МИСЗКИ книга (1085503), страница 8
Текст из файла (страница 8)
Это — достаточно тривиальный, но эффективный способ взлома компьютера, поскольку на приеме почты в организациях, как правило, сидят люди, не сильно сведущие в компьютерных технологиях. Но ждать когда пользователь сам запустит прикрепленный файл не самый хороший вариант. Лучше написать такое письмо, которое запуститься автоматически, без участия пользователя. Для выполнения такой атаки требуется специальная подготовка электронного послания, которую следует выполнять вручную — почтовые клиенты на такие действия не рассчитаны.
Чтобы разобраться в как рабогают такие письма, нужно знать что представляет собой электронное письмо. Поэтому, вначале кратко опишем формат, т. е. структуру электронного письма, а уж потом посмотрим, как на основе этого можно сосивить письмо для атаки на почтовый клиент. Формат сообщений электронной почты. Формат сообщений электронной почты определен в документе КРС 2822. Сообщение электронной почты состоит из текстовых строк ограниченной длины, и каждая строка включает символы АБСП и знаки препинания.
Как правило, допускается использовать только символы английского языка (семнбитовая кодировка), однако сейчас почтовые системы, способны работать и с расширенным набором символов АБСП (восьмибитовая кодировка). Строки разделяются между собой парой символов <СК>с1.Р>, означающих код возврата каретки (код 13) и перевода строки (код 10). Максимальная длина строки — 998 символов, но рекомендуется использовать не более 78 символов. Эта строка означает, что темой (БиЬ)есг) письма является 1'езюме автора. Если строку приходиться делить на несколько, зо последующие строки этого же заголовка начинаются с символа пробела или табуляции. Заголовки сообщения могут быть различных типов, в таблице приведены наиболее распространенные типы, которые па~реб я нам в дальнейшем: Ключевое слово Почтовый адрес отправителя, который может быть таким: чяя!аФешяП.сош, илн такам: "Чяя!а 1чялоч" (чай ай ежай.сош).
! чош Почтовый адрес для ответа ва письмо — если такого заго- ловка нет, нспольз ется поле Ргош. Мер!у То Почтовый п ('с Почтовые адреса дополнительных получателей, разделен- Почтовые адреса получателей, невидимые для остальных по й, т. е. слеввых в полях Рпяп я Сс. хвь сс! Тема письма — жабой текст им, Баь1б 1вв 2003 15:34:17+1000 !мю Мсяяа8е-1 О Уввкальный вденгнфикащр сообщения, генерируе мый почтовым сервером исключительно для своих нужд, ванм: <3.0.4А4.30445445754533Л)035®ешж1.сош> Кгче!чей Добавлявтся каждым почтовым сервером, через катар ый ходят сообщение.
Все пользователи почтовых клиентов, например, клиента ! !и!!<юк Ехргеьз (ОЕ), уже встречались с перечисленными в табжщс полями — они соответствуют полям в диалоге клиента для мл ада адреса, темы сообщения и так далее. Каждое сообщение включает заголовки и тело сообщения. Заголовки отделяются от тела сообщения пустой строкой. Каждый заголовок начинается с новой строки н имеет такой формат: Кпючевое слово: Данные Например: БиЬ1есп Резюме Теперь посмотрим, как выглядит электронное послание при его передаче по сети.
Кесе[тей: ггот рейа.еша!1.сош [1.0.0.7] Ьу а1ех-3.ззиогй.пе(с »и)й» ЕЯМТР (ЯМТРР32-5.01 ЕЧАЛ ') и1 А4А7502В6; ТЬп, 16 Уап 2003 14:25:11 +0200 Кеес[чей: (гош рейв [1.0.0.7! Ьу рейв.епжй.сош (ЯМТРР32-5.01 ЕЧА1.) 1й А76080152; ТЬп, 16 1ап 2003 13:28:32 +0200 Меззайе-1Р: <008601с2Ьд52$6682еее0$07000001й»ешай.сош > Ргопк "Ьойа" <Ьо1и!йешай.сош> То: <рейв»!Репи[1.сот> ЯпЬ)есг: Сопйгаш1айовз Рагс: ТЬп, 16 )ап 2003 13:28:32 +0200 М1МЕ-Чегзюш 1.0 Соп!епг-Туре: !ех!/р!аш; сЬагзег='Чсо[8-г" Сопгепг-Тгапз(ег-Епсо»йпй: 7Ь[! Х-Рпопгу: 3 Х-МЯМа!1-Рпог[гу: Ыогпий Х-Майег: М)сгозой Онйоо!г Ехргезз 5.00.2919.6700 Х-МппеО1.Е: Рпх)всей Ву М[сгозой Мппе01.Е Ч5.00.2919.6700 Х-КСРТ-ТО: <рейа.епжй.соп»> Х (ЛР1.: 7 Ягагпз: 1! Нарру Ме»и Уеаг! Общий формат заголовка Сон!ел!-Туре таков: Соп1еп1-Туре.
