Интернетмагазин



Download 18,66 Mb.
Pdf ko'rish
bet132/272
Sana25.02.2022
Hajmi18,66 Mb.
#290514
1   ...   128   129   130   131   132   133   134   135   ...   272
Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

https://github.
com/samratashok/nishang). Как мы уже упоминали ранее, здесь вы также можете 
применять ADS, чтобы скрыть файлы. В этом случае воспользуйтесь командой 
Invoke-ADSBackdoor
.
Удаленный доступ к рабочему столу 
Удаленный доступ к рабочему столу – еще один легитимный способ, использу-
емый для получения удаленного доступа к компьютерам и управления ими. Он 
может применяться хакерами с целью дальнейшего распространения по сети. 
Основное преимущество этого инструмента, по сравнению с Sysinternals, за-
ключается в том, что он предоставляет злоумышленнику полный интерактив-
ный графический интерфейс пользователя (GUI) удаленного компьютера, на 
который совершается атака. Удаленный доступ к рабочему столу может быть 
запущен, когда хакеры уже скомпрометировали компьютер в сети. Обладая 
действующими учетными данными и информацией об IP-адресе или имени 
компьютера жертвы, хакеры могут использовать удаленный рабочий стол для 
получения удаленного доступа. С помощью удаленных подключений злоу-
мышленники могут похищать данные, отключать программное обеспечение, 


Дальнейшее распространение 
 
149
используемое для обеспечения безопасности, или устанавливать вредонос-
ные программы, чтобы те могли скомпрометировать еще большее количество 
компью теров. Во многих случаях удаленный доступ к рабочему столу исполь-
зовался для получения доступа к серверам, которые контролируют программ-
ные решения для обеспечения безопасности предприятия, а также системы 
мониторинга и безопасности сетей.
Примечательно, что подключения к удаленному рабочему столу полностью 
зашифрованы, а поэтому непрозрачны для любых систем мониторинга. Поэто-
му нельзя приказать защитному программному обеспечению воспринимать 
их как подозрительные, т. к. они представляют собой обычный администра-
тивный механизм, используемый IT-персоналом.
Основным недостатком удаленного доступа к рабочему столу является то, 
что пользователь, работающий на удаленном компьютере, может опреде-
лить, когда пользователь с внешнего компьютера вошел в систему. Поэтому 
зло умышленники часто используют удаленный доступ к рабочему столу в тех 
случаях, когда пользователи не работают за компьютером, выбранным в ка-
честве объекта для атаки, или на сервере. Ночи, выходные, праздничные дни 
и перерывы на обед – обычное время атаки, когда почти наверняка соединения 
останутся незамеченными. Кроме того, поскольку серверные версии Windows 
обычно позволяют запускать несколько сеансов одновременно, пользователь 
вряд ли сможет заметить подключение по RDP, находясь на сервере.
Однако существует особый метод взлома жертвы с помощью удаленного до-
ступа к рабочему столу, использующий эксплойт, называющийся EsteemAudit.
EsteemAudit – один из эксплойтов, которые хакерская группа Shadow Brokers 
украла у АНБ. В предыдущих главах мы рассказывали, что эта же группа выпус-
тила EternalBlue, который позже был использован в программе-вымогателе 
WannaCry. EsteemAudit эксплуатирует уязвимость в приложении Remote Desk-
top в более ранних версиях Windows, т. е. Windows XP и Windows Server 2003. 
Уязвимые версии Windows больше не поддерживаются Microsoft, и компания 
не выпустила исправление. Однако вполне вероятно, что она сделает это, как 
при появлении EternalBlue. Вслед за этим Microsoft выпустила патч для всех 
своих версий, включая Windows XP, которую прекратила поддерживать.
EsteemAudit использует переполнение динамически распределяемой обла-
сти памяти между фрагментами, являющееся частью внутренней структуры 
системной кучи, которая, в свою очередь, представляет собой компонент Win-
dows Smart Card. Внутренняя структура имеет буфер с ограниченным разме-
ром 128 байт и хранит информацию о смарт-картах. Рядом с ним два указа-
теля. Хакеры обнаружили вызов, который можно делать без проверки границ. 
Его можно использовать для копирования данных размером более 128 байт 
в соседние указатели, что приводит к переполнению буфера. Злоумышленни-
ки используют EsteemAudit для выдачи мошеннических инструкций, которые 
вызывают переполнение. Конечным результатом атаки является компромета-
ция системы удаленного доступа к рабочему столу, позволяющая неавторизо-



Download 18,66 Mb.

Do'stlaringiz bilan baham:
1   ...   128   129   130   131   132   133   134   135   ...   272




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish