Студент, учитель и Optix Pro (часть 3)
Во второй части мы остановились на том месте, где Джон активно подключался к компьютеру профессора в поисках предстоящего экзамена по математике. Теперь Джон использовал одну из функций троянца, которая заключалась в возможности составить список дисков на целевом компьютере. Это было сделано с помощью троянского клиента на его ноутбуке. Из приведенного ниже пакета видно, что Джон успешно получил список дисков;
05/13-13:47:20.863584 0:D0:59:1C:75:30 -> 0:D0:59:2B:77:EE type:0x800 len:0x64 192.168.1.101:3410 -> 192.168.1.103: 1061 TCP TTL:128 TOS:0x0 ID:3686 IpLen:20 DgmLen:86 DF
***AP*** Seq: 0x7A6773AA Подтверждение: 0x4B3A4E57 Выигрыш: 0xFFE8 TcpLen: 200x0000: 00D0 592B 77EE 00D0 591C 7530 0800 4500..Y+w…Y.u0..E.
0x0010: 0056 0E66 4000 8006 681F C0A8 0165 C0A8 [электронная почта защищена]…h….e..
0x0020: 0167 0D52 0425 7A67 73AA 4B3A 4E57 5018.gR%zgs.K:NWP.
0x0030: FFE8 DC79 0000 3030 32AC 413A 5C20 2D20 …y..002.A: –
0x0040: 5265 6D6F 7661 626C 65AC 433A 5C20 2D20 Съемный.C: –
0x0050: 4669 7865 64AC 443A 5C20 2D20 4344 2D52 Фиксированный.D: — CD-R
0x0060: 4F 4D 0D 0A ОМ..
В этот момент у Джона был под рукой список всего на жестком диске профессора. Все, что ему нужно было сделать, это немного поискать объект своего внимания; экзамен по математике. Без долгих поисков он переходит к рабочему столу компьютера;
05/13-13:47:41.144444 0:D0:59:2B:77:EE -> 0:D0:59:1C:75:30 тип:0x800 len:0x6C 192.168.1.103:1061 -> 192.168.1.101: 3410 TCP TTL:128 TOS:0x0 ID:1378 IpLen:20 DgmLen:94 DF
***AP*** Seq: 0x4B3A4EAE Подтверждение: 0x7A6775CF Выигрыш: 0xFC42 TcpLen: 200x0000: 00D0 591C 7530 00D0 592B 77EE 0800 4500..Y.u0..Y+w…E.
0x0010: 005E 0562 4000 8006 711B C0A8 0167 C0A8.^[электронная почта защищена]…q….g..
0x0020:0165 0425 0D52 4B3A 4EAE 7A67 75CF 5018.е.%.РК:Н.згу.П.
0x0030: FC42 D358 0000 3030 33AC 433A 5C44 6F63.BX.003.C:Doc
0x0040: 756D 656E 7473 2061 6E64 2053 6574 7469 Ументы и Сетти
0x0050: 6E67 735C 4164 6D69 6E69 7374 7261 746F нгсАдминистратор
0x0060: 72 5C 44 65 73 6B 74 6F 70 5C 0D 0A rРабочий стол..
Эй, экзамен по математике!
Ура! Джон нашел экзамен по математике! Он был довольно легкомыслен от волнения всего этого сейчас. Он был в папке на рабочем столе. Как удобно подумал Джон. Все шло гораздо проще, чем он думал. Сейчас скачал.
05/13-13:49:57.747314 0:D0:59:1C:75:30 -> 0:D0:59:2B:77:EE type:0x800 len:0xBA 192.168.1.101:501 -> 192.168.1.103: 1073 TCP TTL:128 TOS:0x0 ID:3704 IpLen:20 DgmLen:172 DF ***AP*** Seq: 0xBC7FE4FE Ack: 0x8D56BC8A Win: 0xFF9F TcpLen: 20
0x0000: 00D0 592B 77EE 00D0 591C 7530 0800 4500..Y+w…Y.u0..E.
0x0010: 00AC 0E78 4000 8006 67B7 C0A8 0165 C0A8 …[электронная почта защищена]…g….e..
0x0020: 0167 01F5 0431 BC7F E4FE 8D56 BC8A 5018.g…1…..V..P.
0x0030: FF9F 14FA 0000 5468 6973 2069 7320 7468 …… Это й
0x0040: 6520 6669 6374 696F 6E61 6C20 6D61 7468 e вымышленная математика
0x0050: 2065 7861 6D20 7468 6174 204A 6F68 6E20 экзамен, который Джон
0x0060:7761 6E74 6564 2074 6F20 7374 6561 6C0D хотел украсть.
0x0070: 0A73 6F20 6865 2063 6F75 6C64 206D 616B.так что он мог сделать
0x0080: 6520 7375 7265 2068 6520 7061 7373 6564 е конечно он прошел
0x0090: 2E20 4E6F 7420 776F 7274 6820 6974 2061. Не стоит
0x00A0: 7420 616C 6C2E 2053 6864 756C 640D 0A6F все. Должен..о
0x00B0: 6620 7374 7564 6965 6421 ф изучено!
