Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 212
Текст из файла (страница 212)
Ю Атакующий блок состоит из нескольких модулей (векторов атаки), каждый из которых рассчитан на поражение конкретного типа уязвимости. Этот блок открывает «входную дверь» атакуемого хоста и передает через нее свою копию. взе Типы н примеры атак 0 Блок поиска целей (локатор) собирает информацию об узлах сети, а затем на основании этой информации определяет, какие из исследованных узлов обладают теми уязвимостями, для которых хакер имеет средства атаки. Эти два функциональных блока являются обязательными и присутствуют в реализации любой программы-червя.
Некоторые черви нагружены их создателями и другими вспомогательными функциями, о которых мы скажем позже. Упрощенно жизненный цикл червя может быть описан рекурсивной процедурой, состоящей иэ циклического запуска локатора и атакующего блока на каждом из последующих заражаемых компьютеров (рис. 24.5). В начале каждого нового цикла червь, базирующийся на захваченном в результате предыдущей атаки компьютере, запускает локатор для поиска и формирования списка узлов-целей, пригодных для проведения каждой из специфических атак, а затем, используя средства атакующего блока, пытается эксплуатировать уязвимости узлов из этого списка. В результате успешной атаки червь копирует все свои программы на «новую территорию» и активирует локатор.
После этого начинается новый цикл. На рисунке показано, как червь лавинообразно распространяется по сети. Заражение тысяч компьютеров может занять всего несколько минут. Некоторые виды червей не нападают на уже зараженные и/или подвергающиеся атаке в данный момент узлы. Если же такая проверка не предусмотрена в алгоритме работы червя, то в сети случайным образом могут возникать очаги стихийных По5-атак. Рис. 24.6. Экспансия червя в сети Глава 24. Сетевая безопасность Локатор идентифицирует цели по адресам электронной почты, 1Р-адресам, характеристикам установленных на хостах операционных систем, номерам нортов, типам и версиям приложений.
Для сбора информации локатор может предпринимать действия, связанные как с поисками интересующих данных на захваченном нм в данный момент хосте, так и путем зондирования сетевого окружения. Простейший способ получить данные локально — прочитать файл, содержащий адресную книгу клиента электронной почты'. Помимо почтовых адресов, локатор может найти на узле базирования другие источники информации, такие как таблицы конфигурационных параметров сетевых интерфейсов, АКР-таблицы и таблицы маршрутизации. Зная 1Р-адреса хоста базирования и шлюзов, локатор достаточно просто может определить 1Р-адреса других узлов этой сети.
Для идентификации узлов локатор может также использовать 1СМР-сообщения или запросы р!пя, указывая в качестве адресов назначения все возможные 1Р-адреса. Для определения того, какие приложения работают на том или ином хосте, локатор сканирует различные хоров/о известные номера ТСР- и Е)ПР-портов. Определив тип приложения, локатор пытается получить более детальные характеристики этого приложения. Например, пусть некоторая программа-червь имеет в своем арсенале средства для атаки на некоторые версии веб-сервера АрасЬе. Для поиска потенциальных жертв локатор этого червя зондирует узлы сети, посылая умышленно ошибочные запросы к веб-серверу: ВЕТ / НТТР/1.1(г(п(г(п Узел, на котором установлен сервер АрасЬе, отвечает на такой запрос так, как и рассчитывал разработчик червя, то есть сообщением об ошибке, например, это может быть сообщение такого вида: НТТР/1.1 400 Ваз Неоиезс Оаге: Ноп, 23 Ееь 2004 23:43:42 ВНТ 5егтег: Арасве/1.3.19 (ОН!Х) (Нес-Нас/С!пцх) яоб зз)/2.8.1 Ореп55Е/0.9.6 ОАХ/1.0.2 РНР/4.0.4р) 1 яоб рег)/1,24 01 Соппесг! оп: с) озе Тгапзтег-Епсос!о9: сьцпхед СопСепС - Туре: Сехг/ПСв); спа гзеС-! Со-8859 - 1 Из этого ответа локатор узнает о том, что на узле установлен веб-сервер АрасЬе версии 1.3.19.
