Coкpытиe следов aтaкu

Итак, вы уже усвоили, что, подобно обычному грабителю, никакой настояш хакер, побывав в чужом компьютере, не захочет оставить после себя следы,:-торые могут привлечь к нему внимание. Перед уходом из системы он создаст ней потайные ходы, поместив в систему клавиатурного шпиона, например, ог санного в Главе 6 кейлоггера IKS. Или же установит в компьютер утилиту \~ ленного администрирования взломанной системы, например, трояна NetEL (http://www.netBus.org). Но после всего этого хакеру потребуется уничтожь все следы своего пребывания в системе или, как минимум, сделать так, чтос; информация о его посещении, зарегистрированная системой защиты, не позе лила определить его личность.

Вот какие методы чаще всего используются взломщиками для сохранения ан: нимности и скрытия следов атаки:

• Самое лучшее - это использовать для хакинга в Интернете посторонние KOV пьютеры, доступ к которым не контролируется в должной степени (а так1-компьютеров в любой организации - хоть пруд пруди).

• Можно подменить IP-адрес хакерского компьютера, использовав промеж} точный анонимайзер или прокси-сервер, как мы уже обсуждали это выше.-этой главе.

• Чтобы скрыть установленные на взломанном компьютере хакерские програм мы, можно изменить стандартные номера портов этих программ, что затрудняет их выявление. Например, широко известная программа Back Orifice 200C вместо стандартного порта 31337 может быть перенастроена на использова ние, скажем, порта 31336, и программы, анализирующие открытые порть компьютера, могут быть введены в заблуждение.

• Обязательно следует очистить журналы регистрации событий безопасности, которые заполняются средствами аудита систем Windows NT/2000/XP. Чтобь; отключить средства аудита, взломщик может прибегнуть к утилите auditpo пакета W2RK, или какой-нибудь другой хакерской утилите, например. elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Проще всего это можно сделать с помощью аплета Просмотр событий (Event Viewer) на панели управления Windows 2000/XP.

• Можно скрыть файлы и папки, скопированные во взломанный компьютер, установив в диалоге свойств файлов и папок флажок Скрытый (Hidden). Установка этого атрибута делает файл или папку невидимой в окне проводника Windows, если только не был установлен режим отображения скрытых файлов.

• Можно скрыть процессы, исполняемые хакерскими программами. Хакер может замаскировать запущенную им службу или программу, изменив ее имя на совершенно нейтральное, например, explorer.exe, которое в окне диспетчера задач Windows можно будет спутать с обычным приложением проводника Windows.

• Более сложным являются случаи скрытия процессов хакерских программ за именами других процессов с помощью программ, подобных EliteWrap, описанной в Главе 6.

• Наиболее совершенным методом скрытия хакерских программ следует считать использование так называемых руткитов (от английского слова Rootkit -базовый комплект инструментов). При этом подлинные программы ядра операционной системы подменяются хакерскими утилитами, выполняющими функции входной регистрации пользователей, ведения журнала нажатых клавиш и пересылки собранных данных по сети.

Для противостояния таким трюкам существуют специальные программные:редства контроля целостности компьютерной информации. В качестве примера можно назвать приложение Tripwire (http://www.tripwiresecurity.com), которое позволяет выполнять контроль целостности файлов и папок, и приложение Cisco Systems (http://www.cisco.com) для проверки и анализа содержимого журналов регистрации. Системы Windows 2000/XP также предоставляют встроенный инструмент проверки целостности файлов, про работу с которыми можно узнать, например, в [7].