АНТИСКАН
admin's deception
Спецвыпуск Xakep, номер #023, стр. 023-054-1
kleZ
Вот углубились мы тут в, несомненно, важнейшую тему сканирования, а про одну хитрую фишку чуть не забыли. Админы – те еще черти – защищая свои системы, иногда такого напридумают... Вот, например, научились бороться с нашим братом обманными методами, наплевав на то, что порядочному админу нельзя опускаться до такого уровня. Оказывается, еще как можно! А как еще назвать то, что многие серьезные админы используют сегодня в свих системах защиты deception (обман)?
Самый простой пример - это замена баннеров стандартных сервисов. Заходишь ты на какой-нибудь ftp с надеждой определить по приглашению, что за система установлена на серваке. Он тебе радостно кричит: "wu-ftp 2.1.7-12 on AIX 5L 5.0. Welcome!!". Ты потираешь ручки, начиная уже искать в базах эксплоитов соответствующую версию wu-ftp. А на самом деле никакой это не wu-ftp и AIX'ом там и не пахнет – просто хитрюга-админ изменил приглашение ftp-сервера таким образом, чтоб по всем параметрам было похоже на wu'шник под AIX'ом. При чем делается это элементарно – надо только отредактировать один проклятый файл!
Но это еще не все, далеко не все. Почесав репы, доблестные труженники безопасности решили, что надо бы все это дело как-то автоматизировать, а то ведь удобная фишка. Почесали, почесали, да и накодили прогу, которую в наглую называли DTK (Deception ToolKit). То есть, набор для обмана. Расскажу вкратце, что это такое. DTK может повесить на любой порт своего демона, который ничего не умеет делать, кроме как брать из из стандартного ввода данные (то что вводит клиент, законнектившийся на этот порт) и выводить ответы в стандартный вывод (направляется прямиком клиенту). При чем поведение демона контролируется специальным скриптом-сценарием. В таком сценарии можно описать ЛЮБУЮ реакцию демона на ЛЮБОЙ пользовательский ввод. Все это делается настолько просто, что аж злость берет! Алгоритм работы демонов DTK следующий: если от пользователя пришел такой-то текст, вывести ему на экран сякой-то текст. Вот и все. Но фишка в том, что проявив терпеливость, любой админ может сэмулировать таким образом работу практически любого сервиса. Прикинь, заходишь, опять же, на ftp и думаешь: "Дай попробую дефолтовые логин/пароль – авось, админ-полный лох". Вводишь, а это на самом деле не ftp-сервер с тобой общается, а фальшивый DTK'шный демон. На твои дефолтовые логин/пароль он радостно отвечает: "Authentication complete" и ждет дальнейших команд. Ты думаешь: "Блин, а может и это прокатит?" и пишешь "get /etc/passwd". B действительно, катит – только это не настоящий passwd, а подделка, которую ты будешь еще две сутки расшифровывать (так как он никогда и не был зашифрован, а данные в нем – не пароли, а обычный мусор). Вот такие вот пироги :(.
Но такого злостного надувательства админам мало. Знаешь, что некоторые делают с помощью DTK? Они просто берут и открывают на своем серваке около сотни smtp-сервисов, один из которых настоящий, а все сотальные – DTK'шные демоны. Вот и пойди гадай, какой из них "BINGO"... Легче забить и пойти заниматься чем-нибудь еще, чем лазить на каждый из этой сони портов и проверять, похож ли он на реальный или все-таки DTK (если хорошенько присмотреться, можно все же отличить подделку от настоящего сервера – DTK не может полностью, до мелочей эмулировать настоящий сервис – слишком гиморные при этом скрипты-сценарии получатся).
