Студент, учитель и Optix Pro (часть 1)

Опубликовано: 12 Апреля, 2023

В этой серии статей мы расскажем о трояне в действии на примере вымышленного, но вполне возможного сценария. Троян, который будет использоваться, называется Optix Pro, и я намеренно не включил на него ссылку. Для тех из вас, кто хочет поиграть с ним в лабораторных условиях, я уверен, что вы достаточно сообразительны, чтобы найти его. Optix Pro — это полнофункциональный RAT, также известный как инструмент удаленного администрирования. Он удивительно функционален благодаря богатому набору команд и вполне мог бы стать коммерческим инструментом, если бы не его подпольные корни.

Есть ключевой момент, который отличает трояна от других известных проблем безопасности, таких как переполнение буфера и атаки на строку формата. Троян сам по себе не использует конкретную ошибку кода, обнаруженную в программе, а скорее устанавливается на удаленный компьютер, где он открывает сокет. Этот сокет теперь открыт на компьютере жертвы, а затем в большинстве случаев подключается к нему со злым умыслом. Подобно остальному компьютерному миру, троян также будет действовать по модели клиент/сервер, т.е. от Internet Explorer к веб-серверу Microsoft IIS. Этот троян очень похож тем, что у него есть и сервер, и клиент.

Рассвет трояна

Первым действительно известным трояном был Back Orifice, и он был написан одним из самых известных хакерских коллективов того времени; Культ мертвой коровы. В то время как троян Back Orifice в 1998 году был относительно грубым по своей природе, другие трояны, такие как Optix Pro, гораздо более сложны и смертоносны. В ходе этой серии статей мы увидим, каковы некоторые из этих сложных функций; в частности, способность уничтожать почти все существующие на сегодняшний день брандмауэры и антивирусы. Кроме того, будут показаны несколько других изящных конструктивных особенностей.

Следует отметить, что есть особая причина, по которой я выбрал вымышленный фон кампуса колледжа. Многие колледжи и университеты вынуждены балансировать между безопасностью компьютерных сетей и свободой доступа к Интернету для студентов. Я был приглашенным спикером на Lockdown 2004, где говорил не только о троянах, но и на другие темы. Во время моего короткого пребывания там Университет Висконсина, по-видимому, проделал замечательную работу по уравновешиванию обеих потребностей, согласно моему разговору с Джеффри Савоем, офицером по информационной безопасности. Это плюс прослушивание других выступающих там.

Давайте посмотрим

Теперь, с учетом сказанного, давайте начнем конкретизировать нашу вымышленную сеть колледжей, чтобы вы могли визуализировать, как она выглядит. Что ж, как вы можете видеть ниже, в его дизайне нет ничего примечательного, и при этом он не является особенно закаленным сетевым дизайном. Единственное, что я не показал, это фермы серверов, так как они не имеют отношения к этой статье. На самом деле эта сеть называется плоской сетью и сегодня является обычным явлением. Один из местных колледжей здесь, в Оттаве, имел такой дизайн.

Чтобы объяснить для тех из вас, кто может не понимать настройки, как показано выше, сначала есть пограничный маршрутизатор или пограничный шлюз. За этим стоит брандмауэр, который ставится там для снижения нагрузки. Нет необходимости иметь его на маршрутизаторе, так как он должен анализировать весь трафик, направляемый в сеть колледжа. Гораздо проще иметь его позади, где ему нужно только обрабатывать трафик, разрешенный через маршрутизатор, и в сеть колледжа. Прямо за брандмауэром находится главный выключатель колледжа. За главным выключателем находятся различные переключатели отделов, например, один для основных отделов и бухгалтерии.

Что ж, мы в значительной степени заложили всю основу, необходимую для понимания того, что следует делать. Единственным исключением является то, как сами классные комнаты колледжа на самом деле подключены к внутренней локальной сети. В начале учебного года всем учащимся были вручены диаграммы по каждому классу, который они посещали. На этой диаграмме было показано, какое место имело назначенный ему IP-адрес. Также на сетевой диаграмме классной комнаты был IP-адрес классных профессоров. Это было сделано для того, чтобы учащиеся могли получить доступ со своих мест к любым и всем заданиям класса, а также к другим соответствующим данным класса. Позже мы увидим, как эта установка помогает ИТ-персоналу колледжа поймать себя на хакере.

Наш ленивый студент Джон

Джон был студентом второго курса нашего вымышленного колледжа и только что закончил свой первый год. Он также открыл для себя чудо, которым является IRC, и обнаружил через свои IRC-чаты то, что, по его мнению, должно было стать его избавлением. Видите ли, Джон очень сильно заваливал уроки математики, и ему нужно было сдать его, чтобы получить диплом. Джон начал тратить довольно много времени на изучение вредоносных программ и сетей в целом. С его знаниями он был уверен в своих шансах получить копию предстоящего экзамена по математике с компьютера своего профессора. Из-за схемы сети колледжа он не думал, что сможет заразить компьютер профессора матча удаленно из своего дома.

Однако Джон помнил, что на каждом месте в математическом классе был разъем CAT 5 для ноутбуков студентов, так что они могли получить доступ к компьютеру профессора математики для выполнения домашних заданий. Мало того, Джон также знал, что профессора колледжа придерживаются политики открытых дверей для своих офисов, пытаясь укрепить отношения между учениками и учителями. С этого начался план Джона получить физический доступ к компьютеру профессора и самому заразить его своим трояном. Однако на этом его красота не закончилась. Из-за того, что в классе есть разъемы CAT 5 для доступа к компьютеру профессора, он сможет искать результаты экзамена по математике прямо в классе! Это было здорово, так как профессор не мог бы сам обнаружить что-либо, пока он просматривал бы компьютер профессора, как он будет преподавать в классе!

Физический доступ плохой

Имея все это в голове, Джон решил провести пробный запуск, так сказать, чтобы определить осуществимость своего генерального плана. На следующий день в классе он извинился, пока профессор бубнил о какой-то формуле или о чем-то другом. Выйдя из класса, Джон прямиком направился к кабинету профессора и прошел мимо него, заглядывая внутрь. Она была явно пуста, так как профессор вел занятия. Джон продолжал пробираться мимо в уборную и решил заразить компьютер профессора на обратном пути в класс. Джон принес с собой свою флешку и троянский сервер. Все, что нужно было сделать Джону, это быстро настроить сервер и вернуться в класс. Если кто-нибудь заходил, пока он это делал, он просто говорил, что пишет записку на компьютере профессора, что он болен и идет домой. Весьма гениальная мысль Джона! Помня об этом, Джон вошел в кабинет профессора и сел за компьютер. Джон заметил, что там есть антивирус, который он отключил. Затем он подключил свой USB-накопитель и перешел через свой троянский сервер.

Теперь Джон столкнулся с как бы «главным меню» для настройки параметров троянского сервера. Ему нужно будет быстро пройти через несколько из них, чтобы каперс сработал. На этом мы прервем статью здесь, а во второй части пройдемся по настройке троянского сервера. Также мы начнем видеть, как это связано с. До тех пор!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023