Троянский конь.

Опубликовано: 14 Апреля, 2023

Троянский конь.



«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».


Троянский конь — это программа, в которой вредоносный или вредоносный код содержится внутри кажущейся безвредной программы или данных таким образом, что он может получить контроль и нанести выбранный вид ущерба, например, испортить или стереть данные на вашем жестком диске. Троянский конь может широко распространяться как часть компьютерного вируса. Термин происходит из «Илиады» Гомера. Во время Троянской войны греки подарили жителям Трои большого деревянного коня, в котором они тайно прятали своих воинов. Ночью воины вышли из деревянного коня и захватили город.


Троянец может причинить огромный вред вам и вашим системам и, что еще хуже, может превратить вашу систему в машину для убийств! Давайте рассмотрим Back Orifice специально, чтобы понять, почему такой инструмент может стать уродливым, если он установлен в вашей системе.


Back Orifice состоит из двух ключевых частей: клиентского приложения и серверного приложения. Принцип работы Back Orifice заключается в том, что клиентское приложение работает на одном компьютере, а серверное приложение — на другом. Клиентское приложение подключается к другому компьютеру с помощью серверного приложения. Запутанная часть здесь заключается в том, что сервер — это то, что установлено на жертве. Многие люди путают это, потому что это не кажется логичным, но именно так это и работает. Единственный способ установить серверное приложение Back Orifice на машину — это установить его намеренно. Очевидно, что троянец не входит в стандартную установку Windows 2000, поэтому вы должны найти способ заставить жертву установить его. Это прелюдия к нашему последнему обсуждению того, как Бетти установила эту красивую заставку, которая явно была (для вас, а не для нее) сервером BO2K.exe.


Работа с конфигурацией сервера BO2K



Более новые версии исполняемого файла сервера совершенно скрытны. Исполняемые файлы не отображаются, потому что они прозрачны. Это развивающийся инструмент, превращающийся в полностью скрытый режим, чтобы любой злоумышленник мог воспользоваться вашими системами. Вам действительно нужно знать не только об этом инструменте, но и о любом трояне, подобном ему. BO2K оказался одним из самых популярных и известных. На рисунке выше показано, что инструмент легко настраивается и интуитивно понятен. Здесь не нужны знания программирования на C++ и сценариев оболочки!


Добавление серверов в список серверов



Поскольку мы знаем, что любой может быть обманут для установки троянца, мы точно знаем, как злоумышленник получит код на машине жертвы. Злоумышленник либо должен установить серверное приложение на целевой машине, либо обманом заставить сделать это пользователя целевой машины — более вероятно, что это будет обман. Именно по этой причине серверное приложение (BO2K.exe) обычно маскируется под что-то иное, чем троянский конь. После установки серверного приложения клиентская машина может передавать файлы на целевую машину и обратно, выполнять приложение на целевой машине, перезапускать или блокировать целевую машину и регистрировать нажатия клавиш на целевой машине. Все эти операции представляют ценность для хакера.


Серверное приложение представляет собой один исполняемый файл размером чуть более 122 килобайт. Приложение создает свою копию в системном каталоге Windows и добавляет значение, содержащее имя файла, в реестр Windows под ключом:



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices


Конкретное значение реестра, указывающее на серверное приложение, можно настроить. Таким образом, серверное приложение всегда запускается при запуске Windows, поэтому всегда работает. Еще одним преимуществом Back Orifice является то, что приложение не отображается в списке задач Windows, что делает его невидимым для невооруженного глаза. После первой инициализации он делает одолжение своему владельцу и удаляется с сайта. Подлый да?


Троянский сервер Back Orifice создаст ад для любой сети, но для его работы требуется немного знаний о сети. Создатели сделали инструмент для использования операционной системы на базе Windows простым и понятным. В дни его создания многие могли возразить, что это был не более чем инструмент удаленного доступа, но если подумать о функциональности инструмента и его происхождении, то это был не просто инструмент для удаленного доступа, это был тревожный звонок Microsoft о том, что их системы так же восприимчивы к приложениям типа Root Kit на основе Unix. Все, что требовалось, это немного «ноу-хау», и инструмент и вы были в деле. Однако есть некоторые ограничения… Возможно, два самых важных ограничения для троянского коня Back Orifice заключаются в том, что злоумышленник должен знать IP-адрес целевой машины и что между целевой машиной и злоумышленником не может быть брандмауэра. Брандмауэр делает практически невозможным взаимодействие двух машин, скорее всего, потому, что брандмауэр блокирует порт, на котором может работать троян B02K. Да, известно, что более новые версии инструмента работают с более широким диапазоном портов, но все это восходит к моему первоначальному обсуждению того, как большинство компаний не инвестировали в безопасность своих сетей или не имеют в штате людей, которые знают об этом. информация же. Вот собственно откуда проблема. На рисунке ниже видно, что это не дрянной инструмент, это хакерский кошмар с графическим интерфейсом. Есть даже Мастера, которые проведут вас через первоначальную настройку… как это может быть проще?


Мастер настройки BO2K



Другой распространенный троян для удаленного управления называется Subseven Trojan. Этот троянец также рассылается в виде вложения к электронному письму и после запуска может отображать специальное сообщение, которое часто вводит жертву в заблуждение. На самом деле настроенное сообщение предназначено для того, чтобы ввести жертву в заблуждение. Эта конкретная программа позволит кому-то получить почти полный контроль над компьютером жертвы с возможностью удаления папок и/или файлов. Он также использует функцию, которая отображает что-то вроде непрерывного экрана камеры, что позволяет хакеру видеть снимки экрана компьютера жертвы.


В общем, помните о вредоносных программах, их типах и способах их проникновения в ваши системы. Перед экзаменом ознакомьтесь с общими концепциями вредоносных программ, а в полевых условиях убедитесь, что вы хорошо осведомлены об ущербе, который вредоносное ПО может нанести вашим системам Microsoft.




  • Посетите TrojanScan.com для бесплатного онлайн-сканирования троянов, чтобы узнать, заражена ли ваша система.
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023