За прошедшие несколько лет команда Honeynet Project от случая к случаю наблюдала применение против Honeynet одной и той же тактики. Хотя не все взломщики прибегают к этой тактике, она относится к наиболее распространенным способам действия. Скорее всего, ваша организация также столкнется с данной тактикой. Она очень проста. Большинство взломщиков случайным образом сканируют Internet в поисках определенных уязвимых мест, чтобы впоследствии их использовать. Иногда в ход идут инструменты, предназначе'нные для массированного сканирования, и сканируют миллионы систем, пока не найдут потенциальных жертв. Большинство применяемых инструментов просты в использовании и автоматизированы, так что не требуют особого взаимодействия с пользователем. Можно запустить инструмент и вернуться через несколько дней, чтобы просмотреть результаты. У взломщиков есть даже название для этого вида инструментов - automoter. Ни один инструмент не похож на другой, точно так же, как не бывает двух одинаковых взломов. Однако большинство инструментов основывается на одной и той же тактике. Сначала взломщик создает базу данных IP-адресов, которые можно просканировать. Следующий этап заключается в сборе информации об этих IP-адресах: какая используется операционная система и какие сервисы или приложения предлагаются. Зачастую необходимо определить версию сервиса или приложения. После того как будет получена эта информация, сам взломщик или его инструмент определяет, насколько уязвима удаленная система. Однако в последнее время взломщики даже не утруждают себя определением уязвимости системы. Они запускают свои приемы против множества систем и смотрят, насколько успешной была попытка.
Предположим, что у хакера есть инструмент, который взламывает уязвимую версию rpc.statd в системах Linux, такую как statdx.c. Взломщик может не знать принципа работы инструмента и даже не знать, что такое rpc. statd. Скорее всего, кто-нибудь объяснил этот прием через IRC, или он загрузил раздел HOWTO (Как сделать что-либо), где приводилась поэтапная инструкция по использованию инструмента. Однако взломщик все же знает, что необходимо найти системы Linux, работающие с уязвимой версией, такой как Red Hat 6.2. Зачастую инструмент заранее настроен на запуск против определенной операционной системы или производителя. Именно такие системы и будет искать взломщик. Сначала он создает базу данных IP-адресов, которые можно просканировать: действующие и доступные системы. Другой способ может заключаться в проведении пересылки зоны DNS-домена. После того как база данных IP-адресов создана, пользователю нужно выяснить, какие системы работают с Linux. Это можно сделать, взглянув на заголовки систем, например через TELNET, или применить более сложные инструменты сканирования для определения типа удаленной операционной системы, такие как Nmap или Queso. Эти инструменты создают специальные пакеты, которые в большинстве случаев могут удаленно определить тип операционной системы, иногда даже версию ядра или установленные пат-чи. После определения типа удаленной операционной системы нужно узнать, запущен ли конкретный сервис, в данном случае rpc.statd. Для того чтобы уточнить, какие хосты работают с rpc. statd, можно воспользоваться сканерами портов, например Nmap, или простыми системными инструментами, такими как rpcinfo. Теперь остается только взломать уязвимые системы.
Подобная тактика не ограничивается системами на основе UNIX; те же самые приемы используются и против Windows. Взломщики случайным образом зондируют Internet, чтобы найти определенные слабые места систем на базе ОС Windows, а затем взломать их. Одним из самых агрессивных типов сканирования, с которым мы встречались, является сканирование NetBIOS. Взломщики в сети Internet активно проводят сканирование в поисках систем с Windows SMB. Участники проекта Honeynet зарегистрировали более 500 попыток подобного сканирования за один месяц (см. приложение D). Еще один распространенный вид сканирования - это поиск слабых мест NT IIS, таких как Unicode или RDS (краткие названия дырок в Web-сервере MS IIS). Затем нарушители быстро взламывают уязвимые системы. Ни одна из них не находится в безопасности.
Не все взломщики абсолютно точно следуют этой тактике. Зачастую могут применять только часть описанных приемов. Например, многие взломщики не утруждают себя созданием базы данных IP-адресов и просто последовательно сканируют всю сеть в поисках определенного сервиса, такого как демон сервера FTP Вашингтонского университета. Если взломщик найдет систему, действующую с FTP, он не удосужится определить версию или поставщика работающего сервера, а просто начнет взлом. Если получится, хорошо. Если нет, он перейдет к следующей системе. Взломщики могут запустить процесс сканирования на 24 часа в сутки, 7 дней в неделю...
Вы можете подумать, что все это сканирование будет необычайно шумным и привлечет большое внимание. Однако многие пользователи не проводят мониторинг своих систем и не понимают, что их сканируют или что их системы используются для сканирования других систем. Кроме того, многие «script kiddies»1 спокойно ищут одну систему, которую могут взломать. После этого ее используют в качестве стартовой площадки, напрямую сканируя весь Internet, не опасаясь наказания. Если такие попытки будут обнаружены, отвечать придется системному администратору, а не взломщикам.
Взломщики часто создают архив или делятся результатами сканирования, чтобы ими можно было воспользоваться позднее. Например, создается база данных, куда заносятся сведения о том, какие порты открыты на доступных системах Linux, чтобы воспользоваться текущей уязвимостью карты образа. Однако, скажем, спустя месяц после этого определяется
1 Обычно взломщики низкой квалификации, которые используют для атак чужие инструменты. -Прим. науч. ред. новая возможность взлома Linux через другой порт. Вместо того чтобы создавать еще одну базу (для чего требуется больше всего времени), злоумышленник может быстро просмотреть заархивированную базу данных и взломать уязвимые системы. Также «script kiddies» распространяют и даже покупают базы данных уязвимых или взломанных систем (примеры см. в главе 11). Затем можно взломать вашу систему, даже не сканируя ее. Только тот факт, что за последнее время она не подвергалась сканированию, не означает, что вы в безопасности.
После проведения атаки более опытные взломщики устанавливают троянские программы или черные ходы (backdoor), которые позволяют получить быстрый и незаметный доступ к системе. Даже если администратор изменит учетные записи или пароли, у взломщика все равно будет удаленный доступ. В системные двоичные файлы внедряются троянские программы, скрывающие присутствие и действия взломщиков. Эта цель достигается путем изменения системных двоичных файлов, чтобы скрыть файлы, процессы и любую другую деятельность взломщика. Троянцы делают незваного гостя незаметным, не запоминая его действия ни в системных журналах, ни в процессах, ни в структуре файлов. Более сложные троянцы модифицируют системные библиотеки или даже загружают узловые модули, изменяя работающее в памяти ядро. Для автоматизации и упрощения этой задачи были созданы и опубликованы инструменты под названием rootkit. Они автоматизируют весь процесс подчинения себе системы, включая зачистку системных журналов для сокрытия следов действия взломщика, замену системных двоичных файлов, установку черного хода и запуск анализаторов для перехвата учетных записей и паролей. Нам даже встречались rootkit, охраняющие взломанную систему, чтобы никакой другой взломщик не мог найти и воспользоваться тем же самым уязвимым местом.
Такие атаки не привязаны к определенному дню или времени суток. Многие администраторы ищут в регистрационных записях признаки зондирования, совершенного поздно ночью, полагая, что именно в это время взломщики производят нападения. Но атаки случаются в любое время. Помните, в большинстве случаев систему взламывает автоматизированная программа, а не сам взломщик. Сканирование производится по 24 часа в сутки; невозможно предугадать, когда оно произойдет. Кроме того, подобные атаки могут исходить из любого уголка Земного шара. Ожидайте сканирования своих систем в любое время и из любого места.