Что ж, как говорится в пакете, он действительно должен был учиться, а не взламывать чужой компьютер. Это уголовное преступление почти во всех известных мне странах. Конечно, в колледже отнеслись бы к этому снисходительно, если бы узнали. Однако Джон покончил с компьютером профессора и отключился от троянского сервера. Закончил урок математики в полусонном состоянии, а потом пошел домой.
Что-то не так, как должно быть
Профессор завершил свой урок, а затем ответил на несколько вопросов студентов, прежде чем вернуться в свой кабинет. Он сел и включил почтовый клиент, чтобы проверить почту. Как и ожидалось, документ, отправленный его коллегой, прибыл. Он щелкнул вложение и сохранил его на свой рабочий стол. Оттуда он попытался заставить антивирусную программу просканировать его. Странно, он думал, что программа не хочет отвечать. Несмотря на то, что он был профессором математики, а не компьютерщиком, он обратил внимание на инструктаж ИТ-персонала. «Никогда не открывайте вложение или документ без предварительного сканирования». Да, он ясно это помнил. Проблема была в том, что он не мог заставить чертову программу работать!
Что ж, жизнь слишком коротка для этого, поэтому он просто взял телефон и позвонил в службу технической поддержки. Ему сказали, что агент службы поддержки скоро спустится, чтобы проверить проблему. Как только ИТ-администратор прибыл, он попробовал ту же процедуру, что и профессор, но безрезультатно. Немного озадаченный, он попытался перезапустить службу вручную только для того, чтобы увидеть, как она снова отключается через минуту или около того. Действительно очень странно. Затем администратор выполнил сканирование netstat, чтобы проверить соединения, если таковые имеются, которые в настоящее время работают.
Администратор не узнал номер порта 3410, но для него это был довольно слабый сигнал. Все остальное там выглядело нормально. Хорошо погуглил, он пошел за ответом. Поставил порт 3410 и совсем не понравилось то, что он там перечислил. Самый первый удар был нанесен трояну под названием Optix Pro, у которого по умолчанию был установлен порт 3410. В этот момент администратор сообщил своему руководителю, что, по его мнению, происходит. После некоторого обсуждения этого вопроса они решили оставить троян или предполагаемый троян на месте. У профессора не было ничего слишком личного на жестком диске, и ИТ-руководитель хотел поймать человека, если это возможно, во время вторжения в компьютер профессора.
До конца дня ничего не происходило, и ИТ-руководитель решил оставить все как есть, еще на один день. После этого машина будет отформатирована и все переустановлено. К счастью, на следующий день у нашего ленивого ученика Джона был еще один урок математики. Как только Джон зашел в класс, он решил еще раз подключиться к компьютеру профессора и проверить, не изменился ли экзамен. Это должно было стать его последней ошибкой. ИТ-персонал следил за компьютером и сразу же увидел соединение. К счастью для них, они распознали IP-адрес как внутренний. Лучше всего это было то, что было отнесено к математическому классу! О, детка! Это должно было быть мило. ИТ-администратор позвонил своему руководителю и рассказал ему о том, что происходит. Затем они сверились со схемой класса, чтобы увидеть, где находится IP. С этим в руках они вызвали студенческого декана и вошли в класс.
Джон был несколько удивлен, увидев, что в класс вошли ИТ-руководитель, студенческий декан и ИТ-администратор. Какого черта они здесь делали? Затем все повернулись к нему и посмотрели на него. В животе у него заныло от мысли, зачем они здесь. Затем они подошли, забрали его компьютер и вывели из класса в кабинет декана. Джон быстро признался, столкнувшись с уликами. Декан, не впечатленный таким поворотом событий, сообщил Джону, что ему больше не нужно беспокоиться об экзамене по математике, так как он был исключен из колледжа. Должен был учиться, казалось Джону мало утешения.
У ИТ-руководителя теперь были в руках боеприпасы, чтобы, как он надеялся, положить конец политике открытых дверей в колледже. Он также теперь хотел установить несколько систем обнаружения вторжений на каждый коммутатор отдела, чтобы избежать повторения подобного эпизода. Если бы кто-то был на месте, его бы поймали намного быстрее. Что ж, была одна вещь, которая сработала хорошо, — подумал ИТ-руководитель, оглядываясь назад; профессор математики сделал, как ему посоветовали. Он увидел что-то странное и последовал установленной процедуре. Именно это сорвало планы Джона украсть экзамен по математике и не писать его. В целом, неплохая пара дней, но сеть нуждалась в подтяжке.
Вывод
Конечно, это был вымышленный рассказ, но подобные события происходили много раз в академической среде. Мало того, это также затронуло пользователей домашних компьютеров и, в конечном счете, их банковские счета. Организованная преступность быстро осознает преимущества троянских программ и небольшой социальной инженерии. Было немало примеров, когда клиенты банков возмущались, обнаружив, что на их банковских счетах отсутствуют средства. В каждом случае, о котором я читал, после тщательного и дорогостоящего внутреннего аудита группы обнаруживалось, что взлом произошел на компьютере клиента. Виновником каждый раз был троян со встроенным кейлоггером. Урок, который следует усвоить, — обращайте внимание на свои действия в Интернете и всегда уделяйте очень пристальное внимание вложениям, которые вам отправляются. Я искренне надеюсь, что этот цикл статей был вам интересен. До следующего раза, безопасных и счастливых вычислений!