Поделиться
Анализируем 7 шагов хакера по взлому крупных сетей
Взлом больших сетей - непростая задача, требующая использования специальных методов, учитывающая способы построения максимально защищенных сетей. Для эффективной защиты от возможных атак необходимо учитывать все возможные пути проникновения в сеть, чтобы свести шансы хакеров на успех к минимуму.Варианты хакерских атак
После того, как хакер собрал всю предварительную информацию, настало время приступать к атаке, которая может принять одну из следующих форм:
- Троянский конь.
- Черные ходы.
- Отказ в обслуживании (DDoS) и ботнеты (BotNets).
- Переполнение буфера (Buffer overflows).
Троянские кони
Троянские кони – это программы, которые кажутся вполне законными, но производят некоторые незаконные действия после запуска. Они могут использоваться, чтобы определить место хранения паролей, сделать систему менее защищенной для будущего вторжения, или просто уничтожить программы или данные на жестко диске. Троянские кони похожи на вирусы, но не могут размножаться путем заражения других файлов, поселившись на компьютере, они дают возможность получить контроль над удаленным доступ компьютером.
На практике хакеры используют Троянских коней для шпионских целей (как и пакетный сниффер) или для проделывания черных ходов, которые позволяют им получить удаленный доступ через сеть к зараженному компьютеру без ведома пользователя. Некоторые примеры последствий присутствия Троянского коня – стирание/перезапись данных на компьютере; порча файлов; распространение других вредоносных программ, например, вирусов; изменение сетевых настроек компьютеров-зомби для проведения DDoS-атак или рассылки спама; слежение за пользователем и тайная рассылка сведений о нем; ведение логов нажатий на клавиатуре для хищения паролей и номеров кредитных карт; подмена банка или других деталей доступа в криминальных целях; и оставление черных ходов в компьютерной системе, чтобы можно было вернуться позже и получить доступ.
Черные ходы
Черные ходы – способ обойти обычную аутентификацию и получить удаленный доступ к компьютеру, скрыв их от случайного обнаружения. Это может происходить в форме инсталляции программы, или, возможно, законной ее модификации. При входе в систему они могут обходить трудные комбинации имен пользователей и паролей. Типичными примерами черных ходов являются NetBus, SubSeven и BackOrifice.
Распространенность черных ходов в платных программах (исходный код которых закрыт для проверки) является абстрактной темой для рассуждений, но иногда используется на практике. Хакеры могут проделать черные ходы без модификации исходного кода программы, или изменить его после компиляции. Это может быть сделано перепиской компилятора. Когда измененный компилятор находит исходный код, он собирает программу как обычно, но вставляет черные ходы (возможно, с помощью специального пароля). Поэтому, когда входит хакер, ему открывается доступ к некоторым (как правило, недокументированным) операциям.
Многие компьютерные черви, такие как Sobig и MyDoom, устанавливают черные ходы на зараженных компьютерах (в основном на ПК, имеющим широкополосный доступ в интернет, на котором запущены небезопасные MS-Windows и MS-Outlook). Эти черные ходы позволяют спамерам рассылать почту с зараженных машин.
Черные ходы и Троянские кони распространяются разными способами, такими, как почтовые черви, специальные веб сайты, социальная инженерия и пиринговые сети P2P. Их потенциальные возможности удаленного управления очень разнообразны, начиная с манипуляции файлами (чтение и удаление), контроль за Рабочим столом, инсталляции программ, использование компьютера для проведения DDoS-атак до распределенного на несколько компьютеров взлома, при котором скрываются следы работы хакера и передача почтовых отправлений.
DDoS-атаки и ботнеты
DoS и DDoS-атаки направлены на сеть, которые переполняют ее дополнительными запросами так, что полезный трафик снижается до минимума, либо вовсе прерывается. В отличии от вирусов и червей, которые могут нанести ущерб базам данных, DoS-атаки нарушает на какое-то время работу сети, в то время, как DDoS-атаки используют различные сетевые компьютеры, предварительно зараженные. Компьютеры, исполняющие роль “зомби”, рассылают поддельные сообщения и, тем самым, увеличивая фальшивый трафик.
При DDoS-атаках атакующий компьютер очень часто представляет собой персональный компьютер с широкополосным доступом в интернет, который был заражен вирусом или Троянским конем, что позволило злоумышленнику получить удаленный контроль и провести атаку, часто через ботнет. При наличии достаточно количества таких управляемых хостов, работа даже больших сайтов может быть нарушена.
