Введение в авторутеры (Autorooters): Взломщики стали работать умнее.

Мэт Тэйнэйс

Введение.

Можно возразить, что быстродействие и автоматизация являются наиболее ценными составляющими любых технологий. Нет сомнений, что современные электронные устройства позволяют нам сделать значительно больше за короткое время. Действительно, мы пользуемся программным обеспечением, чтобы избежать монотонной работы и сократить время работы, быстро просмотреть информацию. С другой стороны, мы знаем, что взломщики - умны..., но ленивы. Поэтому не удивительно, что они используют те же технологии, чтобы уменьшить количество рабочих входов. Чего же они достигли? Придуман тип вредных программ известный, как авторутер. Эти программы предназначены для автоматического сканирования и мгновенной атаки на компьютер. Хороший авторутер дает взломщикам то, что они хотят: быстрый и легкий полный контроль над взламываемой машиной. Он позволяет следить за работой в сети слабо защищенной машины, получать неразрешенный доступ, настраивать черные ходы (backdoors), производить любые операции. Все это можно сделать нажатием одной клавиши. Эта статья посвящена исследованию понятий связанных с авторутерами и способам защиты от них.

Что делает авторутер?

Термин "авторутер"(autorooter), на языке специалистов по безопасности, применяется, когда имеем дело с успешным взломом и получением привилегированного доступа к машине. Действие под названием "рутинг", происходит от имени корневого каталога "root" в Unix. Приставка "авто" появилась из-за того, что эти программы хорошо упакованы или производят автоматически весь процесс взлома от начала до конца. Авторутеры могут переназначаться для наблюдения за работой в сети слабо защищенной машины или для атаки на все что встретится на пути. Если машина поддалась взлому, на ней могут быть установлены любые вредные программы: данные могут быть захвачены (используя сниффер), Web-страницы перестанут отображаться, настроятся серверы. Некоторые авторутеры прекращают свою работу после того, как отошлют результаты взломщику, другие могут настроить программы "зомби", которые будут ждать дальнейших указаний, например от IRC.

Многие автоматические устройства для наблюдения за работой в сети могут использоваться как с законными, так и незаконными целями, но это не касается авторутеров, которые используются только взломщиками. Что особенно тревожит - это уровень квалификации тех, кто чаще всех пользуется авторутерами.

Хотя обычно авторутеры пишутся высококлассными программистами, но чаще всего используются людьми другого типа - script kiddies. Script kiddies находятся под особой опекой служб компьютерной безопасности, потому что, с одной стороны, они имеют маленькие программистские возможности, но могут нанести ощутимый ущерб, пользуясь простыми хакерскими способами. Такие пользователи редко понимают, как и почему данное средство работает, но они получают результаты, потому что имеют много времени и ресурсов для сканирования тысяч машин, не задумываясь о последствиях. script kiddie нужно только загрузить авторутер, войти в сетевой блок или в список IP-адресов и покинуть его безнаказанно. Им не нужно знать как их вредные инструменты функционируют, знают лишь, что они работают. Все, что script kiddies умеют делать, - это тыкать, кликать и крякать.

Почему авторутеры опасны?

Для того чтобы понять угрозу, исходящую от этих опасных инструментов, нам нужно описать процесс, который они подменяют. Во-первых взломщик должен иметь программу сканирования такую, как Nmap для того, чтобы просмотреть большое количество машин. Далее, они должны просмотреть все их данные, пытаясь найти специфические порты, операционные системы или серверы для того, чтобы создать список потенциальных мишеней. В связи с этим программе нужно договориться с мишенями. Запущенная программа на каждой машине может привести к успешному взлому. Позже каждое устройство должно быть конфигурировано для нужд взломщика: вредные программы настроены, log -файлы слегка изменены, черные ходы установлены.

