· Клацнути на кнопці ОК. На екрані відобразиться діалог Network (Мережа).
· Закрити діалог Network (Мережа), клацнувши на кнопці Close (Закрити). На екрані відобразиться вікно NetBus 2.0 Pro із записом доданого хосту (рис. 3.13).
· Щоб під’єднатися до хосту Sword-2000 необхідно клацнути правою кнопкою миші на пункті списку Sword-2000 і з контекстного меню, що відобразилося, вибрати команду Connect (Під'єднати). У разі успіху в рядку стану вікна NetBus 2.0 Pro відобразиться повідомлення Connected to 1.0.0.1 (v.2.0) (Підключений до 1.0.0.1 (v.2.0)).
Після успішного з'єднання з серверним компонентом Netbus, використовуючи інструменти клієнта Netbus, можна зробити з атакованим комп'ютером все що завгодно. Практично йому будуть доступні ті ж можливості, що і у локального користувача Administrator. На рис. 3.14. представлений список інструментів клієнта NetBus, який відображений в меню Control (Управління).
Серед цих інструментів можна відзначити засоби, зібрані в підменю Spyfunctions (Засоби шпигунства), що містять такі інструменти, як клавіатурний шпигун, перехоплювачі екранних зображень і інформації, що отримується з відеокамери, а також засобу запису звуків. Таким чином, хакер, що проник у комп'ютер, може підглядати, підслуховувати і читати все, що бачить користувач, говорить, або вводить з клавіатури комп'ютера. Хакер також може модифікувати системний реєстр комп'ютера Sword-2000, завантажувати будь-які програми і перезавантажувати віддалену систему Windows, не кажучи вже про можливості перегляду і копіювання будь-яких документів і файлів.
Як уже згадувалося, описана в цьому розділі утиліта сервера NetBus, вимагає попереднього запуску на комп'ютері, що атакується. Останнє завдання складає цілу окрему область хакінгу і полягає в пошуку відкритих через недогляд каталогів інформаційного сервера IIS, а також у використанні методів«соціальноїінженерії», що використовується длявпровадженнявкомп'ютер троянських коней або вірусів.
3.1.5 Приховування слідів
Аудит, поза сумнівом, є одним з найбільш серйозних засобів захисту від взлому комп'ютерної системи, і відключення засобів аудиту – одна з перших операцій, яку виконують хакери при зломі комп'ютерної системи. Для цього застосовуються різні утиліти, що дозволяють очистити журнал реєстрації і/або відключити аудит системи перед початком роботи.
Для відключення аудиту хакери можуть відкрити консоль ММС і відключити політику аудиту, скориставшись засобами операційної системи. Іншим, могутнішим засобом, є утиліта auditpol.exe комплекту інструментів W2RK. З її допомогою можна відключати (і включати) аудит як локального, так і віддаленого комп'ютера. Для цього необхідно з командного рядка ввести таку команду.
C:\Auditpol>auditpol\sword-2000 /disable
На екрані з'являться результати роботи:
Running...
Audit information changed successfully on \sword-2000...
New audit policy on \sword-2000...
(0) Audit Disabled
System = No
Logon = No
Object Access = No
Privilege Use = No
Process Tracking = Success and Failure
Policy Change = No
Account Management = No
Directory Service Access = No
Account Logon = No
Параметркоманди \sword-2000 - цеім'явіддаленогокомп'ютера, аключ /disable задаєвідключенняаудитунацьому комп’ютері. Утилітаauditpol.exe є досить ефективним засобом для управління мережевими ресурсами і також може бути інструментом який використовується при взломі. Також ця утиліта дозволяє включати і відключати аудит бази даних SAM, що є передумовою використання утиліти pwdump3.exe для отримання паролів з бази SAM.
Очищення журналів безпеки можна виконати або за допомогою утиліти проглядання журналів Windows 2000/XP, або за допомогою спеціальних утиліт.У першому випадку слід виконатинаступні дії.
· Клацнути на кнопці Пуск (Start) і в головному меню, що з'явилося, вибрати команду Налаштування * Панель управління (Settings* Control Panel).
· У панелі управління, відкрити теку Адміністрування (Administrative Tools).
· Двічі клацнути на аплеті Управління комп'ютером (Computer Management). На екрані з'явиться діалог консолі ММС.
· Послідовно відкрити теки Службові програми * Перегляд подій (System Tools | Event Viewer).
· Клацнутиправою кнопкоюмиші на пункті Безпека (Security Log).
· Вибрати команду контекстного меню Стерти всі події (Clear all Events). На екрані з'явиться діалог Проглядання подій (Event Viewer) з пропозицією зберегти журнальні події у файлі.
· Клацнути на кнопці Ні (No), якщо більше не потрібні зафіксовані в журналі події. Журнал буде очищений.
При очищенні журналу безпеки з нього витираються всі події, але відразу встановлюється нова подія - тільки що виконане очищення журналу аудиту! Таким чином, хакер все ж таки залишить свій слід - порожній журналіз зафіксованою подією очищення журналу[9].
3.2 Засоби віддаленого керування
Засоби віддаленого керування комп'ютерами сьогоднінабули великої популярності. Поступово, крок за кроком, з інструменту віддаленого адміністрування, що використовувалися суто в технологічних цілях, програмні засоби цього типу почали використовуватися співробітниками різних організацій для роботи зі своїм офісним комп'ютером не виходячи з будинку, з домашнього комп'ютера. Сучасні програми віддаленого керування офісним комп'ютером надають цілий набір засобів для підключення - прямого, модемного і мережевого. Все це надає великі зручності для співробітників організацій, проте і хакерам також відкриваються можливості для досягнення своїх цілей.
Інсталюючи засоби віддаленого керування, існує можливість його несанкціонованого використання. Якщо встановити на офісний комп'ютер модем і підключити його до телефонної лінії для подальших сеансів зв'язку з домашнього комп'ютера, то хакер при виявленні телефонів організації і протестувавши на наявність з'єднання за допомогою спеціальних програм ідентифікує засоби віддаленого керування та взламує їх.
3.2.1 Програма pcAnywhere
Програма pcAnywhere корпорації Symantec є одним з кращих інструментів віддаленого керування хостами мережі TCP/IP. pcAnywhere встановлюється на комп'ютерах, зв'язаних локальною мережею, модемною лінією зв'язку або безпосередньо, через послідовні і паралельні порти. Комп'ютери, керовані засобами pcAnywhere, називаються хостами, а комп'ютери, що керують, називаються абонентами. Взаємодіяхостів і абонентів pcAnywhere відбувається наступним чином, після встановлення зв'язку на екрані віддаленого комп'ютера відображаються ті ж засоби призначеного для користувача інтерфейсу і діалоги програм, що і на моніторі хосту. При цьому дії користувача в діалозі абонента pcAnywhere негайно копіюютьсяна екрані хоста pcAnywhere.
Таким чином, користувач комп'ютера-абонента pcAnywhere отримує в своє розпорядження консоль віддаленого керування хостом pcAnywhere, практично співпадаючу з локальною консоллю хосту (рис. 3.15).
Для керування роботою своїх хостів і абонентів програма pcAnywhere надає диспетчер, робоче вікно якого, pcAnywhereManager (Диспетчер pcAnywhere), представлене на рис. 3.16.
Версія 10.5.1 програми pcAnywhere не дозволяє поповнювати список абонентів хоста без вказівки логіна і пароля вхідної реєстрації. Новому абонентові при створенні надаються за замовчуванням обмежані права.
Отже, на перший погляд, все, що можна запропонувати для злому доступу до хосту pcAnywhere– це спробувати вгадати логін і пароль, часто співпадаючі з логіном і паролем вхідної реєстрації. Для цього можна скористатися програмою Brutus. Ця програма дозволяє настроювати свої засоби злому паролів. Проте це трудомісткий і ненадійний шлях, оскільки користувач встановить надійний пароль для реєстрації, а система захисту зафіксує численні спроби вхідної реєстрації [8].
Існує обхідний шлях – підміна профілю підключення абонента до хосту. В цьому випадку необхідно створити хост pcAnywhere, ім'я якого співпадає з тим, що відображається в діалозі очікування з'єднання. Наступним кроком є створення абонента для підключення до цього хосту, цьому абонентові надаються необмежені права доступу до хосту, встановлюючи перемикач Superuser (Суперкористувач) на вкладці Privileges (Привілеї) діалогу властивостей абонента.
Після створення хосту pcAnywhere в папці Системний диск:/DocumentsandSettings/AllUsers/ApplicationData/Symantec/pcAnywhere (або в іншій папці, вказаній в списку діалогу диспетчера pcAnywhere), створюється файл профілю абонента цього хоста з передбаченим ім'ям. У даному випадку для хосту Sword-2000 після створення абонента pcAnywhere з логіном А1ех-3 був створений файл профілю з ім'ям PCA.Alex-3.CIF - тобто з ім'ям, що містить логін абонента в середині запису, і з розширенням .CІF.
Створивши за допомогою диспетчера pcAnywhere нового абонента наприклад, Hacker, профіль якого буде збережений у файлі PCA.Hacker.CIF на комп'ютері хакера. Якщо цей файл РСА.Hacker.CIF помістити на хост Sword-2000 в теку Системний диск:/DocumentsandSettings/AllUsers/ApplicationData/Symantec/ pcAnywhere, то в діалозі абонентів хоста Sword-2000 з'явиться новий обліковий запис ( рис. 3.17).
Тепер до хосту pcAnywhere можна підключитися, знаючи логін і пароль нового абонента Hacker, в даному випадку - хакер, що трохи попрацював для створення і перенесення файлу профілю на комп'ютер-жертву.
Існує декілька шляхів для запису файлу на атакований комп’ютер. Одним з них це атака на протокол NETBIOS, або підготувавши і відправити лист з активним вкладенням, яке завантажить на хост файл, скажімо, з використанням клієнта TFTP. Можна також вдатися до методів соціальної інженерії і змусити ламера клацнути на посиланні для завантаження безкоштовної программи (це найкращий метод для людей із специфічними схильностями). Якщо хост pcAnywhere функціонує як Web-сервер, є сенс атакувати сервер IIS, і якщо це програма IIS 5, не оброблена сервісними пакетами, то шанси на успіх майже стовідсоткові[8].
Щоб віддалено визначити, чи встановлений на комп'ютері хост pcAnywhere і чи працює він в даний момент, слід звернутися до засобів інвентаризації ресурсів локальної мережі, які повинні виявити на комп'ютері відкриті порти віддаленого управління. Проте в мережах Windows є і ще одна можливість – використання засобів інвентаризації, вбудованих в системи WindowsNT/2000/XP, які спираються на протокол SNMP (SimpleNetworkManagementProtocol -простий протокол мережевого управління).