Показано с 1 по 3 из 3.

Реверсивные трояны

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Реверсивные трояны

    О реверсивных троянских программах следует поговорить отдельно. Термин «троянский конь» (или «троян») в контексте информационных технологий известен каждому. Под троянской программой понимают некий процесс, несанкционированно установленный на удаленной системе и ожидающий некоего события, с возникновением которого он активизируется. Как правило, таким событием является попытка соединения на TCP-порт, проассоциированный с троянской программой. После активизации программа может предоставлять взломщику доступ к командной строке зараженной системы и выполнять ряд функций, заложенных в нее автором. Таким образом, серверная часть трояна находится на удаленной машине, а взломщик в этом контексте является клиентом.

    Очевидно, что классическая схема работы трояна становится неэффективной при отсутствии прямой маршрутизации от взломщика до порта, проассоциированного с установленной им троянской программой. Такое становится возможным в ряде случаев:

    - если удаленный компьютер находится в пределах сети с локальной адресацией (то есть, по сути, не имеет реального IPv4-адреса);
    - если удаленный компьютер находится внутри «демилитаризованной» зоны, исключающей возможность соединения с располагающимися внутри нее компьютерами извне;
    - если удаленная машина оснащена межсетевым экраном, запрещающим доставку пакетов всем портам, кроме разрешенных.

    Реверсивные же трояны используют обратную схему работы (отсюда и термин «реверсивные»): на удаленной стороне находится клиент, осуществляющий соединение с сервером, который располагается на стороне взломщика. Такой подход требует больше усилий по кодированию и отладке, но позволяет эффективно обходить вышеупомянутые ограничения.

    На сегодняшний день известно о реверсивных троянах, соединяющихся с каким-либо веб-сайтом ради поиска инструкций от взломщика в виде html-страниц. Известны трояны, использующие Интернет-пейджер ICQ в качестве пользователя и ожидающие появления сообщений с UIN’а взломщика. Существуют реверсивные трояны, соединяющиеся и поддерживающие соединение с каким-нибудь публичным IRC-сервером, заходящие на заранее определенный канал и ожидающие там появления «хозяина». Схема, предлагаемая технологией реверсивных троянов, довольно гибкая и универсальная, и ограничивается она, пожалуй, лишь фантазией программиста.

    Отслеживание установки (посредством уязвимости браузера, например) и тем более поиск уже прописанного в системе реверсивного трояна — весьма непростая задача для рядового пользователя ПК. Если же мы имеем дело с нетривиальным реверсивным трояном, то здесь может встать в тупик даже опытный администратор систем MS Windows, знающий ОС вдоль и поперек. И коль скоро ошибки в браузере — наиболее вероятная возможность подцепить реверсивный троян, безопасности браузера необходимо уделить максимальное внимание. Самую полную и удобную инструкцию по настройке безопасности Internet Explorer в параноидальном режиме безопасности можно найти здесь: www.security.webmoney.ru/asp/default.asp .

    Вот чего следует опасаться.

    1 Реверсивный троян может прятаться в системе (прописываясь как сервис, что делает невозможным его отслеживание в списке процессов системы) и активизироваться, например, лишь тогда, когда легитимный юзер активно использует ресурсы компьютера, — чтобы не привлекать внимание неуместными «всхлипами» жесткого диска или мерцанием диода сетевой платы.

    2 Чтобы осуществить соединение, реверсивный троян может прикинуться Internet Explorer’ом, «Oперой», почтовым клиентом и даже Интернет-пейджером вроде ICQ. Известно много способов маскировки под любой процесс в ОС Windows, и с помощью этого трюка можно обходить продвинутые межсетевые экраны и политики безопасности, регламентирующие список процессов, которые имеют право «ходить» в Интернет.

    3 Реверсивный троян может функционировать в качестве драйвера и встраиваться в компонент сетевой операционной системы Windows. Работа реверсивного трояна на этом уровне может обеспечить невидимость его трафика привычными средствами (снифферами, межсетевыми экранами, антивирусами и т. д.).

    4 Реверсивный троян может использовать нетривиальные средства для передачи информации: начиная от ICMP Echo Request-сообщений, которые маршрутизируются практически в каждой сети, и заканчивая отправкой особых DNS-сообщений по следующей схеме:

    4.1 Гипотетический DNS-сервер, отвечающий за домен второго уровня, скажем crackster.ru, принадлежит взломщику. На этом сервере установлен особый DNS-сервис, способный производить некие нетривиальные операции.
    4.2 Жертва отправляет DNS-запрос своему DNS-серверу на разрешение какого-нибудь несуществующего DNS-имени вроде abbracadabbra.crackster.ru.
    4.3 DNS-сервер, не найдя такого имени в кэше, пересылает запрос на DNS серверу crackster.ru, который принадлежит взломщику.
    4.4 DNS-сервер crackster.ru отправляет ответ DNS-серверу жертвы. В ответе содержится некий список адресов, число которых ограничено размером UDP-датаграммы DNS-ответа.
    4.5 DNS-сервер жертвы, получив ответ, фиксирует его в кэше и отправляет жертве.

    Этот способ очень непрост в реализации, сильно избыточен и не слишком динамичен, однако можно быть уверенным, что его использование обеспечивает взломщику высокий уровень анонимности.

    В заключение отметим, что на сегодняшний день использование уязвимостей клиентского ПО, в том числе и приведенная в статье технология внедрения реверсивных троянов, является одной из самых «перспективных» технологий взлома защищенных корпоративных информационных систем. Она позволяет проникнуть даже на хорошо защищенные объекты (пример: www.dsec.ru/services/ReportEx2.zip), так как их администраторы больше озабочены защитой внешнего периметра, забывая про клиентское ПО и безопасность пользователей, что сегодня совершенно недопустимо.
    www.dsec.ru

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Цитата Сообщение от SDA
    Под троянской программой понимают некий процесс, несанкционированно установленный на удаленной системе и ожидающий некоего события, с возникновением которого он активизируется. Как правило, таким событием является попытка соединения на TCP-порт, проассоциированный с троянской программой. После активизации программа может предоставлять взломщику доступ к командной строке зараженной системы и выполнять ряд функций, заложенных в нее автором. Таким образом, серверная часть трояна находится на удаленной машине, а взломщик в этом контексте является клиентом.
    Это уже скорее не троян, а бэкдор.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    Ну бекдор разновидность общего понятия трояна, если их классифицировать, то можно разбить на 2 группы, собственно бекдор и мейлор(а мейлоры могут быть и разовые, один раз отправил пароли на мыло и все). Поправьте если неполноя классификация.

Похожие темы

  1. трояны
    От Gross в разделе Помогите!
    Ответов: 24
    Последнее сообщение: 17.06.2010, 22:12
  2. Трояны
    От kba в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 07.11.2009, 21:22
  3. трояны
    От vanda в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 04.10.2009, 10:08
  4. Трояны
    От betsy в разделе Помогите!
    Ответов: 26
    Последнее сообщение: 22.02.2009, 03:10
  5. PSW трояны
    От user9 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 20.01.2008, 22:51

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01091 seconds with 19 queries