Интернетмагазин

106  Компрометация системы 
Если у вас нет доступа к исходному коду, все еще возможно получить со-
ответствующую информацию, используя реверс-инжиниринг и такие инстру-
менты, как IDA PRO (
www.hex-rays.com).
Рис. 5.4
В этом примере IDA Pro выполняет дизассемблирование программы
evil.exe. Дальнейший анализ этого дизассемблированного кода может дать бо-
лее подробную информацию о том, что делает эта программа.
Типы эксплойтов нулевого дня
Нет сомнений в том, что защита от эксплойтов нулевого дня является одним из 
самых сложных аспектов повседневной работы Синей команды. Однако в том 
случае, если вы знаете поведение, но не то, как оно работает, это может помочь 
вам определить закономерности и предпринять действия для защиты систе-
мы. В следующих разделах вы узнаете больше о различных типах эксплойтов 
нулевого дня.
Переполнение буфера
Переполнение буфера вызвано использованием неверной логики в кодах си-
стемы. Хакеры идентифицируют области в системе, где это переполнение 

Выполнение шагов, направленных на компрометацию системы 
 
107
можно эксплуатировать. Они запускают эксплойт, инструктируя систему за-
писывать данные в буферную память, но не учитывать ограничения разме-
ра буфера. Система в итоге записывает данные, превышающие допустимый 
предел, и, следовательно, провоцирует переполнение памяти. Основная цель 
этого типа эксплойтов – заставить систему зависнуть контролируемым обра-
зом. Это типичная уязвимость нулевого дня, поскольку злоумышленнику не 
составляет труда определить в программе области, где может произойти пере-
полнение.
Злоумышленники также могут эксплуатировать существующие уязвимости 
переполнения буфера в системе, где нет патчей. Например, CVE -2010-3939 ис-
пользует уязвимость переполнения буфера в модуле win32k.sys в драйверах 
режима ядра Windows Server 2008 R2.

Download 18,66 Mb.

Do'stlaringiz bilan baham: