров необходимо задать следующие разрешения.
- CREATOR OWNER: Full control
- Administrators: Full Control
- SYSTEM: Full control
- Everyone: Read
Подобная настройка может повлиять на работоспособность некоторых приложений. Поэтому сначала удостоверьтесь, что внесенные изменения не отразились на функциональности системы. Кроме того, не забывайте о том, что описанные выше параметры системного реестра зачастую используются для скрытого запуска приложений во время загрузки, о чем более подробно вы узнаете ниже в данной главе.
Несколько заключительных слов о расширении привилегий
Теперь у вас не вызывает сомнений тот факт, что расширить привилегии чрезвычайно сложно. Единственное, что может помочь взломщику, – это грубые ошибки в настройке системы или же получение доступа к учетной записи, которая и так обладает достаточно высокими привилегиями (например, является членом группы Server Operators). Далее мы рассмотрим самый худший (с точки зрения безопасности) сценарий – взломщик получил доступ к системе на уровне администратора.