مقاله آموزشی Covering Tracks (پوشاندن ردپا بعد از هک کردن)

واضح آرشیو وب فارسی:فان پاتوق: قسمت اول:تست فايروالها(بوسيله Leak Tests)
outbound filtering يكي از قسمتهاي مهم در فايروالها است كه وظيفه آن كنترل همه فعاليتهاي به سمت بيرون و مسدود كردن برنامه هاي خراب كار از قبيل تروجانها اسپايورها و اداوارهايي كه سعي به ارتباط با بيرون دارند. بيشتر استفاده كنند گان فايروالها از فايروال خود مطمئن بوده و به اين نكته مهم توجهي ندارند كه در outbound filtering امكان Bypass شدن وجود دارد. براي تست بازدهي فايروالها كارشناسان امنيتي Leak test هايي را توليد كردند كه كار آن شبيه سازي و تقليد از تروجانها براي مشخص كردن امكان Bypass كردن حفاظت فايروال ميباشد بدون اينكه آسيبي به سيستم شما برسه.
در اينجا انواع تهديدات و راه هاي نفوذ را نام ميبرم:

Substitution : در اين تكنيك برنامه خرابكار سعي ميكنه اسم خودش را با اسم يكي از application هاي مطمئن موجود عوض كنه وخودش را در همان فولدر قرار بده.اين روش فايروالهايي رو كه بر روي اسم فايل Application تاكيد دارند و به Checksum ها توجهي ندارند رو Bypass خواهد كرد

Launcher :اين روش سعي داره به وسيله اجراي يك Application مطمئن به اينترنت متصل بشه و فايروال اجاره ارتباط را خواهد داد (البته نه همه آنها)

DLL injection :اين روش از يك process مطمئن براي load كردن يك DLL خرابكار استفاده ميكند. بعد از اينكه لود ميشه كدِ دي ال ال قسمتي از پروسس خواهد شدو ميتونه اطلاعات محرمانه روي شبكه انتقال بده. اين تكنيك اغلب بوسيله تروجانها استفاده ميشود.

Timing attack : وقتي كه درخواست يه برنامه غير مجاز براي ارتباط با شبكه كشف ميشه بيشتر فايروالها پروسه ي اتصال رو فيريز ميكنند و از كاربر براي اينكه درخواست block شود يا خير سوال ميشود.براي freeze كردن (PID(process identiffier لازم است. برنامه هايي كه از اين تكنيك استفاده ميكنند بعد از اينكه هرقسمت از اطلاعات را فرستادند به صورت بي قاعده پي آي دي خودشونو تغيير ميدهند.

Default rule using : بيشتر فاير والها يه سري قانون به صورت ديفالت دارند كه همه ي دسترسي ها به شبكه را بعد از نصب Block نخواهد كرد.برنامه هاي خرابكار از اين قضيه براي Bypass كردن فايروال استفاده ميكنند

روشهاي ديگهاي هم وجود دارند مثل:
Direct network interface reaching
Process memory injection
Recursive request
============================================
در اين قسمت چندتا از leak test ها رو با نوع رفتار معرفي ميكنم.

1.TOOLLeaky
اين مورد از نوع Launcher ميباشد وبه اين صورت عمل ميكنه كه مرورگر رو با اين Command line باز ميكنه.

