Цепные атаки: Как предотвратить атаку с помощью фишинга
Вы никогда не задавались вопросом, нет ли на вашем компьютере шпионских программ? В этой главе из книги Кетрона Эванса (Keatron Evans), Эндрю Уайтакера (Andrew Whitaker) и Джека Б. Вота (Jack B. Voth) авторы расскажут, как злоумышленник может создать фальшивый Web-сайт и с помощью фишинга побудить сотрудников – даже вашего босса – загрузить и установить на своей машине троянскую программу. "Цепные атаки: Современные хакерские атаки от начала и до конца" (Chained Exploits: Advanced Hacking Attacks from Start to Finish Copyright)
... Теперь взгляните на рисунок 2.3. Здесь пользователь В отправляет данные назад пользователю А. При этом коммутатор зафиксирует МАС-адрес источника (теперь это адрес пользователя В) и будет искать в таблице адрес пользователя А. Поскольку этот адрес в таблице уже есть, коммутатор направит данные только на нужный порт, то есть порт Fa0/1. Пользователь C, подключенный к порту Fa0/3, этих данных не увидит. Если Феникс играет роль пользователя C, он не сможет увидеть трафик мистера Минутия. Но не все еще потеряно, Феникс собирается кое-что предпринять. Если вы пользователь C, и вы хотите видеть трафик между пользователями А и В, есть несколько «громких» методов, к которым вы можете прибегнуть: o Произвольные (не запрошенные) ARP-сообщения для отдельных машин (атака типа "ARP poisoning") o Подмена MAC-адреса (атака типа "MAC spoofing") o Генерация трафика ("затопление") на уровне MAC (атака типа "MAC flooding") Вы можете познакомиться с этими «громкими» методами в следующем разделе, а Феникс избирает другой подход. ... Первый метод иллюстрируется рисунком 2.4. Здесь Феникс отсылает произвольное ARP-сообщение для каждой из машин, за которой он собирается наблюдать. Произвольное ARP-сообщение это сообщение, которое не было запрошено. Обычно, если пользователь А хочет связаться с пользователем В (10.0.0.12), он вначале пошлет ARP-запрос, запрашивая МАС-адрес для пользователя с IP-адресом 10.0.0.12. Получив такой ARP-запрос, пользователь B выдаст ARP-ответ, содержащий его MAC-адрес. Феникс может перехватить весь трафик, получаемый пользователем В, отослав никем не запрошенный ARP-ответ, содержащий его собственный МАС-адрес для IP-адреса 10.0.0.12. Феникс может получать весь трафик, направляемый на другие машины, отослав такие «непрошенные» ARP-ответы для каждой из интересующих его машин. Второй метод является вариацией первого, и заключается он в том, чтобы подменить MAC машины (см. рисунок 2.5). Это обычно делается для шлюза по умолчанию или маршрутизатора. В нашем примере Феникс (пользователь С) подменяет МАС-адрес маршрутизатора. Как только Феникс получит ARP-запрос для 10.0.0.1, он вернет тот же самый МАС-адрес маршрутизатора. При посылке кадра от пользователя А в Internet, он уйдет на MAC-адрес 0040:5B50:387E. Коммутатор, увидев MAC-адрес, не подходящий ни к Fa0/3, ни к Fa0/4, отправит кадр одновременно на маршрутизатор и на машину Феникса. Такой подход позволит увидеть не весь трафик сети, а только ту его часть, которая направляется вовне. Третий метод состоит в «затоплении» таблицы МАС-адресов при помощи генерации сообщений. Как вы уже знаете, коммутатор располагает таблицей МАС-адресов. Благодаря МАС-таблице сокращается трафик, поскольку сообщения передаются только на нужные порты. «Затопив» МАС-таблицу тысячами фальшивых МАС-адресов, можно добиться такого положения, чтобы таблице уже не содержалось настоящих МАС-адресов. Это вынудит коммутатор транслировать все сообщения на все порты. Благодаря этому Феникс сможет легко наблюдать весь трафик. На рисунке 2.6 изображен снимок экрана программы MACOF (http://monkey.org/~dugsong/dsniff/), которая является одним из инструментов, реализующих метод «затопления» в коммутируемой сети. ... Для начала, Фениксу нужно скопировать Web-сайт на свой сервер. Одна из наиболее популярных утилит, решающих подобные задачи, это Wget (www.gnu.org/software/wget/). Wget является утилитой командной строки, поддерживающая множество разнообразных параметров (описание параметров см. www.gnu.org/software/wget/ manual/wget.html for a list of options). В своем случае Феникс использует следующий синтаксис:
wget -m -r -l 12 www.certificationpractice.com Параметры: -m—создать зеркало сайта. -r—рекурсивно вниз загружать все страницы, связанные с главной. -l 12—Загружать страницы в пределах 12 гиперссылок от первой страницы. Если Феникс не задаст здесь разумную границу, ему придется загружать слишком большой объем Web-страниц. Если же значение этого параметра будет недостаточным, то будет скопировано слишком мало страниц, недостаточно для репликации сайта.
