Получение доступа


После успешного проведения атаки взломщик установил с honeypot соединения TELNET и FTP. К счастью для нас, эти протоколы передавали информацию открытым текстом, так что данные не зашифрованы. Следовательно, мы можем расшифровать записи анализатора пакетов и перехватить историю нажатых взломщиком клавиш. Snort уже сделала это за нас, конвертировав содержимое сеансов связи TELNET и FTP в формате ASCII в однородные текстовые файлы. Анализируя записи Snort, мы можем определить, чем занимается наш взломщик. Одно из преимуществ декодирования сеансов связи при помощи сетевого анализатора заключается в том, что мы записываем не только поток STDIN (keystrokes), но также STDOUT и STDER. Перейдем к просмотру сеансов связи взломщика, записанных при помощи Snort. По мере проведения анализа обратите внимание на то, как много можно узнать не только об использованных инструментах, но и о тактике, уровне технической подготовки и мотивах взломщика. Например, выясните в ходе дальнейшего анализа, в скольких системах наш взломщик имеет учетные записи. Обычная тактика взломщиков заключается в том, чтобы использовать в нападении многочисленные системы. Кроме того, попробуйте определить, имеем мы дело с опытным взломщиком или просто с любителем. Наконец, постарайтесь выяснить, почему взломщик сначала напал на нашу honeypot? Ниже перечислены нажатые взломщиком клавиши. Анализ клавиш следует за их текстом.
Сначала наш друг установил с хоста 213.28.22.189 со взломанной системой соединение TELNET под учетной записью twin, а затем получил администраторский доступ как hantu. Помните, взломщик не может просто установить соединение TELNET, так как hantu - это UID 0 или root, которым запрещен удаленный доступ.
Далее наш друг установил FTP-соединение с другой системой, чтобы получить свой инструментарий. В данном случае это просто программа черного хода.
Наш взломщик забирает программу, компилирует bj.c (исходный код см. в приложении Е) и инсталлирует ее в качестве замены /bin/login. Этот черный ход даст ему доступ к системе, независимо от того, какая учетная запись будет использована. Обратите внимание, что все команды выполняются после приглашения на ввод команды, чтобы компилировать исходный код. Кажется, что все команды compile были выполнены путем вырезки и вставки. Для этих целей, скорее всего, используется шаблон.
Теперь он пытается установить компилированную программу черного хода: сначала копирует действительный /bin/login в /usr/bin/xstat, а затем удаляет /bin/login. После этого пытается скопировать в /bin/login троянский login.
Теперь взломщик маскирует свои действия. Мы полагаем, что эти команды также записаны в сценарии, затем скопированы и вставлены. Посмотрите на все команды, которые выполняются по одному приглашению к вводу команды. Кроме того, нам кажется, что это стандартный сценарий зачистки; обратите внимание на то, как взломщик пытается удалить несуществующие файлы, такие как /tmp/h. Значит, мы имеем дело с неопытным пользователем. Скорее всего, это просто новичок, задающий приобретенные у кого-то команды. Независимо от того, как и где была получена эта информация, новички могут представлять серьезную угрозу.
Только что произошло несколько интересных событий. Во-первых, наш взломщик дважды запустил одну и ту же серию команд. Стандартный сценарий зачистки выдал ошибки, так как взломщик попытался удалить несуществующие файлы. Мы полагаем, что он увидел эти ошибки и забеспокоился, так как затем хотел удалить файлы вручную, несмотря на то что они не существуют.
Вот так! Наш друг установил простую программу черного хода, bj.c, и удалился. Программа разрешает несанкционированный доступ на основании настройки TERM, в данном случае VT9111. С этого момента взломщик может получить доступ к системе в любой момент, когда пожелает.