|
MS UnSecArt #4
В последнее время security
bboyz&grlz озабочены поисками всевозможных buffer
overflow,поисками ошибок в реализации сетевых протоколов на
низком уровне и изучением неадекватного поведения ОС,я
расскажу о более прозаичных и понятных методах:
Куда надо смотреть что бы не
запускать всякую гадость у себя на
компьютере
Реестр
Именно, реестр-это первое что приходит в
голову.. Внимательно просматриваем ключи, если в этих разделах
появилось что-то очень непонятное-разберитесь...
Большинство троянов прописываются именно
в этом месте...
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
Здесь можно присваивать
различные значения ...Пример,если выбрать любой bat
файл-ткнуть на него правой кнопкой и выбрать "Изменить" что
запустится?Правильно- notepad.exe,однако по этим ключам можно
заметить что здесь присваиваются значения при команде
"Открыть", то есть запуская любой бат файл,фактически
запускается троян. Строка вида C:\WINDOWS\troyan.exe %1 будет
запускать troyan.exe ВСЕГДА если открывается bat файл, то же
самое касается exe,com,hta,pif
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\"
%*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\"
%*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\"
%*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\"
%*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
@="\"%1\" %*"
Немного об ICQ...
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"
В этом месте указываются ВСЕ
приложения которые запускаются когда ICQ чувствует соединение
с Интернетом...
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\
Как пример скрытия
настоящего расширения файла:
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]
@="Scrap object" "NeverShowExt"=""
В win 98 есть такая опция "Не
показывать расширение для зарегистрированных типов файлов",как
показывает опыт, эта опция достаточно опасна,поэтому
рекомендую отключить ее... Хорошо,теперь мы видим все
настоящие расширения,txt это txt,exe это exe etc... -следующий
шаг,создаем файл new.txt.shs,хм... файл почему то имеет
расширение txt,хотя мы явно указали shs..
Вот за скрытие shs-расширения и отвечает этот
ключик...Более того, если просмотреть свойства этого файла, то
он все равно будет называтся new.txt,впечатление конечно
портит иконка,но я думаю что это не очень большая
проблема...
autorun.inf
Теперь вспомним о старой, но до сих пор непофиксенной баге- а
именно autorun.inf. Хехе, действительно очень старая дырка.
Напомню ее суть, кто забыл (или не знал ;) Большинство
встречалось с тем что если засунуть сидюк, то он сам
запускается и так далее.. Ответственнен за это небольшой файл
autorun.inf содержащий следующее:
[autorun]
OPEN=AUTORUN.EXE
Запускается файлик находящийся на CD,то есть
autirun.exe... Понятно что переправить строку с autorun.exe на
troyan.exe не составит труда.. Предположим что хакер имеет
доступ к какому либо диску(не флопповод), он просто закидывает
туда авторан,троянчика и ждет, пока кто-нибудь (желательно
админ),не зайдет на этот диск....
Autoexec.bat
no comments ;)
Win.ini
[windows]
 load=troyan.exe
 run=troyan.exe
System.ini
Shell=Explorer.exe file.exe
c:\windows\winstart.bat
Обычный бат-файл...зато всегда
запускается
c:\windows\wininit.ini
Да,запускается АБСОЛЮТНО не видимо для
пользователя,запускаятся ОДИН раз и стирается..Используется
этот файл для установки различными setup'ами
: (content of wininit.ini)
[Rename]
NUL=c:\windows\picture.exe
Nul -равносильно стиранию файла...Еще раз
говорю,для пользователя запуск приложения АБСОЛЮТНО
незаметен...
Теперь вспомним о
дырках которые были найдены сравнительно недавно-
Explorer.exe
Было обнаружено, что NT/2k почему то
начинают искать explorer.exe в корне диска, то есть если
злоумышленник имеет доступ к корню, он просто кладет туда
трояна, который называется explorer.exe
Похожая проблема имеется и в win95/98
Правда теперь файл будет называтся
win.comПо всей видимости осталось еще с 3.11.
folder.htt
Довольно часто,просматривая содержимое папок в
Windows,вы обращали свое внимание на файлы типа
folder.htt
Так вот,этот файл может
содержать директивы т.н. active script'инга.Хм, скажет
читатель,ну и что из этого?
Итак,суть дыры
Сначала локально:-
Вы
под Win98 используете разграничение по пользователям,и
соответсвенно у кого-то права меньше чем у Вас, что он делает?
Он меняет файл folder.htt в какой либо директории на
свой. Потом при заходе в директорию (если у Вас в опции Вид
стоит "Показывать содержимое директории как Web")в котором
лежит чужой folder.htt запускаются директивы
прописанные в нем же и! ...выполнение любой команды с
привилегиями зашедшего... Под Win2000 ситуация абсолютно
похожая... Болгарин Georgie Guninski написал
небольшой эксплойт,который запускает файл a.bat c
надписью:
"Written by Georgie
Guninski"
Хорошо, скажем так,
сейчас достаточно редко используется Win98 в качестве
мультипользовательского компьютера, и это вселяет некоторую
надежду,но тут вкрадывается следующая мысль , а
именно:
Удаленная
атакаЧто мешает
атакующему закинуть подобные файлы в любой расшаренный ресурс
на компьютер Вашей секретарши? (Стоит напомнить что "Просмотр
в виде Web " стоит по дефолту...А Ваша фирма занимается
онлайновыми транзакциями?стоит подумать...
fix:::
Хм...в
принципе все это фиксится просто-достаточно просто произвести
небольшие изменения,а именно отключить просмотр в виде Web
Page в меню Вид.
leet xploid
Продолжим хит-парад
Как-то AntioX и diGriz долго
обсуждали возможность такую- так как по дефолту в win включена
"Не показывать расширения для зарегистрированных типов
файлов", то весьма просто изменить иконку бинария на иконку
желтого цвета-то есть папки, назвать файл 1 или a (чтобы
файл/директория появлялись в самом начале директории) и ждать
пока пользователь нажмет на эту лже-папку...Решение
интересное, я с таким не сталкивался... AntioX's file(К
сожалению, сорсов нет,так как автор пропал куда-то,программа
просто открывает дефотовые admin share то есть C$ d$ etc,если
администратор предварительно убил это в реестре,написать такую
программу достаточно просто...Поэтому-либо пользуйтесь, либо
пишите сами ;)Кстати,используется только под НТ.
И наконец-Автозагрузка
 C:\windows\start
menu\programs\startup-как известно,здесь можно указать
указать,какие программы надо запускать вместе с системой.Сюда
можно запихнуть что угодно,просто трояна,создать lnk файл на
него или reg файл, который сам добавится к определенной ветке
реестра.Фантазия безгранична 8)
ОГЛВЛЕНИЕ
| |
HTML
![Проект [-=DaGo=-] по безопасности компьютерных сетей и защите информации](http://www.netsecurity.r2.ru/img/dagobutton.gif){kind=small}
