Программные закладки типы, способы внедрения и защиты (стр. 5 из 9)
· Mouse pos - установка мыши на координаты заданные в верхних полях.
· Listen - в появившемся окне выводятся все нажатия клавиш и возможно нажатие некоторых функциональных клавиш.
· Sound system - позволяет изменить звуковые настройки и прослушать музыку, которая воспроизводится на компьютере.
· Server setup - позволяет настроить сервер (например, поставить пароль).
· Control mouse/Stop control - включить/выключить слежку за координатами мышки на компьютере жертвы.
· Go to URL - открыть назначенный URL в браузере, назначенном по умолчанию.
· Key manager - назначает воспроизведение звуков при нажатии клавиш, заблокировать/разблокировать выбранные клавиши или всю клавиатуру в целом.
· File manager - управление файловой системой компьютера с сервером (чтение/запись/удаление файлов).
2.2.3. D.I.R.T.
Система D.I.R.T., согласно официальной политике компании Codex Data Systems Inc., разработавшей ее, предназначается для использования исключительно правоохранительными органами и имеет стоимость, в зависимости от конфигурации, от 2 до 200 тысяч долларов. Независимые же эксперты утверждают, что по функциональности система D.I.R.T. ненамного превосходит широко известные бесплатные хакерские программы такие как Back Orifice.
По утверждению разработчиков, D.I.R.T. используется для борьбы с терроризмом, детской порнографией и распространением наркотиков. Однако специалисты видят серьезную опасность в применении столь мощной системы мониторинга и удаленного администрирования для промышленного шпионажа и ведения информационной войны.
Вопреки маркетинговой политике компании Codex Data Systems, многие называют D.I.R.T. не иначе, как троянской программой. Антивирусные компании с самого момента появления D.I.R.T. в 1998 году находятся в замешательстве и не знают, как реагировать на данный факт. Некоторые из них все же пошли на решительный шаг и включили D.I.R.T. в свои вирусные базы. Так, например, антивирусные программы производства "Лаборатории Касперского" и Trend Micro определяют файл coredll.dat, являющийся компонентом D.I.R.T., как троянскую программу под названием Trojan.PSW.Johar, или просто JOHAR. Кроме того, клиентская часть D.I.R.T., устанавливаемая на компьютер, являющийся объектом контроля, имеет по умолчанию такие же файлы, что и JOHAR - desktop.exe, desktop.log and desktop.dll.
Принципы работы D.I.R.T.
Система состоит из клиентской и серверной частей. Основные функции программы - это перехват всех нажатий клавиш и невидимая отсылка информации на заданный адрес электронной почты, который контролируется командным центром D.I.R.T. При этом отсутствует необходимость в физическом доступе к клиентскому компьютеру. Дополнительные возможности D.I.R.T. включают удаленный доступ к файлам через Интернет или локальную сеть, удаленное управление системой (запуск программ, редактирование реестра и др.), возможность перехвата информации в режиме реального времени, удаленный захват экрана и звука (если к клиентскому компьютеру подключен микрофон).
Основой клиентской части является "жучок", встроенный для маскировки в какой-либо обычный исполнимый файл или документ Microsoft Office. При запуске или открытии "зараженного" файла, жучок активизируется и невидимо устанавливается в системе. В его задачи входит перехват нажатий клавиш, выполнение команд, поступающих от серверной части, отправка зашифрованных файлов отчета на заданный адрес электронной почты.
Главные компоненты серверной части
· D.I.R.T. Control Center Configuration - предоставляет удобный доступ к двум наиболее важным конфигурационным файлам системы D.I.R.T. - "Import Files", где содержится перечень файлов с журналами регистрации, полученными от клиентских компьютеров, и "D.I.R.T. Generator", где настраиваются параметры конфигурации для генерирования новых "жучков". После импортирования в базу новых клиентов можно просматривать их журналы регистрации в html формате с настраиваемыми шаблонами.
· Target Manager - менеджер "целей". Содержит перечень всех клиентских компьютеров, находящихся под наблюдением и позволяет добавлять, удалять, редактировать, активировать/деактивировать "цели", а также генерировать "жучки" для новых "целей". Внешний вид окна менеджера "целей" показан на рисунке 3.
· D.I.R.T. Remote Access - терминал для связи с клиентской частью. Позволяет записывать файлы на клиентский компьютер или с него, запускать программы на клиентском компьютере, давать различные команды и управлять "жучком", устанавливать/обновлять дополнительные компоненты и многое другое.
Таким образом, видно, что даже минимальные возможности D.I.R.T. дают серьезный повод задуматься специалистам по сетевой безопасности.
