|
https://github.
com/samratashok/nishang). Как мы уже упоминали ранее, здесь вы также можете
применять ADS, чтобы скрыть файлы. В этом случае воспользуйтесь командой
Invoke-ADSBackdoor
.
Удаленный доступ к рабочему столу
Удаленный доступ к рабочему столу – еще один легитимный способ, использу-
емый для получения удаленного доступа к компьютерам и управления ими. Он
может применяться хакерами с целью дальнейшего распространения по сети.
Основное преимущество этого инструмента, по сравнению с Sysinternals, за-
ключается в том, что он предоставляет злоумышленнику полный интерактив-
ный графический интерфейс пользователя (GUI) удаленного компьютера, на
который совершается атака. Удаленный доступ к рабочему столу может быть
запущен, когда хакеры уже скомпрометировали компьютер в сети. Обладая
действующими учетными данными и информацией об IP-адресе или имени
компьютера жертвы, хакеры могут использовать удаленный рабочий стол для
получения удаленного доступа. С помощью удаленных подключений злоу-
мышленники могут похищать данные, отключать программное обеспечение,
Дальнейшее распространение
149
используемое для обеспечения безопасности, или устанавливать вредонос-
ные программы, чтобы те могли скомпрометировать еще большее количество
компью теров. Во многих случаях удаленный доступ к рабочему столу исполь-
зовался для получения доступа к серверам, которые контролируют программ-
ные решения для обеспечения безопасности предприятия, а также системы
мониторинга и безопасности сетей.
Примечательно, что подключения к удаленному рабочему столу полностью
зашифрованы, а поэтому непрозрачны для любых систем мониторинга. Поэто-
му нельзя приказать защитному программному обеспечению воспринимать
их как подозрительные, т. к. они представляют собой обычный администра-
тивный механизм, используемый IT-персоналом.
Основным недостатком удаленного доступа к рабочему столу является то,
что пользователь, работающий на удаленном компьютере, может опреде-
лить, когда пользователь с внешнего компьютера вошел в систему. Поэтому
зло умышленники часто используют удаленный доступ к рабочему столу в тех
случаях, когда пользователи не работают за компьютером, выбранным в ка-
честве объекта для атаки, или на сервере. Ночи, выходные, праздничные дни
и перерывы на обед – обычное время атаки, когда почти наверняка соединения
останутся незамеченными. Кроме того, поскольку серверные версии Windows
обычно позволяют запускать несколько сеансов одновременно, пользователь
вряд ли сможет заметить подключение по RDP, находясь на сервере.
Однако существует особый метод взлома жертвы с помощью удаленного до-
ступа к рабочему столу, использующий эксплойт, называющийся EsteemAudit.
EsteemAudit – один из эксплойтов, которые хакерская группа Shadow Brokers
украла у АНБ. В предыдущих главах мы рассказывали, что эта же группа выпус-
тила EternalBlue, который позже был использован в программе-вымогателе
WannaCry. EsteemAudit эксплуатирует уязвимость в приложении Remote Desk-
top в более ранних версиях Windows, т. е. Windows XP и Windows Server 2003.
Уязвимые версии Windows больше не поддерживаются Microsoft, и компания
не выпустила исправление. Однако вполне вероятно, что она сделает это, как
при появлении EternalBlue. Вслед за этим Microsoft выпустила патч для всех
своих версий, включая Windows XP, которую прекратила поддерживать.
EsteemAudit использует переполнение динамически распределяемой обла-
сти памяти между фрагментами, являющееся частью внутренней структуры
системной кучи, которая, в свою очередь, представляет собой компонент Win-
dows Smart Card. Внутренняя структура имеет буфер с ограниченным разме-
ром 128 байт и хранит информацию о смарт-картах. Рядом с ним два указа-
теля. Хакеры обнаружили вызов, который можно делать без проверки границ.
Его можно использовать для копирования данных размером более 128 байт
в соседние указатели, что приводит к переполнению буфера. Злоумышленни-
ки используют EsteemAudit для выдачи мошеннических инструкций, которые
вызывают переполнение. Конечным результатом атаки является компромета-
ция системы удаленного доступа к рабочему столу, позволяющая неавторизо-
Do'stlaringiz bilan baham: |