Для червя этой информации может быть достаточно, чтобы внести данный узел в число целей. Собрав данные об узлах сети, локатор анализирует их подобно тому, как это делает хакер при поиске уязвимых узлов. Для атаки выбираются узлы, удовлетворяющие некоторым условиям, которые говорят о том, что данный узел возможно обладает уязвимостями нужного типа (для них и атакующем блоке есть средства нападения). Понятно, что при таком «предположительном» способе отбора целей не всякая предпринятая атака обязательно приводит к успеху.
Неудача рассматривается атакующим блоком червя как штатная ситуация, он просто сворачивает все свои действия, направленные на не поддавшийся атаке узел, и переходит к зраке следующей цели из списка, подготовленного локатором. г Рассмотрим более подробно, как работает атакующий блок червя. Среди механизмов, позволяющих червю передать свою копию на удаленный узел, наиболее длинную историю имеет уязвимость ошибки переполнения буфера. Этот достаточно распространенный ' Для коллекционирования почтовых адресов локатор может прибегать н к более интеллектуальным методам, которые используют в своей работе спамеры (о спаме см, далее). Типы н примеры атак вид уязвимости связан с неправильной работой некоторых программ, когда у них переполняется буфер.
При трансляции программ, написанных на многих языках программирования, в исполняемом (объектном) модуле в сегменте локальных переменных отводится место для буферов, в которые будут загружаться данные при выполнении процедур ввода. Например, в программе веб-сервера должен быть предусмотрен буфер для размещения запросов, поступающих от клиентов. Причем размер буфера должен быть равен максимально допустимой для данного протокола длине запроса.
В том же сегменте локальных переменных транслятор размещает команду возврата из процедуры, которой будет передано управление при завершении процедуры (рис. 24,6, а). Для правильной работы программы очень важно, чтобы вводимые данные (в нашем примере — запрос клиента) всегда укладывались в границы отведенного для них буфера. В противном случае зти данные записываются поверх команды возврата из процедуры.
А это, в свою очередь, означает, что процедура не сможет завершиться корректно: при передаче управления на адрес команды возврата процессор будет интерпретировать в качестве команды то значение из запроса, которое записано поверх команды возврата. Если такого рода переполнение возникло в результате случайной ошибки, то маловероятно, что значение, записанное поверх команды возврата, окажется каким-либо осмысленным кодом. Иное дело, если это переполнение было специально инициировано злоумышленником.
Рис. 24.6. Схема атаки на уязвимость ошибки переполнения буфере: а — структура адреоного пространства программы до поступления злонамеренного запроса; б — посла поступления злонамеренного запрооа Злоумышленник конструирует запрос так, чтобы сервер прореагировал на него предсказуемым и желательным для хакера образом. Для этого хакер посылает нестандартный запрос, размер которого превышаег размер буфера (рис.
24.6; б). При этом среди данных запроса в том месте, которое приходится как раз на команду возврата, злоумышленник помещает команду перехода на вредоносный код червя. В простейшем случае таким вредоносным кодом может быть совсем небольшая программа, переданная в том же запросе. 842 Глава 24. Сетевая безопасность Итак, атакующий блок червя посылает некорректный запрос уязвимому серверу, его буфер переполняется, код команды возврата из процедуры замещается кодом команды передачи управления вредоносной программе, которая выполняет копирование всех оставшихся программных модулей червя на вновь освоенную территорию. Хотя рассмотренный подход применим к самым различным приложениям, для каждого типа приложений хакер должен сформировать специальный атакующий запрос, в котором смещение кода команды передачи управления вредоносной программе точно соответствовало бы местоположению команды возврата в процедуру атакуемого пригожвнил.
Именно поэтому для червя при проведении такого вида атак так важно получить информацию о типе и версиях программного обеспечения, установленного на узлах сети. Помимо локатора и атакующего блока червь может включать некоторые дополнительные функциональные компоненты. С) Блок удаленного управления и коммуникаций служит для передачи сетевым червям команд от их создателя, а также для взаимодействия червей между собой.
Такая возможность позволяет хакеру координировать работу червей для организации распределенных атак отказа в обслуживании. Сетевые черви могут быть также использованы для организации параллельных вычислений при решении таких требующих большого объема вычислений задач, как, например, подбор секретного ключа шифрования или пароля. С) Блок управления жизненным циклом может ограничивать работу червя определенным периодом времени. 0 Блок фиксации событий используется автором червя для оценки эффективности атаки, для реализации различных стратегий заражения сети или для оповещения других пользователей о повреждениях, нанесенных их компьютерам.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
