Нет ничего плохого в том, когда человек владеет богатством. Но плохо, если богатство завладевает человеком. © Билли Грэм 1244 - | 961 - или читать все...
Обратная связь Пожаловаться на материал

Запуск реверсивной троянской программы


⇐ ПредыдущаяСтр 3 из 3

Следующим этапом выполнения теста на проникновение являлась рассылка троянской программы пользователям информационной системы согласно согласованному перечню адресов электронной почты. Необходимо отметить, что при помощи популярных поисковых систем (www.yandex.ru, www.google.com) потенциальный нарушитель может получить адреса электронной почты сотрудников, которые по тем или иным причинам оказались опубликованы в сети Интернет, и использовать эту информацию для более эффективной атаки при помощи троянской программы. Была использована троянская программа, позволяющая в случае ее запуска на компьютере пользователя получить удаленный (через Интернет) доступ к ресурсам данного компьютера и корпоративной сети с правами пользователя, запустившего программу.

Троянская программа является реверсивной – то есть, самостоятельно инициирующей запросы к своему управляющему серверу (установленному в сети атакующего), который сообщает ей последовательность команд для выполнения на компьютере пользователя, а в ответ получает результат выполнения этих команд. Это позволяет использовать троянскую программу в сетях с трансляцией сетевых адресов (NAT).

Троянская программа обходит распространенные средства защиты в типовой конфигурации, используемые в корпоративных сетях – персональные межсетевые экраны, системы обнаружения вторжений, прокси-серверы с авторизацией доступа и т.п.

Троянская программа была разослана пользователям в виде сжатого в ZIP-архив и прикрепленного к письму исполняемого файла. Письмо было якобы отправлено одним сотрудником другому и содержало предложение запустить трехмерную версию компьютерной игры «Тетрис».

Замаскированную таким образом троянскую программу в течение двух рабочих дней после рассылки запустили 8 из 20 пользователей, чьи адреса электронной почты удалось получить. Одна из рабочих станций (адрес 10.100.3.64, маска подсети 255.255.254.0), которая, судя по времени работы (uptime), не выключалась по окончании рабочего дня, была выбрана в качестве исходной точки для организации атаки.

Далее троянская программа загрузила со своего управляющего сервера код эксплоита для службы RPC (для ОС Windows 2000 и Windows XP) и провела атаку на контроллер домена (адрес 10.100.1.10, маска подсети 255.255.254.0), в котором находилась данная рабочая станция, а также другие серверы и рабочие станции, перечень которых был получен с контроллера домена.

Контроллер домена оказался уязвим к данной атаке, вследствие чего был получен полный административный доступ к командной строке контроллера домена. Чтобы зафиксировать факт проникновения, троянская программа получила команду создать в домене пользователя dsadmin с привилегиями администратора домена. Далее при помощи программы pwdump, загруженной троянской программой на рабочую станцию, с которой проводилась атака, была получена база паролей пользователей домена (более 1200 учетных записей).

Уязвимыми к данной атаке оказались также сервер, на котором была развернута СУБД Oracle (адрес 10.100.1.13), сервер доступа RAS (адрес 10.100.1.17), резервный контроллер домена (адрес 10.100.1.11), файловый сервер (адрес 10.100.1.15), а также более 60 рабочих станций. По приблизительным оценкам (на основе информации, полученной с контроллера домена), в информационной системе Заказчика 12 серверов и не менее 400 рабочих станций. Как правило, столь значительное количество уязвимых хостов говорит об отсутствии сервера обновлений Windows Update, который должен быть развернут в информационной системе.

Далее была предпринята попытка использовать скомпрометированные пароли администраторов информационной системы для доступа к коммутаторам Cisco, на которых была собрана локальная вычислительная сеть информационной системы Заказчика. Комбинация логина cisco и пароля supercap1967 (от одной из административных учетных записей) позволила получить доступ уровня 15 (максимально возможный) к консоли управления каждого из 6 коммутаторов сети.

 


Выводы

1. Внешний периметр информационной системы Заказчика защищен достаточно надежно: регулярно выполняется установка обновлений программного обеспечения сетевых служб, конфигурация служб соответствует требованиям информационной безопасности. Тем не менее, сетевые службы предоставляют потенциальному нарушителю достоверную служебную информацию, что может быть использовано при организации атак на внешний периметр.

2. Система обнаружения вторжений установлена в конфигурации по умолчанию, её настройка неэффективна и не обеспечивает адекватный уровень реакции на явно выраженную сетевую активность нарушителя.

3. Общая архитектура информационной системы Заказчика, конкретные технические решения по обеспечению информационной безопасности и низкая квалификация пользователей информационной системы не обеспечивают требуемый уровень защиты, что позволило специалистам компании Digital Security осуществить успешный запуск троянской программы.

4. Уровень защищенности серверов и рабочих станций информационной системы Заказчика – низкий. Отдельно необходимо отметить низкий уровень защиты критически важных серверов: контроллера домена и сервера СУБД, в которой хранится важная для бизнеса информация.

5. Анализ скомпрометированной базы паролей пользователей показал низкую стойкость паролей как обычных пользователей, так и администраторов системы.


Рекомендации1

1. Включить скрытие служебной информации, предоставляемой сетевыми службами пользователям.

2. Выполнить тонкую настройку системы обнаружения вторжений.

3. Развернуть в информационной системе сервер обновлений Windows Update, включить автоматическое обновление на всех серверах и рабочих станциях.

4. Развернуть в информационной системе сетевую систему обнаружения вторжений, которая позволила бы протоколировать подозрительную сетевую активность и оперативно реагировать на подобные инциденты.

5. Разработать парольную политику, включающую в себя требования по стойкости паролей, правила хранения и периодической замены ключевых фраз. Недопустимо использование единого пароля для администрирования всех ресурсов информационной системы. К паролям административных учетных записей должны предъявляться особые требования по стойкости.

6. Разработать и реализовать на практике программу обучения пользователей вопросам информационной безопасности.

 

Дата добавления: 2015-12-18; просмотров: 17; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая123


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.011)