Результатом этой команды будет копирование Web-сайта в каталог с именем www.certification practice.com на локальном диске. Также при этом будет сохранена копия исполняемого файла ccna.exe (см. рисунок 2.8), который он собирается связать с троянской программой.
Как и многие исполняемые установочные файлы, данная программа представляет собой исполняемый zip-архив. Вместо того чтобы просто запустить исполняемый файл, Феникс распаковывает его при помощи WinZip. На рисунке 2.9 приведен пример щелчка правой кнопкой мыши на значке исполняемого файла, при котором открывается контекстное меню, содержащее команду распаковки. Фениксу нужно извлечь файлы из архива для того чтобы создать новый исполняемый архив, содержащий в себе также и его троянскую программу.
После извлечения файлов их архива, Феникс переименовывает файл setup.exe. Новый setup.exe он создаст позднее. ... Поскольку установка программного обеспечения зависит от множества файлов, Фениксу необходимо создать самораспаковывающийся архив, в котором содержатся все компоненты установочного пакета. Он запускает WinZip Self-Extractor и выбирает Self-extracting Zip file for Software Installation (см. рисунок 2.15).
Феникс выбирает вариант Unzip automatically (Распаковывать автоматически, см. рисунок 2.16) так, чтобы архив был прозрачен для пользователя. Когда мастер запрашивает у него имя исполняемого файла, который следует запустить после распаковки архива, он выбирает setup.exe (см. рисунок 2.17). Когда босс запустит программу установки CCNA, архив распакуется, а затем будет запущен файл setup.exe, который установит, как программное обеспечение для тренировки в сдаче экзаменов, так и троянскую программу Netcat. При этом Netcat будет работать в фоновом режиме и ожидать входящих соединений по протоколу TCP на порте 50.
