Связующие и вредоносные программы (часть 1)

Опубликовано: 11 Апреля, 2023

  • Связующие и вредоносные программы (часть 3)

Проблема вредоносных программ не нова и не исчезнет в ближайшее время. Преступники, использующие трояны, вирусы и армии ботов, вкладывают слишком много денег, чтобы просто отказаться от их использования. Эти атаки вредоносных программ нацелены не только на домашних пользователей, но и на корпоративных конечных пользователей. Это подводит нас к сути этой серии статей. Только через образование можно искоренить эту проблему. Замечательно иметь антивирусную программу, работающую на компьютере пользователя, так же как и программу проверки содержимого, работающую на вашем сервере Exchange. Ваша лучшая линия защиты — образованный пользователь. Всегда будет новое поколение вредоносных программ, способных обойти вашу защиту, будь то новый троян или новый эксплойт на стороне клиента в веб-браузере. Благодаря тому, что ваши пользователи узнают о проблеме, вы проделаете долгий путь к уменьшению угрозы вредоносных программ в вашей корпоративной сетевой среде.

Эта статья предназначена непосредственно для системного администратора (sys admin), работающего в любой корпоративной сети. Количество программ, запущенных в вашей сети, будь то антивирус или система предотвращения вторжений (IPS), не будет учитываться в этой серии статей. Мы будем придерживаться подхода, согласно которому для обеспечения безопасности наших сетей нам необходимо устранить самое слабое звено; конечный пользователь. Это не означает оскорбление продавца, бухгалтера или офисного персонала. У всех нас разные наборы навыков, и в нашем случае это опыт в области компьютерной безопасности. Благодаря нашим знаниям в области компьютерной безопасности во многих ее формах мы сможем помочь пользователям корпоративной сети выполнять свою работу максимально безопасным образом.

Что мы сейчас сделаем, так это покажем нашим конечным пользователям, как вредоносное ПО внедряется в законно выглядящую программу. Только путем точного воссоздания того, как это делается, наша цель по обучению их онлайн-угрозам, направленным против них, будет реализована. Для этого мы будем использовать различные инструменты, как законные, так и нелегитимные. В нашем сценарии я буду использовать связующую программу под названием YAB, троян под названием Optix Pro и игру под названием Pong.exe. Только с этими тремя программами мы создадим троян, замаскированный под игру, под названием Pong.exe. Мы сделаем еще один шаг и рассмотрим это вредоносное ПО на уровне байтов, чтобы узнать, как оно выглядит. Просматривая вредоносное ПО в шестнадцатеричном редакторе, мы можем увидеть определенные индикаторы, которые говорят нам о том, что что-то не так в конкретной исполняемой программе. Просмотр вредоносного ПО в шестнадцатеричном редакторе также имеет дополнительное преимущество, позволяя вам безопасно заглянуть внутрь, поскольку вы на самом деле не выполняете программу, а только просматриваете ее содержимое.

Давайте начнем

Обратите внимание, что я не ссылался на связыватель вредоносных программ под названием YAB или троян под названием Optix Pro. Я не собираюсь делать это слишком простым для тех, кто читает это, у кого могут быть злонамеренные намерения. Вам нужно потратить всего минуту или около того на Google, чтобы найти все программы, упомянутые выше. На этой ноте приступим. Сначала мы настроим троян Optix Pro. Возможно, вы помните, что это троян, о котором я уже писал. Если вы хотите узнать больше об этом, пожалуйста, нажмите здесь. Я не буду останавливаться на подробной настройке троянца, так как нам нужно сделать с ним всего несколько вещей для наших целей. Пожалуйста, посмотрите на скриншот ниже, как будет выглядеть папка для Optix Pro после того, как вы загрузите и распакуете ее.

Изображение 24929
фигура 1

Теперь мы продолжим и дважды щелкнем значок «Builder», чтобы вызвать сервер, чтобы мы могли внести некоторые простые изменения в конфигурацию. Теперь вы должны смотреть на экран так же, как на скриншоте ниже.

Изображение 24930
фигура 2

Оттуда мы нажмем на меню «Основные настройки». Единственные изменения, которые мы внесем в троянский сервер, будут здесь, поскольку мы не собираемся делать для наших пользователей длинную или исчерпывающую презентацию об опасностях вредоносных программ. Теперь вы можете использовать порт TCP 3410 по умолчанию, если хотите, или изменить его на другой по вашему выбору. Язык по умолчанию для Optix Pro — английский, как вы уже могли заметить. Если вы хотите внести какие-либо другие изменения в троянский сервер, сейчас самое время это сделать. Если нет, нажмите значок «Создать/создать сервер» в верхней левой части графического интерфейса трояна. Вам будет предложено ввести имя, как показано на скриншоте ниже.

Изображение 24931
Рисунок 3

Выберите любое имя, которое вам нравится, а также путь для его сохранения. Вы также можете просто сохранить его в самой папке Optix для простоты и хранить все в одном месте. Как только вы закончите называть его, вам будет представлен скриншот, отмеченный ниже.

Изображение 24932
Рисунок 4

На этом этапе вы можете просто собрать сервер или выбрать его сжатие с помощью программы UPX. Что это сделает, так это сожмет троянский сервер до меньшего размера. Это часто делается, поскольку большой файл/программа может вызвать у кого-то подозрения, особенно если у него есть некоторые знания в области компьютерной безопасности. Они поймут, что определенный файл/программа не должен быть таким большим, как кажется. Что я буду делать, так это иметь один сервер, который теперь сжат с помощью UPX, а другой — нет. Мы рассмотрим, как выглядит троянский сервер, сжатый UPX, позже в этой серии статей. После того, как вы закончите писать свои настройки, просто нажмите «ОК, все готово!».

Заворачивать

До сих пор были рассмотрены инструменты, необходимые для проведения сеанса компьютерной безопасности для наших корпоративных пользователей. В дополнение к этому мы настроили и проверили Optix Pro трояна или вредоносного ПО (вредоносное ПО — это общий термин, который используется для описания не только троянов, но также вирусов и других форм вредоносного программного обеспечения) в этом случае, который мы будем использовать. Во второй части этой серии статей мы продолжим рассмотрение связующего вредоносного ПО под названием YAB и законной игровой программы под названием Pong.exe. Это будут последние два ингредиента, которые нам понадобятся, чтобы приготовить вкусную вредоносную программу. На самом деле эта серия статей предназначена не только для пользователей в соответствующих настройках корпоративной сети, но и для нас. Вы не можете знать все, как специалист по компьютерной безопасности. Я могу честно сказать, что я не знал точно, как создавать такие вредоносные программы, пока не решил, что это может стать хорошей серией статей. Надеюсь, тем из вас, кто был в такой же ситуации, как я, это поможет применить теоретические знания на практике. Только делая что-то, вы действительно понимаете. Увидимся во второй части.

  • Связующие и вредоносные программы (часть 3)

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023