<<
>>

Троянские кони

Одно дело создать вредоносную программу — это можно сделать даже в своей спальне. А вот заставить миллионы людей установить ее на свои компьютеры — совсем другое дело. Как этот вопрос решает Мэл, создатель вредоносных программ? Самый распространенный прием — создать по-настоящему полезную программу и встроить в нее вредоносный модуль.
Это могут быть игры, музыкальные плееры, специализированные программы просмотра «взрослого» контента и еще что-нибудь с привлекательной графикой. Люди сами закачают и установят такое приложение. В качестве бесплатного бонуса они получат установленную вредоносную программу. Такой подход называется атакой с помощью троянского коня (Trojan horse attack), в память о деревянном коне с греческими воинами внутри из гомеровской «Одиссеи». В мире компьютерной безопасности это понятие относится к любому вредоносному коду, спрятанному в программе или на веб-странице, которую люди загружают добровольно.

Когда бесплатная программа запускается, она вызывает функцию, записывающую вредоносную программу на диск и запускающую ее.

Затем вредоносная программа может приступить к тому черному делу, ради которого она создавалась, например к удалению, модификации или шифрованию файлов. Она также может заниматься поиском номеров кредитных карт, паролей и других полезных сведений и отправлять их Мэлу через Интернет. Скорее всего, она подключится к какому-нибудь IP-порту и будет ждать команд, превращая машину в зомби, готового к рассылке спама или совершению любых действий по желанию своего удаленного хозяина. Обычно вредоносная программа также задействует команды, гарантирующие ее перезапуск при каждой перезагрузке машины. Средства для этого имеются во всех операционных системах.

Вся «прелесть» троянских коней в том, что от их автора не требуется взламывать компьютер своей жертвы — она сама делает за него эту работу.

Существует еще один прием, позволяющий заставить жертву выполнить троянскую программу. К примеру, многие пользователи UNIX используют переменную среды окружения $PATH, которая управляет просмотром каталогов при поиске команды. Ее содержимое можно просмотреть, набрав в оболочке следующую команду:

echo $PATH

Возможные настройки для пользователя ast на конкретной системе могут содержать следующие каталоги:

:/usr/ast/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/ucb:/usr/man\

:/usr/java/bin:/usr/java/lib:/usr/local/man:/usr/openwin/man

У других пользователей, наверное, будут другие пути поиска. Когда пользователь набирает в оболочке команду

prog

оболочка сначала проверяет, нет ли такой программы в /usr/ast/bin/prog. Если она там есть, то она выполняется. Если ее там нет, оболочка пытается найти ее в /usr/local/bin/ prog, /usr/bin/prog, /bin/prog и т. д., просматривая по очереди все 10 каталогов перед тем, как отказаться от этой затеи. Предполагая, что один из этих каталогов остался незащищенным, взломщик помещает в него программу. Если это первое появление программы с таким именем в списке поиска, она будет выполнена и троянский конь приступит к своей работе.

Чаще всего программы находятся в /bin или в /usr/bin, поэтому помещение троянского коня в файл /usr/bin/X11/ls не сработает, поскольку первой будет найдена настоящая программа с таким именем. Но предположим, что взломщик поместил в каталог /usr/bin/X11 файл la. Если пользователь допустит опечатку и наберет la вместо ls (программы для вывода имен файлов, имеющихся в каталоге), троянский конь будет запущен, выполняя свое черное дело, а затем выдаст вполне правильное сообщение о том, что команды la не существует. Внедрение троянских коней в каталоги со сложными путями, в которые практически никто не заглядывает, и присваивания им имен, соответствующих часто допускаемым опечаткам, приведет к тому, что кто-нибудь рано или поздно вызовет одну из этих программ и этот кто-то будет иметь права привилегированного пользователя (даже такие пользователи допускают опечатки), и в таком случае троянский конь получит возможность подменить файл /bin/ls версией, содержащей троянского коня, чтобы с этих пор всегда запускалась именно эта версия.

Наш злоумышленник Мэл, являющийся к тому же вполне легальным пользователем, может также проложить дорожку к правам привилегированного пользователя следующим образом. Он помещает версию ls, содержащую троянского коня, в собственный каталог, а затем предпринимает какие-нибудь подозрительные действия, способные привлечь внимание привилегированного пользователя: например, одновременно запускает 100 процессов, использующих все вычислительные ресурсы системы. Вполне возможно, что привилегированный пользователь поинтересуется содержимым домашнего каталога Мэла, набрав последовательность команд

cd /home/mal ls -l

Так как некоторые оболочки перед тем, как работать с содержимым $PATH, сначала обращаются к локальному каталогу, привилегированный пользователь может запустить помещенного Мэлом троянского коня с правами привилегированного пользователя, чего, собственно, и добивался злоумышленник. Затем троянский конь может создать /home/mal/bin/sh с SETUID владельца root. Для этого он совершает два системных вызова: chown для изменения владельца файла /home/mal/bin/sh на root и chmod — для установки его бита SETUID. Теперь Мэл, запустив эту оболочку, может стать привилегированным пользователем.

Если Мэл будет часто оставаться на мели, он может воспользоваться одним из следующих способов мошенничества с помощью троянского коня. Первый способ заключается в том, что троянский конь проверяет, не установлена ли у жертвы программа электронного банкинга, например Quicken. Если программа установлена, троянский конь предписывает ей перевести немного денег на подставной счет (предпочтительно в какой-нибудь далекой стране), чтобы в последующем снять с него наличные.

Подобно этому, если троянский конь выполняется на мобильном телефоне (или смартфоне), он также может рассылать текстовые сообщения на действительно дорогостоящие платные номера, опять-таки предпочтительнее в какой-нибудь дальней стране, например в Молдове (части бывшего Советского Союза).

9.9.2.

<< | >>
Источник: Э. ТАНЕНБАУМ Х. БОС. СОВРЕМЕННЫЕ ОПЕРАЦИОННЫЕ СИСТЕМ Ы 4-е ИЗДАНИЕ. 2015

Еще по теме Троянские кони:

  1. «Репертуар и Пантеон»
  2. Походка.
  3. Прием выразительности.
  4. Оформление юридической психологии как науки.
  5. Прием выразительности.
  6. Слово - основной инструмент юриста
  7. Глава 12. РАБОТА В ГРУППЕ
  8. Судья .
  9. К специальным условиям конструктивной деятельности следует отнести
  10. 3. Никогда не предавайте чье-то доверие.