Дополнением к D.I.R.T. является технология с романтическим названием H.O.P.E. (Harnessing the Omnipotent Power of the Electron - "управление всемогущей силой электрона"), имеющая отнюдь не столь романтическое предназначение - автоматизация процесса генерирования "жучков" и их массового внедрения на клиентские компьютеры через сеть Интернет. В числе вышеупомянутых 140 файлов, добытых хакерами, самой программы H.O.P.E. не оказалось, зато была получена презентация в формате PowerPoint, описывающая возможности и функции этой технологии.
Рис. 3. Внешний вид окна менеджера "целей"
Программно-аппаратный продукт H.O.P.E. поставляется тем агентствам, которые обладают сайтовой лицензией на D.I.R.T. Принцип его работы состоит в том, что, при посещении сервера H.O.P.E. пользователем, автоматически генерируется "жучок" системы D.I.R.T., который снабжается уникальным кодом для идентификации и определения местоположения клиента. Все перемещения "жучка" фиксируются в журнале регистрации сервера. Таким образом, сложно предположить масштабы распространения системы D.I.R.T.
Даже межсетевые экраны не являются помехой на пути D.I.R.T. Обход защиты достигается за счет использования технологии AntiSec. Предназначается AntiSec для поиска всех известных межсетевых экранов и их незаметной нейтрализации.
2.2.4. Paparazzi
Небольшая программа под говорящим названием PAPARAZZI, созданная Industar Cybernetics Corp., призвана осуществлять контроль за происходящим на офисных компьютерах, и делает это довольно-таки оригинальным способом.
Программа состоит из двух независимо работающих модулей - "агента", который тайком устанавливается на компьютере "подопытного" и делает с заданной регулярностью скриншоты, и "монитора", доступ к которому имеет администратор. "Монитор" позволяет просмотреть накопившиеся данные или изменить настройки PAPARAZZI - варьировать частоту кадров, удалить или сортировать их, приостановить наблюдение на любое время.
Рис. 4. Рабочее окно программы Paparazzi. Version 0.2
Файлы данных тщательно защищены от обнаружения и просмотра. Для пользования PAPARAZZI нужно помнить (и сохранять в тайне) пароль и код доступа. Не зная их, воспользоваться программой или просмотреть снимки просто невозможно. При деинсталляции все следы работы PAPARAZZI полностью уничтожаются.
2.2.5. Распознавание троянских программ
Большинство программных средств, предназначенных для защиты от троянских программ, в той или иной степени использует так называемое согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. Берется, к примеру, архивная копия системного файла и ее атрибуты сравниваются с атрибутами этого файла, который в настоящий момент находится на жестком диске. Если атрибуты различаются и никаких изменений в операционную систему не вносилось, значит в компьютер, скорее всего, проник троянец.
Одним из атрибутов любого файла является отметка о времени его последней модификации: всякий раз, когда файл открывается, изменяется и сохраняется на диске, автоматически вносятся соответствующие поправки. Однако отметка времени не может служить надежным индикатором наличия в системе троянца. Дело в том, что ею очень легко манипулировать. Можно подкрутить назад системные часы, внести изменения в файл, затем снова вернуть часы в исходное состояние, и отметка о времени модификации файла останется неизменной.
То же самое происходит и с размером файла. Нередко текстовый файл, который изначально занимал 8 Кбайт дискового пространства, после редактирования и сохранения имеет тот же самый размер. Несколько иначе ведут себя двоичные файлы. Вставить в чужую программу фрагмент собственного кода так, чтобы она не утратила работоспособности и в откомпилированном виде сохранила свой размер, достаточно непросто. Поэтому размер файла является более надежным показателем, чем отметка о времени внесения в него последних изменений.
Злоумышленник, решивший запустить в компьютер троянца, обычно пытается сделать его частью системного файла. Такие файлы входят в дистрибутив операционной системы и их присутствие на любом компьютере, где эта операционная система установлена, не вызывает никаких подозрений. Однако любой системный файл имеет вполне определенную длину. Если данный атрибут будет каким-либо образом изменен, это встревожит пользователя.
Зная это, злоумышленник постарается достать исходный текст соответствующей программы и внимательно проанализирует его на предмет присутствия в нем избыточных элементов, которые могут быть удалены безо всякого ощутимого ущерба. Тогда вместо найденных избыточных элементов он вставит в программу своего троянца и перекомпилирует ее заново. Если размер полученного двоичного файла окажется меньше или больше размера исходного, процедура повторяется. И так до тех пор, пока не будет получен файл, размер которого в наибольшей степени близок к оригиналу (если исходный файл достаточно большой, этот процесс может растянуться на несколько дней).