Обход брандмауэра WinRoute Pro

Чтобы обойти защиту брандмауэра и наладить связь с запущенным на сервере трояном, хакер должен перед установкой трояна найти в защите брандмауэра дыру, через которую можно связываться с серверной компонентой трояна. Если же брандмауэр был установлен после установки трояна (бывает и так), то следует либо переустановить трояна, либо использовать утилиты перенаправления портов, позволяющие обойти защиту брандмауэра. Объясним поподробнее.

Как указано в [3], корректно настроенные брандмауэры для хакера практически не проходимы. Все дело в том, что для связи с трояном на атакуемом хосте требуется открыть TCP-порт, обеспечивающий обмен информацией между клиентской и серверной компонентами трояна. А корректно настроенный брандмауэр как раз и должен блокировать такие порты, пропуская трафик только от гарантированно безопасных источников и только через точно определенные порты хоста. Однако корректная настройка брандмауэра достаточно сложна и кропотлива, поэтому настойчивый и сообразительный хакер сможет найти лазейку даже в квалифицированно настроенном брандмауэре.

Одной из таких лазеек может быть порт бастионного хоста, открытый для внешних подключений. Найдя такой порт, хакер перенастраивает трояна на использование открытого порта. Другой вариант действий хакера - загрузка на бастионный хост утилиты перенаправления трафика, которая позволяет отправлять весь трафик, идущий на открытый порт брандмауэра, в порт сервера удаленного управления. Одной из таких утилит является fpipe, входящая в пакет программ foundstone_tools (http://www.foundstonetools.com), которая перенаправляет трафик, идущий на открытые порты TCP или UDP хоста, внутренней программе, порты которой закрыты брандмауэром.

В обоих случаях от хакера требуется найти открытый порт брандмауэра, а для этого необходимо определить правила фильтрации пакетов в списках ACL брандмауэра, т.е. выполнить инвентаризацию списков ACL брандмауэра.