Инструменты DDoS очень просты, это такие распространенные ресурсы, как IRC, P2P, почтовые черви, сомнительные веб сайты и социальная инженерия. При всем многообразии инструментов жертвами DDoS-атак становятся крупные веб сайты, серверы, большие компании и сервис провайдеры, все те, кому требуется заблокировать широкую полосу пропускания.
Термин “ботнет” может быть использован по отношению к большому количеству зараженных компьютеров, которые используются для организации DoS-атак рассылки спама. Зараженные Троянским конем компьютеры часто управляются через IRC каналы и ждут команд от хозяина, контролирующего ботнет.
Ботнеты для проведения DDoS-атак чаще управляются через публичные IRC-каналы, чем непосредственно через компьютер владельца. Процесс затрудняется при использовании подписей и стека протокола IP. Однако, поскольку существуют сотни различных инструментов и без труда могут быть написаны новые зловредные программы, атаки могут быть удачными после того, как ботнеты проанализируют и оповестят о способах защиты.
ЗЛОНАМЕРЕННЫЙ КЛИЕНТ.
IRC СЕРВЕР
Этот пример иллюстрирует типичную ботнет атаку. Интернет червь заразил ряд компьютеров. Поскольку каждый инфицированный компьютер соединен с IRC, червь удаленно активизирует IRC сервер, а также предоставляет хакеру контроль над самим IRC (через первоначально зараженный компьютер). Все, что надо – начать DoS атаку, используя нужные команды.
Переполнение буфера
Буфер – часть компьютерной памяти, используемой программой или процессом, хранящим информацию о времени запуска. Поскольку компьютер не делает различий между программным кодом и данными, переполнение буфера позволяет хакеру обрушить службу или внедрить зловредный код.
Переполнение буфера – обычная причина нестабильно работающего программного обеспечения. Если количество данных, занесенных в буфер, превышает его размер, дополнительные данные будут записаны в смежные области, которые могут быть буферами, константами, флагами или переменными. Любое отклонение может быть пресечено, когда контрольные данные, такие как бинарный флаг, будут ошибочно изменены (для этого требуется один бит!). При переполнении буфера различные инструкции передают данные до нулевого указателя или знака возврата, или любого другого сигнала окончания передачи потока данных. Эти инструкции потенциально опасны и могут быть обойдены, если передается или читается точное число байт. Хакеры могут использовать переполнение буфера, добавляя исполняемые инструкции в конец данных, после того, как код попадает в память, он начинает выполняться. Это делает переполнение буфера компьютера опасным, а поскольку программа контроля данных располагаются в области памяти, смежной с буферами данных, переполнение может заставить компьютер выполнять произвольный (и потенциально опасный) код, который был прикреплен.
Программа, которая используется для того, чтобы нарушить безопасность работы другой программы, называется “зксплоитом”, и обычно используется хакерами, чтобы получить права суперпользователя, или другие привилегии. Эксплоит “переполнение буфера” работает таким образом, что добавляет специальное содержимое к данным, чтобы переполнить буфер и изменить его содержимое. Таким образом, хакеры могут вставить инструкции на машинном языке, которые бы дали ему привилегии суперпользователя, такие как добавление и удаление пользователей, смена паролей, изменение или удаление любых файлов.
Переполнение буфера происходит проще всего, когда буфер данных находится в стеке программы, поскольку это сразу может привести к альтернативной исполняемой программе. Кроме того, все зависит от уязвимости самой памяти, стеков, области динамически распределяемой памяти и формата потоков. Находя уязвимые буферы и их максимальный размер, смещение и возвращенные адреса, хакеры могут вызвать отказ в работе сервисов и провести DoS-атаку с целью переполнения буфера и внедрения кода на удаленную машину.
Резюме
Хакинг представляет угрозу всем, кто подключен к интернету. Это означает потерю важных данных, разрушение системы и вывод ее из строя. И чем важнее организация, тем больший интерес она представляет для хакера и больше подвержена риску атаки. Поскольку хакеры используют свой талант, чтобы изобретать все более изощренные инструменты для реализации своих целей, организации должны принять все меры, чтобы свести вероятность успеха атак к минимуму. Антивирусных программ и межсетевых экранов не достаточно. Сегодня необходимо постоянно контролировать активность, чтобы воспрепятствовать сканированию сети и созданию черных ходов, проникновению Троянских коней, ботнетов, осуществлению DDoS-атак, локальных атак и переполнения буфера. Это – постоянный процесс, а не единовременная акция.
Рено Биду / Radware специально для CNews
Короткая ссылка
