Eurotehnik.ru

Бытовая Техника "Евротехник"
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

RATKing: новая кампания с троянами удаленного доступа

RATKing: новая кампания с троянами удаленного доступа

В конце мая мы обнаружили кампанию распространения ВПО класса Remote Access Trojan (RAT) — программ, которые позволяют злоумышленникам удаленно управлять зараженной системой.

Рассматриваемая нами группировка отличилась тем, что она не выбрала для заражения какое-то определенное семейство RAT. В атаках в рамках кампании были замечены сразу несколько троянов (все в широком доступе). Этой чертой группировка напомнила нам о крысином короле — мифическом животном, которое состоит из грызунов с переплетенными хвостами.


Оригинал взят из монографии К. Н. Россикова «Мыши и мышевидные грызуны, наиболее важные в хозяйственном отношении» (1908 г.)

В честь этого существа мы назвали рассматриваемую нами группировку RATKing. В этом посте мы расскажем подробно о том, как злоумышленники проводили атаку, какие инструменты они использовали, а также поделимся своими соображениями относительно атрибуции этой кампании.

1 апреля: разыгрываем близких и коллег

jbareham_170331_1538_0002_2.1490991977_compressed

1 апреля, он же День смеха, он же День Дурака — единственный законный день в году, когда принято не обижаться на розыгрыши. Уязвимая, нестабильная и развивающаяся операционная система Windows является идеальной площадкой для розыгрышей. Поди знай, возникшая проблема – этот результат розыгрыша близких или коллег по работе, либо компания Microsoft опять намудрила что-то в очередном обновлении, а затем будет учтиво извиняться в своем блоге. А может в систему проник вирус? Ниже рассмотрим 5 идей, как разыграть близких и коллег при помощи Windows.

1. Картинка вместо настоящего рабочего стола

Самый простой способ подшутить над товарищами – заменить картинку на рабочем столе Windows скриншотом с отображенными ярлыками, сами же ярлыки скрыть. Естественно, работает этот способ только на новичков. Делаем скриншот рабочего стола с размещенными на нем ярлыками и сохраняем его в укромном месте диска. Далее на рабочем столе вызываем контекстное меню, жмем «Вид» и снимаем галочку отображения значков.

1

Далее идем по пути сохранения скриншота и в его контекстном меню выбираем «Сделать фоновым изображением рабочего стола».

Теперь, сколь бы жертва розыгрыша ни пыталась запустить выбранную программу с ярлыка на рабочем столе или открыть корзину, у нее это не получится.

Читайте так же:
Лучшие ноутбуки 2018 года до 50000

Следующие способы розыгрыша при помощи Windows требуют участия сторонних VBS-скриптов – сценариев запуска определенных действий. Для каждого выбранного способа потребуется скачать соответствующий VBS-скрипт, поместить его в какое-нибудь удаленное место на компьютере и настроить его запуск на нужное время с помощью планировщика заданий Windows. Пример создания задачи по запуску VBS-скрипта как раз был рассмотрен накануне в статье сайта «Работа с планировщиком заданий Windows». Скрипты-розыгрыши в автозагрузку лучше не добавлять, чтобы дать возможность жертве отыграться путем перезагрузки компьютера. А именно это делают в первую очередь пользователи Windows, когда с системой случаются неполадки. Планировщик заданий Windows позволит настроить запуск скриптов более гибко, в частности, с определенной периодикой, не подвязанной к каким-то очевидным системным процессам типа загрузки Windows или выполнения входа в нее. Вследствие чего розыгрыш получится более непредсказуемым.

Работу скриптов желательно протестировать на компьютере жертвы розыгрыша, и, если скрипты будут перехвачены антивирусом, их необходимо добавить в исключения (белый лист) последнего. Изложенные ниже скрипты не несут реальной угрозы компьютеру, но «параноидальные» режимы работы отдельного защитного ПО могут эти скрипты расценивать как угрозу в рамках естественного процента ложных срабатываний.

2. Пиратская версия Windows

Скрипт «Пиратская версия Windows» будет актуален в применении к тем, кто стесняется или боится того, что использует нечестным способом активированную Windows, но упорно продолжает это делать. Скрипт запускает такое вот системное сообщение:

Суть этой шутки заключается в том, что на вопрос «Вы используете пиратскую версию Windows?» нельзя ответить «Нет» или «Отмена». При нажатии этих кнопок системное сообщение не исчезнет. Оно исчезнет только после нажатия кнопки «Да». Но обещанных в сообщении блокировки Windows и уничтожения данных, естественно, не будет.

Текст системного сообщения можно отредактировать и заменить его на свой вариант – компрометирующий вопрос, на который жертва розыгрыша не хотела бы ответить «Да». Для этого файл скрипта нужно открыть с помощью блокнота (пункт в контекстном меню «Открыть с помощью…»).

4

И заменить текст в кавычках, обозначенный синим блоком.

Читайте так же:
Можно ли играть в сега на компьютере

3. Форматирование диска С

Сообщение о предстоящем форматировании диска С без права выбора по причине недостаточного уровня пользования ПК – провокация для амбициозных и самоуверенных людей. Скрипт «Форматирование диска С» выдает такое вот сообщение:

Шутка не будет работать на тех, кто знает, что форматирование диска С в работающей Windows, причем средствами ее же самой, невозможно. Но и незнающие этого понервничают лишь до момента нажатия «Ок». Скрипт закроется и, естественно, никакого сноса Windows не будет.

Как и в предыдущем случае, текст якобы системного сообщения можно заменить на свой вымысел, поместив его между кавычками исходного текста.

Рассмотренные выше скрипты закрываются при нажатии жертвой розыгрыша нужной кнопки в сообщении. Действие тех, что будут описываться ниже, необходимо отключать вручную путем снятия процесса wscript.exe в диспетчере задач Windows. В системах Windows 8.1 и 10 это делается во вкладке «Подробности».

А в Windows 7 – во вкладке «Процессы».

Если эти скрипты не будут добавлены в автозагрузку, соответственно, проблема сама по себе исчезнет после перезапуска системы.

4. Выезжающий дисковод

Скрипт «Выезжающий дисковод» заставляет выезжать и заезжать дисковод компьютера по кругу, пока действие скрипта не будет отменено.

5. Имитация вируса

Самый жесткий розыгрыш – агрессивный вирус, проникший в Windows. Скрипт «Имитация вируса» запускает на черном фоне череду ужасающих уведомлений.

А затем активно и хаотично запускает командную строку, проводник, блокнот и калькулятор. По истечении запланированных действий сценария «вирус» поутихнет, но его работа возобновится, как только жертва сделает клик мышью или нажмет любую клавишу. И так по кругу, пока скрипт не будет закрыт.

Запуск приложения производится при помощи объекта WScript .Shell . Первая строка для работы с этим объектом выглядит как

Dim WshShell

set WshShell = WScript.CreateObject(«WScript.Shell»)

Сам запуск производится при помощи метода Run :

WshShell .Run «Имя_приложения»

Необязательные параметры: цифра (1-10) — вид диалогового окна, true /false — приостанавливать выполнение скрипта пока не завершится работа программы или нет.

Обычно существует две ситуации, когда нам нужно запустить приложения из скрипта:

Читайте так же:
Можно ли позвонить на ватсап с компьютера

1) запускаем утилиты командной строки (например, из Resource Kit ) и нам нужно получить то, что они возвращают

2) запускаем графическое приложение и передаем туда нажатия клавиш

При запуске утилиты командной строки обратить внимание на следующие моменты:

o если нам нужно возвращать код ошибки , делаем это следующим образом:

sReturn = WshShell.Run(«ping » & «192.168.1.2», 1, TRUE)

обязательно должно стоять ключевое слово TRUE , иначе возвращаемый код всегда будет 0;

o если нужно получить вывод от утилиты, записываем его при помощи > в текстовый файл, затем открываем на чтение при помощи FSO , скачиваем в переменную и удаляем. В переменной можно искать значение при помощи функции inStr (не найдено — 0, найдено — значение, отличное от 0).

o если используете не исполняемые файлы, а команды интерпретатора (DIR , CD , MD и т.п.), то команда на запуск должна выглядеть как

WshShell.Run(«%COMSPEC% /K dir»)

%COMSPEC % — чтобы не выяснять, какой командный интерпретатор работает, /K — чтобы не закрывалось окно командного интерпретатора.

o для того, чтобы не зависеть от наличия утилит на компьютере пользователя, есть смысл выложить используемые утилиты на сервер в сети и обращаться к ним по сетевому имени;

o для того, чтобы запустить утилиту с измененным приоритетом, можно использовать команду интерпретатора Start .

При запуске графического приложения обычно есть необходимость передать в него нажатия клавиш. Для этой цели используются методы AppActivate (передача фокуса окну приложения) и SendKeys (передать нажатия клавиш)

Метод AppActivate позволяет передать фокус приложению. Ему передается заголовок окна приложения:

WshShell.Run «calc»

WScript.Sleep (200)

WshShell.AppActivate «Calculator»

WScript.Sleep (200)

Будьте внимательны — заголовок окна может быть разным! Поэтому лучше использовать централизованные копии своих приложений на сервере. Кроме того, желательно делать паузы после запуска приложения и передачи ему фокуса, чтобы операция успела выполниться

WshShell .SendKeys («1<+>«);

WScript.Sleep(500);

WshShell.SendKeys(«2»);

WScript.Sleep(500);

WshShell .SendKeys

Подробное описание того, как передавать нажатия тех или иных клавиш методом SendKeys — в документации.

Запустите файл с расширением *.vbs двойным кликом мыши или вызовите его по имени в консоли. Для этого зайдите в меню пуск/выполнить и наберите путь к необходимому файлу в открывшемся окошке. Это самый обычный текстовый документ, который легко можно править в . Данный метод самый понятный и простой, но иногда в силу определенных обстоятельств он не срабатывает (система не поддерживает формат, слетела кодировка и т.д.).

Читайте так же:
Можно ли восстановить удаленную папку с компьютера

Если файл с расширением *.vbs , проверьте наличие интерпретаторов языка VBS. Их в системе должно быть два: консольный CScript и оконный WScript (вместе они – Windows Script Host или WSH). Они, по идее, должны сразу устанавливаться вместе с системой, но иногда так получается, что они либо повреждены, либо вообще не установлены (может быть на старых версиях систем). Если интерпретаторов нет в наличии, установите их на свой компьютер и запустите скрипт двойным щелчком мыши.

Создайте обыкновенный текстовый файл с расширением txt. Скопируйте туда данный текст:Sub Run(ByVal sFile)Dim shellSet shell = CreateObject(«WScript.Shell»)shell.Run Chr(34) & sFile & Chr(34), 1, falseSet shell = NothingEnd SubRun «C:/Program Files/FileZilla FTP Client/filezilla.exe»Естественно, путь заменяете своим исполняемым файлом. Затем переименуйте созданный ранее txt-файл на vbs расширение. Для проверки щелкните два раза по нему мышкой, и по указанному пути запустится программа.

Для того чтобы обратиться к методу Windows Script Host, укажите объект и метод с нужными параметрами (через точку). Свойства WSH указываете также, но их можно и назначать и считывать в переменные и остальные свойства. Всегда учитывайте тип данных свойств и переменных, в противном случае сценарий будет выдавать ошибку о несовместимости типов данных.

Написать или подобрать полезный веб-скрипт – это полдела, надо ещё найти способ его выполнить. Давайте рассмотрим подробнее, что нужно для исполнения наиболее распространённых типов скрипт ов.

Обязательным условием выполнения любого скрипт а (то есть сценария), естественно, является наличие самого исполнителя. Применительно к языкам -программирования таким исполнителем будет интерпретатор скрипт ового языка. В зависимости от того, где должен исполняться сценарий, интерпретатор языка может быть либо частью серверного программного обеспечения, либо частью программного кода браузера. Поэтому чтобы выполнить любой серверный скрипт (например, php- или perl-скрипт ) необходимо иметь запущенный сервер. Сервер можно подобрать в сети и у себя в . Очень популярен, к примеру, среди русскоязычных программистов из-за своей относительной простоты и бесплатности серверного программного обеспечения под названием «Денвер». А можно не морочиться с установкой у себя, а воспользоваться услугами хостинг-провайдера. Провайдер даст вам доступ к , а все заботы по его поддержанию и обслуживанию вас не будут касаться. Обычно такие платны, но не дороги.

Читайте так же:
Лучшие процессоры amd для ноутбуков

вторник, 11 ноября 2014 г.

Настройка анонимного общего доступа к папке в домене Active Directory

В некоторых случаях появляется необходимость предоставить компьютерам рабочей группы доступ к определенным открытым папкам в домене. Чтобы настроить анонимный доступ к серверу, являющемуся членом Active Directory, выполните следующие пункты на самом сервере:

1. Включить на сервере учетную запись Гостя(«Guest»), если вдруг она оказалась отключённой. Кроме того проверьте, чтобы Локальные политики =>> Параметры безопасности =>> Учетные записи: состояние учетной записи «Гость» не было отключено.
2. На папку, к которой требуется открыть общий доступ, необходимо дать права локальной группе «Все» («Everyone») на чтение или изменение и на саму файловую систему NTFS.
3. Установить следующие локальные политики на сервере(либо групповые политики домена, применяемые к нему):

«Локальные политики=>>Параметры безопасности=>>Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями» в положение «Отключён»;

«Локальные политики=>>Параметры безопасности=>>Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям» в положение «Включён»;

Для повышения безопасности также желательно перейти в «Локальные политики=>>Назначение прав пользователя=>>Запретить локальный вход» и добавить в этот параметр пользователя «Гость».

4. Проверьте параметры:
«Локальные политики=>>Назначение прав пользователя=>>Доступ к компьютеру из сети» — в списке должен обязательно быть пользователь «Гость»;
«Локальные политики=>>Назначение прав пользователя=>>Отказать в доступе к этому компьютеру из сети» — а в этом списке пользователя «Гость» не должно быть! Если этот параметр не определён, активируйте его и оставьте список пустым!

После вышеописанных действий анонимные пользователи смогут подключаться к общим папкам данного сервера.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector