В прошлой главе мы рассмотрели как обманывать хакера, а сейчас займемся другим интересным направлением - ниспровержением нападающего. Мы можем предпринять ряд действий для того, что бы уменьшить эффективность действий взломщика и перехватить у него инициативу.

Примером этого может служить попытка заставить нападающего с помощью социальной инженерии использовать "отравленные" утилиты, содержащие бэкдоры.

Такой подход может в корне подорвать все действия хакера и заодно эксплуатирует и его любопытство, и его лень. Подрывная деятельность может так же использовать для деморализации противника и игре на его чувствах, что может в полной мере использоваться нами в дальнейшем.

В качестве примера возьмем ситуацию в которой эксплоит оснащен "задним проходом" и каждый раз "звонит домой" при использовании - несколько гипотетическая ситуация, конечно. Но представьте, что эксплоит (или утилита) размещен на поддельном сайте на ряду с многими другими, даже реальными, где-нибудь на хакерском сервере в Восточной Европе.

Или можно его положить и на открытом сайте и ждать когда хакер скачает и попробует запустить. Это пример использования любопытства - хакер скорее всего выполнит бинарник или эксплоит без его полного анализа, просто посмотреть, что на самом деле он делает. К тому же мы эксплуатируем и человеческую лень, заниматься реверс инжинирингом не слишком веселое занятие.

Такие эксплоиты и утилиты не плод больного воображения. Могу привести пример эксплоита для samb-ы в котором мы обнаружили вызов system(), что довольно необычно для такого рода программ. Посмотрев глубже мы нашли такой фрагмент:

Этот скрипт создает /etc/.mc для ежедневного отчета. Смотрим дальше:

Видно, что каждый раз при использовании программ сохраняет удаленный адрес в выше созданном файле. Раз в день файл пересылается истинному владельцу, тому лишь остается сидеть и наблюдать за распространением своего творения.

Естественно, в такой ситуации возможно создание более вредоносных и комплексных бэкдоров, которые позволют перехватить управление машиной хакера, а не просто сообщать о его действиях. Всегда думайте что же вы запускаете!

Обратите внимание, что доклад своему создателю о действиях жертвы - давняя техника, которая используется во многих вредоносных приложениях. Например, можно внедрить ссылку на картинку в почтовый документ или отсылаемую страницу для определения факта прочтения.

Спамеры довольно хорошо освоили этот пример и часто им пользуются. Например в письме можно встретить ссылку на такую картинку:

emailing.spamme.com/cgi-bin2/flosensing?y=6l0BUf4O0BFA0&Db

"Администратор: Ссылка не работает и используется только для ознакомительных целей."

Значение 6l0BUf4O0BFA0 используется для слежения за письмом, когда письмо открывается почтовик читает картинку с удаленного сайта посылая определенный набор информации о подопытном клиенте.

Наша задача в данной главе - вызвать сбой на стороне атакующего. Это можно вызвать исчерпанием его ресурсов или же "уничтожением" нападающего.

Исчерпание ресурсов

Идею такого противодействия можно найти, например, в проекте LaBrea: это особого рода honeypot, который соединения искусственно держит так долго, что червь не может обрабатывать другие хосты.

Однако не будем останавливаться на работе червей, а разберем воздействие эксплоитов. Эксплоит - главное оружие нападения у атакующего, необходимый инструмент даже если есть и обходные пути. Попытаемся же остановить хакера на раннем подступе к нашей системе.

Источник: http://www.securityfocus.com