... Письмо должно быть проверено на ошибки и опечатки—люди не склонны доверять письмам с заметными ошибками, поскольку такие письма выглядят непрофессионально. Письмо должно предлагать что-то бесплатно—все любят что-нибудь бесплатное. Письмо должно объяснять, почему жертва получит что-то бесплатно— люди знают, где бывает бесплатный сыр, и бесплатность сама по себе их настораживает. Если бесплатность сыра никак не объяснена, жертва может насторожиться. Не обязательно жертва подумает, что ее приглашают на фишинговый сайт, возникшие подозрения могут касаться и других видов электронного мошенничества. Если хакер предлагает что-то бесплатное, жертва должна иметь правдоподобные объяснения этому факту. Письмо должно создавать у жертвы впечатление полезности именно для жертвы— Рассылка по e-mail, в сущности, является маркетинговой компанией, побуждающей жертву загрузить программу. Имея дело с профессионалами в области информационных технологий (а босс Феникса в нашем сценарии именно таков), наилучший подход заключается в следующем: нужно убедить профессионала, что он станет лучше и успешней, если воспользуется предлагаемой программой. Письмо должно быть кратким—Люди редко читают длинные письма. Феникс хочет повысить шансы на то, что босс прочтет полученное письмо и потому делает его кратким. Вот, что получится в результате, если следовать изложенным принципам:
Subject: бесплатная программа для подготовки к экзамену CCNA
Дорогой мистер Минутия,
Загрузите нашу бесплатную программу для подготовки к экзамену CCNA сегодня, пока это еще возможно! Как профессионал в области IT, вы знаете, что сертификация существенно повышает ценность специалиста и вызывает уважение в среде коллег. Наши исследования показали, что специалисты с сертификатом CCNA зарабатывают в среднем на 15% больше тех, кто его не имеет. В течение ограниченного времени компания Certification Practice Exams предлагает всем зарегистрированным пользователям cisco.com бесплатно использовать программу для подготовки к сертификационному экзамену CCNA.Стоимость этой программы –$129! Почему мы предлагаем вам воспользоваться ею бесплатно? Ответ прост. Мы уверены, что воспользовавшись нашей программой и убедившись в ее практической ценности, то есть успешно сдав с первой попытки экзамен CCNA, вы, при подготовке к последующим сертификациям, обратитесь снова к нам. Для того чтобы загрузить программу для подготовки к экзамену CCNA, перейдите по адресу http://www.certificationpractice.com/ccna и щелкните на ссылке CCNA.exe.
С уважением, Certification Practice Exams
... WinDump, подобно большинству программ для захвата пакетов, требует для своей работы установки библиотеки Windows Packet Capture (WinPcap). Библиотека WinPcap доступна по адресу www.winpcap.org и распространяется бесплатно. Эту библиотеку используют многие сетевые утилиты, и вполне вероятно, что в системе человека, имеющего дело с сетевыми технологии, она уже имеется. Если же это не так, Фениксу придется скопировать нужные файлы и вручную установить их. Обычно, WinPcap использует для своей установки графический интерфейс, но так как он недоступен для Феникса, потребуется ручная работа. В случае, если Фениксу потребуется установить на библиотеку WinPcap, он будет действовать следующим образом: 1. Он загрузит установочную программу WinPcap, но не станет ее устанавливать. Вместо этого он, при помощи WinZip, раскроет исполняемый файл архива и извлечет его содержимое. 2. Затем, при помощи TFTP, Феникс скопирует файлы daemon_mgm.exe, NetMonInstaller.exe, npf_mgm.exe, rpcapd.exe и Uninstall.exe в каталог C:\Program Files\WinPcap на компьютере своего босса. 3. Далее он скопирует netnm.pnf в c:\windows\inf. 4. Далее он скопирует packet.dll, pthreadvc.dll, wanpacket.dll и wpcap.dll в каталог c:\windows\system32. 5. Далее он скопирует npf.sys d c:\windows\system32\drivers. 6. Перейдет в каталог, созданный на шаге 2 и выполнит следующие команды:
npf_mgm.exe -r
daemon_mgm.exe -r
NetMonInstaller.exe i ... ЗАКЛЮЧЕНИЕ Фишинг, троянские программы и захват пакетов – все эти угрозы актуальны для современных сетей. Шпионаж в сети имеет место практически всегда. Наниматели шпионят за своими работниками, и наоборот, а компании шпионят друг за другом. В конченом счете, вам придется отказываться от конфиденциальности всякий раз, когда в входите в сеть компании. Воспроизведено по книге "Цепные атаки: Современные хакерские атаки от начала и до конца" (Chained Exploits: Advanced Hacking Attacks from Start to Finish Copyright) [2009], Addison Wesley Professional. Воспроизводится с разрешения Pearson Education, Inc., 800 East 96th Street, Indianapolis, IN 46240. Для всех других пользователей требуется письменное разрешение от Pearson Education, Inc.
|