"тип/подтнп; параметр=значение; Запись типlподтнп задает стандартный тип н подтнп включенных в письмо данных, определяемых спецификацией М !МЕ и называемых М1МЕ-типами. Типы н подтипы данных специ икации М1МЕ »г» раш »» к»/Ь»пй екстовые данные илк код . на параметров входит: с/»агвег=иазваиие кодировки символов вм, с/»аггег=/»о/8-т означает !»икр 1ре8 !»»»»»~е/ Т ические данные, например Гевз-Т ! /ига в/ 1 и»»»!»» х- а о ховые аудио данные, например, Сеизепз-Т: аиг/1о/к-гва1а»к//о гк!е»ск»еи к к!со/ шс!»й»пе М[МЕ Для включения в почтовое сообщение двоичных данных, составных данных, состоящих ю порций различных типов, а также символов с восъмибитовой кодировкой, например, символов кириллицы, спецификация М1МЕ предлагает для использования три заголовка: Сошелг Туре:, Сап/ел/-Ттап~ет-Епсог//пйс и необязательный заголовок Сап/ел/-Рироз/1/оп:.
В дополнение к пим в М1МЕ предоставляется заголовок М/МЕ-Уетз/оп:, задающий версию спецификации М1МЕ, применмемую в данном послании — в настоящее время используется версия 1.0, так что тгот заголовок всегда будет такой: МХМЕ-Четв!он: 1.0 Как видим, все доволъно понятно, кромс полей в концов они используютсм программами почтовых клиентов, и поля Сов!ел!-Туре, которое относится к содержимому письма, хранимому в теле сообщения (вместе с вложениями).
Формат тела сообщения определяется спецификацией М1МЕ (Мп1йрп грозе Ънегпег Май Ехгепгйопз — Многоцелевые расширения электронной почты Интернета). Для нас спецификация М)МЕ имеет решающее значение, поскольку свой активный код мы будем помещать во вложение к письму. 48 гаи!и пях »пи!браг»/ге!а»ей »ии !» ! риг»/а!Гегвайте врр1тсав»зспр» в!»р!»сан»иогй и!»р!!сайоп/к!р к!»р!!сайов/есгеги»»'»ип »вкенвя тяп арр сапов с широким м иодтипов, соответствующих приложениям, ю которых вылелвм универсальный твп ос»еъзггемп— поток двовчньгк данных: Сов!ел!- ! осгеьвпват и»и арап - зто для вас -твп, который определяет, что сообщение состоит ю нескольких порций, каждая вз которых имеет свои заголовки н тело.
Подтипы инхва, гв1аге»/, а/гегпа1Чв указывают, по зти порции содержат вложения, соответственно, со смешанвымв, взанмосвмзавйыми и алъ твввмми типами данных. Общий формат заголовка Сопгепг-Туре-ЕпсооЫ8 таков: Сопзепз-ТУре-Епсовйпй: кодироаса Значение заголовка определяет представление данных в теле сообщения, и их юдировку, если кодирование было применено. Возможные значения поля включают 7ЬЮ вЂ” семибнтовая кодировка пв-азой, 8-Ьй — восьмибитовая кодировка, Ьзлагу— побайтовый поток двоичных данных, диогег1-рпшаЬ1е — кодированный восьмибитовый текст, Йие64 — двоичные данные, кодированные алгоритмом Вавеб4.
Необязательный заголовок Сопгеш-Р1зрозй1оп управляет воспроизведением порции сообщения при его просмотре в почтовом клиенте, тем самым, с точки зрения взлоюцика, является важнейшим компонентом письма с активным юдом. Ниже приведен формат зтого заголовка: Соп1еп$-Р1зршййош Ыше; 61епаше="1шайе.81Г Значение 1л1ше ожгачает, что файл, указанный параметром Я1еиате должен быть открыт почтовым клиентом автоматически, что очень удобно для внедрения вложенной программы на компъютере-получателе письма. Значение аггасЬлелг означает, что вложение должно открываться с помощью пользовательского интерфейса почтового клиента.
Итак, теперь Вы, наверное, догадываетесь, как будет выглядегь письмо, содержззцее активный код, предназначенный для исполнения иа компьютере жертвы. Рассмотрим технологию одной из таких атак в деталях. С ние и авва сорб ения Посмотрим как можно создать сообщение, запускаивцее на атакованном компъютере команды МЗ-РОЯ.
Эти команда исполняются сразу, как только получатель выделит полученное письмо в почтовам клиенте Опг1оо)с Ехргезз старых версий. Составим письмо. Ьейо егпай.сош пай Йош: <ре6айешай.сош> гсрг со: <1гойаФепий.соп1> 50 г1ага воЬ1есг Аггас1г М1МЕ-Уегз|оп: 1.0 Сопгепг-Туре: пзг16рагйе1агег1; гуре="ппй1рагг1а1гегпаг1те"; и1» — 1 Сопгепг-Туре: пы1йрагг7з1гегпаг1те; Ьоппдагу="2" — 2 Сопгепг-Туре: гехгЛзгш1; сЬагзег=''1зо-8859-1" Сошепг-ТпшзГег-Епсоошй: сумйео-рппгаЫе Сопгепг-Р1зроз1йоп:шйпе; <НТМ1.> <НЕАР> <УНЕАР> <ВОРУ > <1РКАМЕ вгс=ЗРс1о:ТНЕ-С1Р Ье18Ьг=ЗРО вввйЬ=ЗР0> ТЫз гпезвайе паев а сЬагасгег вез йжг оо пог зпррогтео Ьу йзе 1пгегпег Бегв1се.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
