Набор Rootkit — полный взлом системы
Набор Rootkit — полный взлом системы
А что, если даже сам код операционной системы окажется под контролем взломщика? Эта идея достаточно хорошо опробована для платформы UNIX. Закономерно, что для замены стандартных исполняемых файлов "троянскими конями" обычно требуется получить учетную запись root системы UNIX на целевом компьютере. Наборы программ, выполняющих эту операцию, получили название "отмычек". "Отмычки", применяемые в UNIX, подробно рассматриваются в главе 8, а обсуждение "отмычек" вообще можно найти в главе 14.
Отмычки" NT/2000
Нет ничего удивительного в том, что в 1999 году благодаря группе Грега Хогланда (Greg Hogland, http://www.rootkit.com) система Windows NT/2000 "приобрела" свой собственный набор "отмычек". Грег застал врасплох сообщество Windows, продемонстрировав рабочий прототип таких инструментов, который способен выполнять сокрытие параметров системного реестра и "подмену" исполняемых файлов. Этот набор можно использовать в исполняемых файлах "троянских коней" без изменения их содержимого. Все эти трюки основываются на использовании перехвата функций (function hooking). Таким образом можно "модифицировать" ядро NT, в результате чего будут захвачены системные вызовы. С помощью набора "отмычек" можно скрыть процесс, параметр системного реестра или файл, а также перенаправить перехваченный вызов функциям "троянских коней". Полученный результат способен превзойти ожидания от внедрения "троянских коней": пользователь не может быть уверен даже в целостности исполняемого кода.
В момент написания этой книги набор "отмычек" систем NT/2000 по-прежнему оставался на стадии альфа-версии и в основном предназначался для демонстрации наиболее важных особенностей, а не для реального применения. Распространяемый комплект состоит из двух файлов: _root_.sys и deploy.exe. При запуске файла deploy.exe набор "отмычек" будет установлен и запущен.
После установки активизируется режим сокрытия параметров системного реестра. Любой параметр или значение, начинающиеся с шести символов _root_, будут скрыты для просмотра с помощью любого из редакторов regedit.exe или regedt32.exe. Любой исполняемый файл, имя которого будет начинаться с _root_, не будет виден. С помощью копии редактора системного реестра regedit.exe, переименованной в файл _root_regedit.exe, можно просмотреть все скрытые параметры. Тем самым взломщику предоставляется прекрасный "потайной ход", с использованием которого можно приступить к ручной работе без отключения режима маскирования "набора отмычек".
В альфа-версии средство перенаправления исполняемых файлов позволяет выявлять выполнение файлов с именами, начинающимися с _root_, и перенаправлять их результаты файлу С: \calc.exe (жестко заданный режим, не позволяющий взломщику немедленно получить долгожданную информацию, однако наглядно демонстрирующий его потенциальную злонамеренность).
Грег также распространяет консоль удаленного управления RogueX из набора "отмычек" с изящным интерфейсом. Она находится на стадии разработки и имеет ограниченные функциональные возможности (в частности, позволяет инициировать сканирование портов удаленного узла, на котором установлен набор "отмычек").
