Локальные атаки

Удаленное выполнение кода — это заявление, которое всегда привлекает много внимания со стороны специалистов по компьютерной безопасности. Удаленная компрометация компьютера — не единственная угроза для сети. Как насчет локальной атаки, проведенной доверенным лицом или каким-либо иным образом?

Локальные атаки

Мы уже привыкли читать о новых эксплойтах удаленного выполнения кода, связанных с различными программами и операционными системами. Обычно целью любого хакера является получение средств для выполнения своего собственного кода на компьютере-жертве. Это довольно очевидная цель, потому что зачем еще вам атаковать компьютер, если не конечное состояние — возможность каким-то образом его контролировать. Это также влияет на эксплойты, которые приведут к отказу в обслуживании. Хотя отказ в обслуживании обычно рассматривается большинством как менее важный, чем наличие эксплойта, который приводит к удаленному выполнению кода.

Что общего между удаленным выполнением кода и атакой типа «отказ в обслуживании»? Обычно они связаны с кем-то, кто атакует вас удаленно, то есть они не находятся в том же физическом пространстве, что и вы. Однако это не единственный способ атаки на компьютер. Существует также постоянная угроза со стороны доверенного сотрудника. Я не стану повторять статистику, но похоже, что многие группы и федеральные агентства считают, что половина всех компьютерных взломов является результатом действий доверенного инсайдера. Это действительно большое число, и, вероятно, оно открыто для обсуждения. Одна вещь, которую можно считать само собой разумеющейся, это то, что атаки осуществляются теми, кто имеет физический доступ к компьютерной сети.

Давайте рассмотрим это в перспективе

С учетом сказанного выше, какая атака может увидеть, если человек со злым умыслом имеет физический доступ к компьютеру в сети? Чтобы ответить, это действительно зависит от безопасности, установленной для этой компьютерной сети. Как правило, на большинстве компьютеров в корпоративной сети очень мало безопасности. Поэтому я просто продолжу и перечислю некоторые атаки, которые могут иметь место.

Сначала злоумышленник видит, что компьютер запрашивает у него обычную комбинацию имени пользователя и пароля. Что делает злоумышленник? Что ж, они могут просто зайти в свой любимый живой дистрибутив Linux или другой подобный инструмент. Как только они перезапустят питание компьютера, он загрузится с носителя, и вскоре после этого пароль администратора будет изменен. Как только злоумышленник получает учетные данные системного администратора, появляется возможность для всевозможных гадостей.

Хотя намерение злоумышленника не обязательно состоит в том, чтобы войти в систему как системный администратор, еще раз привлекательность использования живого дистрибутива Linux очень убедительна. Эти инструменты содержат сокровищницу инструментов атаки, ожидающих запуска после того, как компьютер загрузится. Теперь злоумышленник может попытаться повысить привилегии, перехватив сетевой трафик и, возможно, перехватив несколько паролей. Злоумышленник также может искать электронные письма, которые летают по сети. В корпоративных электронных письмах часто содержатся довольно конфиденциальные данные.

Еще одна важная область компьютерной сети, которую также можно использовать с помощью работающего дистрибутива Linux, — это сообщения SNMP, летающие по сети. Через эти SNMP-обмены доступно невероятное количество информации. Вы можете измерить время безотказной работы различных серверов для одного. Этот тип информации о сервере является ключевым в определении того, был ли сервер исправлен для конкретного эксплойта или нет. Ниже показан пример пакета SNMP, который виден «по сети».

Выделенные жирным шрифтом и подчеркнутые части пакета отражают OID или идентификаторы объектов. Именно эти OID передают определенную системную информацию для устройства, такого как, скажем, IIS. Приведенные ниже OID могут отражать время безотказной работы серверов IIS, нагрузку на сервер или пропускную способность карты NIC. Именно путем расшифровки этих OID вы можете получить важную информацию о сети. Тем не менее, в идеале у вас должно быть программное обеспечение для этого. Ethereal отлично справляется с их декодированием, но желательно, чтобы реальное программное обеспечение использовалось для их отправки и расшифровки. Примером может служить WhatsupGold или другое программное обеспечение для управления.