Дальше остается лишь войти в новую частную сеть и повторить процесс. Это не ракетная наука, но все шаги требуют время, терпения и глубокого понимания того, что происходит. Авторутеры заменяют все это. Взломщику больше не нужно вручную сканировать машины или просматривать порт и информацию об операционной системе. Тяжелой работы больше нет. Правда, ему нужно "нацелить" авторутер на потенциальные мишени, на определенную подсеть. Все устройства для работы в сети с адресами из этого промежутка будут проверены за небольшое количество времени. Все данные будут автоматически рассортированы авторутером, который затем начнет атаку на все потенциально слабо защищенные машины. В случае успеха авторутер может подчистить log-файлы, чтобы замести свои следы и восстановить прежнюю конфигурацию. Последствия одинаково опасны как для профессионалов, так и для пользователей домашних компьютеров. В настоящее время начинающий взломщик может захватить очень много машин за несколько минут, поступая случайным образом. Если одна из сотни машин слабо защищена, то относительно быстрое сканирование адресного блока дает большое количество новых жертв. Больше всего тревожит то, что целая сеть, захваченная неправильным способом, может быть "обработана" одним авторутером. Это происходит из-за того, что авторутер очень напоминает червяка и часто атакует сеть, окружающую жертву. Если защита построена неправильно, общий сервер, взломанный авторутером, может быстро начать атаку машин частной сети.

Эволюция авторутеров.

Авторутеры можно понимать, как продвинутые версии или комбинацию некоторых довольно традиционных типов вредных программ таких, как:

• Эксплоит - маленькая программа, использующая слабые места в куске слабо защищенного программного продукта, для того, чтобы получить привилегированный доступ к машине или сети.
• Rootkit - инструмент, позволяющий незаконно получить доступ уровня администратора в машину или сеть. Найдя жертву, взломщик использует rootkit чтобы выполнить специфические задания такие, как стереть log-файлы и настроить черный ход. Это подготавливает машину к тому, чтобы просмотреть, изменить или украсть данные, а также проделать другие вредные действия.
• Троян - Компромиссный файл, который, когда выполняется привилегированным пользователем, настраивает вредные программы в машине. Часто используется для изменения действующей системы и может подготовить систему так же, как и rootkit.
• Вирус - Кусок вредной программы, включенный в файл, который заражает файл, а затем воспроизводит себя в машине - мишени. Обычно проникает в систему по e-mail или через дискеты, прицепляясь к рабочему файлу. Вирус может нанести ущерб машине, испортив или удалив данные и программы или другими способами сделать данные неупотребимыми.
• Червь - автоматическая программа, которая пытается внедриться через сеть, заражая каждую слабозащищенную машину. Это очень популярный метод внедрения авторутера.

Авторутеры содержат части из вышеперечисленных инструментов и комбинируют различные характеристики и методологии каждой из них. Эксплоит сам по себе является основным инструментом, поскольку он имеет дело с получением доступа к машине. Когда доступ получен, на жертву нападает rootkit. После настройки вредные программы могут нанести ущерб. Фактически, авторутер может "отравить" машину и сеть, ее окружающую, так же, как и вирус, троян или червь. Он может внедряться многими способами: по e-mail, через мастерски сделанный java-script код, если с ней работает тот, кто в это время посещает инфицированный сервер, или, просто, во время неторопливой работы в сети. Программист может написать авторутер просто для того, чтобы взламывать машины или может легко добавить в программу вирусной техники (чтобы она могла самовоспроизводиться), как в Червях. Добавим к этому, что мишень может быть выбрана из массива машин, поэтому авторутеры представляют из себя новый опасный инструмент для взлома.

Что такое Super Exploit?

Термином "super exploit" называются эксплоиты или атаки, которые теоретически можно сделать в любом месте интернета за очень короткое время. Пока это может показаться делом далеким, но авторутеры превращают это страшное понятие в реальность. Каким образом? Пока трудно поверить, что одна особая атака может оказать воздействие на большинство машин в интернете, в некоторой степени из-за многообразия конфигураций. Если дана установка на преследование специфических эксплоитов, таких, как DNS эксплоит, или если слабое место появится у очень популярной службе такой, как Microsoft IIS, авторутер может проникнуть в устрашающем количестве. Почему? Как мы отмечали ранее, авторутеры имеют установку на размножение. Если хотя бы раз их "выпустить на волю", их тяжело будет удержать. Один захваченный сервер может быстро превратиться во множество серверов, каждый из которых превращает себя в инструмент для взлома. Процесс идет по экспоненциальному закону. Кроме этого, программы эти весьма продвинуты. Например, такой червь, как Nimda использует несколько эксплоитов и может внедряться разными способами. Тысячи серверов могут стать жертвами за часы, блокируя трафик интернета и сея хаос в сети во всем мире. Пока "super exploit" еше никто не видел, но многие специалисты по безопасности опасаются, что это может случиться. Появление Nimda в сентябре 2001 года дало повод для этих опасений. Многие администраторы и эксперты по безопасности вспоминают 18 сентября 2001 года, как несчастливый день. В этот день Nimda вырвалась наружу. Я отметил первые вхождения через двадцать минут после начала работы.

Затем, в течение часа каждые несколько минут сотни различных машин буквально атаковали мои серверы. Даже месяцы спустя администраторы продолжали видеть HTTP запросы Nimda каждый день. Nimda не является авторутером в строгом смысле, но производит аналогичные результаты. Ее главная цель, как у червя, - внедриться, но, похоже Nimda имеет более вредные намерения, возможно ее цель - тихое наблюдение за трафиком или ожидание участия в атаке на своем участке, которая начнется со сканирования вашей сети. Нужно иметь в виду, что эти инструменты относительно новые и пока еще сыроваты, в некотором смысле, являются только идеей. В настоящее время созданные авторутеры производят впечатление всего лишь основы, возможно, как следующий шаг в традиционных rootkits. Разные авторутеры имеют разные функции, т.к. они "пошиты" для нужд того, кто их делал. Но в будущем все может быть не так. Возможно (в будущем) будет тривиально запрограммировать способность проникать в окружающую сеть и выполнять любые другие виды действий, связанных с взломом. Таким образом, имеются большие шансы увидеть в скором времени более продвинутые версии с различными функциями, которые проскользнут в общественный сектор (т.е. будут доступны любому). Как показывает случай с Nimda, когда такое случается, администраторы должны знать, как создать адекватную оборону.

Оборона.

Лучшие способы предохранить себя от авторутеров основываются на следующих основных стратегиях безопасности:

• Firewalls - правильно построенный firewall, фильтрующий входящие и исходящие трафики, может творить чудеса. Эти устройства могут предотвратить проникновение авторутера.
• Системы обнаружения вторжения - Хотя они не могут непосредственно предохранить от проникновения авторутера, но могут объявить тревогу, обнаружив входящие или исходящие сигнатуры авторутера. Время тревоги дает возможность уменьшить ущерб: определить и отсоединить инфицированные машины, починить систему.
• Запрет неиспользуемых служб - уничтожение и отключение служб, которые не являются необходимыми, - ключевой момент в обороне. Так как большинство авторутеров проникают через компромиссные службы сети, этот простой шаг очень эффективен. Если машина не используется, как сервер - отключи ее.
• Антивирусная техника - Пользователи рабочих станций должны заниматься стандартными антивирусными измерениями, т.к. авторутеры могут проникать через e-mail и Web страницы. Современные антивирусные программы могут использоваться для обнаружения и предотвращения таких попыток.
• Обновление программ - Имеется другое простое, но важное требование. Успехи авторутеров зависят от широкого распространения слабой защищенности. Если система регулярно обновляется, то, навряд ли действия авторутера, использующего что-нибудь большее, чем свежий эксплоит, будут успешными. Этот момент более важен для администраторов сети.
• Реагирование на нападение - Если одна из ваших машин подверглась нападению, пожалуйста действуйте ответственно и выведите машину из сети. Чем дольше машина будет активной и находиться в сети, тем больше других машин подвергнутся атаке.

Заключение.

Авторутеры являются новой серьезной угрозой для безопасности работы в сети. Взломщики всех уровней квалификации, особенно те, которые гонятся за количеством, а не качеством, намереваются использовать их в будущем. Эти инструменты, к несчастью, становятся более обогащенными и эффективными, полными и легкими в использовании. Подпольное сообщество быстро движется вперед. Они действительно стали работать умнее. Специалисты в области компьютерной безопасности и информационных технологий должны нести ответственность. Так как авторутеры комбинируют элементы некоторых традиционных средств, нам нужно быть уверенным, что у нас действуют стандарты безопасности. Эти элементарные средства предосторожности в комбинации с security сообществом, которые работают вместе и активно предугадывают такую продукцию, могут защититься от проникновения этих опасных атакующих средств.