کد:
iexplore.exe http://grc.com/it/leaktest.htm?PersonalinfoGoesHere
پنجره اي كه اجرا ميشه مخفي است.اگر مرورگر وب دسترسي به Http پورت 80 را اجازه بده همه اطلاعات به هر ريموت Address ي فرستاده ميشه. اطلاعاتي شامل پسوردهاو...
اگر تست با موفقيت انجام بشه به معني آن است كه فايروالتون اپليكشن هايي روكه ديگر app رو اجرا ميكنند چك نميكند و در اين تست نا موفق بوده است.
2.FireHole
اين يكي از نوع Launcher و DLL injection ميباشد.
اين يكي هم ميخواد به وسيله مرورگر يه سري ديتا رو به يك ريموت Address بفرسته. براي انجام اين كار يه DLL نصب ميكنه كه اون DLL خودشودرهمان Process به عنوان يك اپليكيشن مطمئن LOad ميكنه
اگر تست با موفقيت انجام بشه به معني آن است كه فايروالتون app هاي روكه سعي ميكنن به وسيله اجراي يك app ديگه به شبكه متصل شن كنترل نميكنه و همچنين نسبت به DLL injection اسيب پذيره.
3.wallBreaker
اين يكي از نوع Launcher است.
اين leak test لول(level) فاير والتون رو مشخص ميكنه و از چهار تست مستقل تشكيل شده.
اولين تست براي اجراي iexplore.exe و دسترسي به اينترنت از explorer.exe استفاده ميكنه
تست دوم مستقيما اينترنت اكسپلورر رو اجرا ميكنه اما به روشي كه به وسيله بعضي فايروالها
احساس نميشه
تست سوم يك نوع ديگه از تست اوله. اين تست اول cmd.exe رو اجرا ميكنه بعد Explorer.exe اجرا ميشه ودر آخر Iexplore.exe اجرا ميشه به صورت زير
Wallbreaker :arrow: cmd :arrow: explorer :arrow: Iexplore
فقط در 2000 وxp
تست چهارم يه كم پيشرفته تره به اين صورت كه يك scheduled task بوسيله windows task scheduler ايجاد ميشه وبه اين صورت خواهد بود
Wallbreaker :arrow: AT :arrow: svchost :arrow: cmd :arrow: explorer :arrow: Iexplore
اين تست يك batch file ميسازه با يك اسم رندم(random) كه بايد در پايان تست توسط كاربر حذف شود .براي اينكه اين تست درست عمل كنه بايد windows task scheduler روشن باشه(يادتون باشه كه تروجانها ميتونند اين كار رو خودشون انجام بدهند)
اگر اين تست با موفقيت انجام شد يعني فاروالتون براي مثال به شما هشدار نداد كه Wallbreaker.exe ميخواد دسترسي پيدا كنه به اينترنت بهتره فايروالتون رو بي خيال شويد.
4.LeakeTest
نوع حمله:Substitution
اي يكي از اولين leake test هاست.و بر مبناي اين واقعيت ساخته شده كه بعضي فايروالها فقط اپليكيشن هايي رو ايمن ميدونند كه به وسيله كاربر تعريف شده.
اين تست نشون ميده كه تغيير نام دادن يك برنامه خرابكار به يك app مجاز به malware اجازه ميده كه فايروال رو باي پس كنه.كه البته ورژن هاي جديد فايروالها app checksum دارند وبه كاربر هشدار ميدهند.
پس اگر اين تست با موفقيت انجام بشه يعني فايروال شما فقط به اسم برنامه هاي كه ميخواهند به شبكه وصل شوند نگاه ميكنه وبه نظر من همچين فايروالي بهتره uninstall شود.
5.pcAudit
روش

LL injection
pcaudit بجاي اينكه مستقيما اجرا شود كد خودش رو با استفاده ازdll injection وارد يك برنامه مجاز ميكند و اگر آن برنامه دسترسي كامل داشته باشد pcaudit به راحتي كارش رو انجام ميده.
براي اينكه pcaudit درست تست شود :
اگر فايروالتون هشدار داد كه explorer.exe سعي به ارتباط با اينترنت دارد اجازه دسترسي بدهيد(always) سپس دوباره دوباره انجام بديد اگر فايروال هشدار نداد يعني نسبت به Dll injection آسيب پذيري دارد.6. pcaudit2
روش

LL injection
pcaudit v2 از يك روش متفاوت با ورژن قبلي خود استفاده ميكند
اگر تست با موفقيت اجرا شد يعني فايروال شما نسبت به DLL injection آسيب پذير است. يا اگر هم Dll injection Protection داشته باشه كافي نيست.
7.Thermite
Thermite شباهتي به ديگر leak test هايي كه كدشون را به پروسس هاي ديگه از طريق DLL هاشون تزريق ميكنند ندارد.بلكه كدشو مستقيما به پروسس مورد نظر مي فرسته كه براي از فايروالها قابل تشخيص نيست.
اگر تست با موفقيت اجرا شد يعني فايروال شما نسبت به process memory injection اسيب پذير است.
8.CopyCat
تقريبا شبيه Thermite عمل ميكنه البته با تفاوت هايي.

این صفحه را در گوگل محبوب کنید

[ارسال شده از: فان پاتوق]

[مشاهده در: www.funpatogh.com]

[تعداد بازديد از اين مطلب: 334]