01:31:26.631025 192.168.1.200.161 > 192.168.1.100.40274: { SNMPv1 C=testnet-pub { GetResponse(90) R=1546751089 .1.3.6.1.2.1.2.2.1.10.24=3936973547 .1.1..2.1.2.2.1.16.24=3178 267035.1.3.6.1.2.1.1.3.0=4268685032.1.3.6.1.2.1.1.5.0=”G” } } (ttl 255, id41656, len 148)
0x0000 4500 0094 a2b8 0000 ff11 151c c0a8 01c8 E……………
0x0010 c0a8 0164 00a1 9d52 0080 3f43 3076 0201 ……..R..?C0v..
0x0020 0123 0123 0123 6574 2d70 7562 a266 0204..testnet-pub.f..
0x0030 5c31 8c71 0201 0002 0100 3058 3013 060a 1.q……0X0…
0x0040 2b06 0102 0102 0201 0a18 4105 00ea a972 +………A….r
0x0050 eb30 1306 0a2b 0601 0201 0202 0110 1841..0…+………А
0x0060 0500 bd70 819b 3011 0608 2b06 0102 0101 ….p..0…+…..
0x0070 0300 4305 00fe 6ef6 e830 1906 082b 0601 …C…n..0…+..
0x0080 0201 0105 0004 0d47 …….G

Итак, мы увидели, что физический доступ к компьютеру может иметь катастрофические последствия, если злоумышленник загрузится с компакт-диска, такого как описанный выше. Хотя есть не только это. Та же самая атака может быть выполнена и через USB-накопители. Эти портативные устройства приобрели популярность и объем памяти. Вы можете легко разместить дистрибутив Linux на одном из этих устройств. Необходимо ограничить доступ к USB-накопителям и загрузку с компакт-дисков. Это можно сделать относительно легко, и об этом можно прочитать здесь.

Помимо живых компакт-дисков и USB-накопителей

Что ж, когда дело доходит до локальных атак, совершенных из-за физического доступа, это нечто большее, чем вышеупомянутое. Одним из самых хитрых, которые я видел, является аппаратный кейлоггер. Подумайте об этом сейчас, и все системные администраторы, которые также могут читать это, как часто вы на самом деле визуально проверяете системные компоненты, такие как клавиатура и мышь? Скорее всего, вы проверяете их редко, если вообще проверяете. Вот почему аппаратный кейлоггер так эффективен. Вам просто нужно прикрепить его и уйти от него. Это будет редко, если вообще когда-либо будет обнаружено. В конце концов, он не оставляет следов на пораженном компьютере, и антивирусное программное обеспечение не обнаружит его. Скорее идеально, если вы спросите меня. Как только вы физически окажетесь в сети, установка этого займет всего несколько секунд.

По аналогии с дистрибутивами Live Linux, упомянутыми выше, существует набор инструментов, которые были перенесены в мир win32. Набор dsniff действительно очень мощный. В этот набор инструментов встроена возможность перехватывать электронные письма, просматривать посещаемые сайты, а также выполнять анализ пакетов для получения столь желаемых паролей. Единственным предостережением для использования этого инструмента является необходимость установки winpcap. Это, однако, может быть легко и быстро сделано злоумышленником.

О троянах и LSP

Наличие физического доступа к компьютеру также дает возможность устанавливать трояны, а также скрытый троян LSP, т.е. многоуровневого поставщика услуг. Оба этих образца вредоносного ПО могут быть написаны таким образом, чтобы их не обнаруживали сигнатуры всех поставщиков антивирусных программ. Это означало бы, что кто-то со способностями к программированию написал собственный код. Это не так далеко, как вы думаете. Так постоянно происходит в мире корпоративного шпионажа. Я надеюсь, что вы прочитаете последнюю гиперссылку, которую я только что предоставил, поскольку она, безусловно, поможет вам понять тот факт, что корпоративный шпионаж действительно имеет место. Чертовски дешевле заплатить какому-нибудь программисту пятизначную сумму денег, что, в свою очередь, позволит вам заработать, скажем, неисчислимые миллионы с точки зрения корпоративных исследований. Эту математику нетрудно вычислить.

Подведение итогов

Хотя я перечислил только некоторые физические атаки, жертвой которых может стать компьютер, есть и много других. Существуют также варианты перечисленных. Все, что вы можете сделать, это максимально укрепить сеть, включая использование возможностей GPO, ограничение физического доступа к ресурсам вашего компьютера и другие превентивные меры. Каждая сеть будет иметь свои особенности. Вы должны сесть и трезво подумать о своих потребностях в безопасности. Как только вы наметите свои слабые стороны, вы будете на правильном пути к их защите. Пожалуйста, помните, что не все атаки осуществляются удаленно. Всегда будет существовать постоянная угроза атак со стороны тех, кто имеет физический доступ. Я искренне надеюсь, что эта статья была вам интересна, и как всегда буду рад вашим отзывам. До следующего раза!