wrapper

В августе 98 года команда The Cult Of The Dead Cow выпустила пакет для удаленного администрирования - Back Orifice (BO)* (*-см. глоссарий). Честно говоря, я не очень обрадовался, когда услышал эту новость, так как я к этому времени уже писал "троянские кони"*. А после выхода BO люди все чаще и чаще стали задумываться о той опасности, которую несут в себе файлы неизвестного происхождения. Именно это помешало мне также успешно продвигать свои творения несчастным юзерам - все теперь стали бдительными.

Antiviral Toolkit Pro*, самый популярный в России антивирусный пакет, теперь стоит практически у 80% всего населения Рунета*, и он знает все известные и кучу малоизвестных троянов. Так как же обмануть невинного пользователя сети и антивирусный пакет?

Выбор составляющих backdoor*

Нет смысла говорить, что для добычи информации или доступа часто может понадобиться backdoor, который будет запущен там, где вам надо. Если выбран метод использования backdoor, то сразу же забудьте обо всех тех "неземных благах", которые несут в себе самые популярные трояны мира - BO, BO2K, NetBus Pro, Sub7, Donald Dick и прочие. Любой троян, про который знают более чем 5 человек, является неудачным. Помните, что самый эффективный троян, который может быть использован хакером - его личный троян, ну или, на крайний случай, тот, который написал хакерский друг-гуру. При составлении структуры трояна хакер должен забыть о всяких интересных и "полезных" вещах, таких как открывание cd-rom, выключение монитора, чат с жертвой. Backdoor нужен для того, что определяет его название - back door - незаметный проход, задняя дверь. Пишется он для того, чтобы получить доступ, манипулировать информацией, красть ее. Backdoor создается только для того, что нужно хакеру и ничего иного. В этом случае никакой антивирус не скажет про эту замечательную программу, что она backdoor.

Мне понадобилось как-то узнать пароль root на одном UNIX. По стандартному методу мышления мне надо ломать саму машину, где стоит UNIX. Но она очень хорошо защищена, и это не так легко сделать, если вообще возможно. Но если вспомнить про человеческую незащищенность и социальную инженерию, то все UNIX-машины становятся доступны.

Я сделал следующее: написал backdoor под Windows, который делал буквально следующее: он записывал все набранное на клавиатуре и давал доступ к диску. Все! Ничего лишнего. Получился этакий FTP-сервер* с логой*, того, что написано на компьютере. После этого я скачал все файлы с рабочей станции этого человека и взял логу того, что он писал. Этого оказалось достаточно, потому что там был аккаунт* на UNIX-машину и пароль root. Его пароль был прописан в почтовом клиенте. А пароль root лежал в логе (когда он удаленно заходил на его сервер, он вводил этот пароль). В итоге была взломана машина UNIX. Хотя никакие стандартные методы проникновения замечены не были. Вывод: хакеру нужно думать более глобально, не ограничивать свое внимание только на объекте (жертве), а думать обо всех машинах в сети и о тех людях, которые сидят за этими машинами.

Так вот, поэтому практически во многих ситуациях нам достаточно прочитать веб-сайт жертвы и написать backdoor. После этого, определить: к чему и для чего необходимо получить доступ. Если надо всего лишь скопировать всю информацию и то, что вводил пользователь с клавиатуры - можно ограничиться упрощенным FTP-сервером и кей-логгером*. Мне этого хватит. Если есть желание постоянно наблюдать за жертвой, то можно встроить еще функцию screenshot*, чтобы смотреть на экран жертве. Или же встроить поддержку socks*-соединения, чтобы работать не напрямую, а через socks-сервер, таким образом обезопасить себя. Можно также обеспечить шифрование передаваемых данных и проверку паролем доступа к backdoor жертвы и добавить, если это необходимо, удаленное управление реестром.

Глоссарий

Лога сервера - файл(ы) на компьютере, в которых фиксируются события указанные по критериям оценки опасности этих событий. Часто применяется при обнаружении попыток взлома сервера.

Учетная запись (аккаунт) - совокупность имени и пароля конкретного человека для определенного объекта информатизации в целях обеспечения идентификации и аутентификации этого человека.

Back Orifice (BO) - программный пакет, выпущенный cDc, который позволяет незаметно манипулировать другими компьютерами в Сети.

AntiViral Toolkit Pro - самый популярный антивирусный пакет в России. По данным независимого исследования является самым лучшим в Мире.

Кей-логгер (key-logger) - программа или составляющая программы, которая позволяет записывать в файл (память) все, что было введено на этом компьютере с клавиатуры. Может быть в виде плуг-ина.

Рунет - российская часть Интернета.

Backdoor, "троян", "троянский конь" - программный пакет, который позволяет незаметно манипулировать другими компьютерами в Сети.

FTP-сервер - сервис службы FTP на сервере в Интернет. FTP-сервер позволяет хранить, передавать, скачивать файлы.

Лога - (здесь) файл, который содержит продукт работы кей-логгера.

Screenshot - графический объект с состоянием информации на мониторе в определенный момент времени. Позволяет следить, чем занимается "жертва" во время своей работы. Также может обозначатся плуг-ин с функцией screenshot.

Socks - вид сервиса, который позволяет подключиться к чему-либо через другой компьютер, где запущен socks-сервис. Позволяет скрыть свой адрес. От редакции: эта статья - первая из серии анонсированных нами материалов "бывалого хакера". Надеемся, что представленная информация будет интересна не только интернет-хулиганам, но и, в первую очередь, сотрудникам информационных отделов компаний, а также всем пользователям интернета, желающим обезопасить свои информационные системы от чужого несанкционированного доступа. Редакция убедительно просит не принимать позицию нашего автора как руководство к действию.

Рудоманов Василий

Об издании

16+

Сетевое издание Эпиграф.инфо
Зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
Свидетельство о регистрации ЭЛ № ФС 77 - 70647 от 03.08.2017 г.

Адрес

Учредитель: Общество с ограниченной ответственностью "МЕТРОПОЛИС-НСК"
Адрес учредителя 630091, Новосибирская обл., г. Новосибирск, ул. Державина, д. 28, оф. 604
Адрес редакции 630091, Новосибирская обл., г. Новосибирск, ул. Державина, д. 28, оф. 604
Главный редактор Еренкова Ольга Николаевна
Телефон редакции: (383) 210-51-50, 211-96-00,
e-mail: inform@epig.ru

Правовая информация

Распространяется бесплатно. Редакция не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях. Редакция не предоставляет справочной информации.