СИ: "Дорожное Яблоко"

Защита информации, сетевая безопасность, уязвимости

Модератор: Rostov114

Ваше честное мнение, попадётесь ли Вы на такой метод?

Наверное да.
8
24%
Нет конечно.
16
48%
Затрудняюсь ответить...
9
27%
 
Всего голосов : 33

СИ: "Дорожное Яблоко"

Сообщение Sicness » 21 мар 2008, 12:35

Вступление:

Провёл интереснейший эксперимент, хочу поделиться опытом, что бы люди учились на чужих ошибках. Эксперимент из области легендарной «Социальной Инженерии», метод под названием «Дорожное яблоко».

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании
физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью "Заработная плата руководящего состава Q1 2007". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию.

Источник цитаты: http://www.wiki.inattack.ru/wiki/Социальная_инженерия

Теория метода

Всё это показалось мне очень интересным и было решено опробовать. Выбрал знакомую мне крупную организацию (название которой не указано по известным причинам) и начал планирование. Решено, что это будет CD диск, на котором будет размещаться, непосредственно, само яблоко. В программной части оно представляло из себя 2 самостоятельные программы:
1. Инсталлер яблока, на который ссылался autorun.ini нашего CD
2. Само яблоко.
Как мне известно предварительными исследованиями во всём офисе стоит Kaspersky AntiVirus с модулем Анти-хакер и, соответственно, с встроенным фаерволлом. Т.е. вынос информации через сеть становится проблематичной задачей, решение которой было «пущено лесом». Изначально была идея ограничиться отправкой СМС на телефон содержания типа “Hello form Apple: Mission completed”, но фаерволл испортил такое удовольствие. Коли мы сами не можем отправить уведомление, придется заставить легального пользователя обратиться к нам. Решено, что яблоко не будет нести ни шпионческих, ни деструктивных функций. Само Яблоко выполняло 2 функции: создавала текстовое послание на C:\ap.txt и меняло заголовки всех доступных окон и кнопок на «Смотри C:\ap.txt». В послании был текст приветствия, объяснение что и как получилось и «Для КОРРЕКТНОГО УДАЛЕНИЯ этого ПО свяжитесь с…», тем самым увеличивая шансы на обратную связь со мной легальными пользователями, под страхом деструктивных функций при не правильном удалении. Да, была создана функция корректного удаления, но на самом деле вполне можно удалить подручными средствами, не опасаясь за целостность системы =). Учитывая, что там стоит KAV, вполне вероятен был перехват функции hidden install в реестр, по этому кроме неё сделан мгновенный принудительный запуск Яблока, хотя это и палит инсталлер.

Практика метода

Всё это добро записано на CD-R, осталось только добавить привлекательную надпись на диск. Посоветовавшись с коллегами (благодарности им), ничего более вызывающего любопытство кроме слова «Яблоко» не придумали =). Изначально, по плану было проникнуть на территорию организации и оставить диск на подоконнике в туалете +) , но надёжность этого плана оставляла большую тень сомнения. По идее, кто бы не нашел бы диск на территории организации из персонала, диск обязательно должен быть передан системному администратору для дальнейших разбирательств (на что и рассчитано). Но на практике может быть совсем иначе… Тогда было решено пойти на хитрость и договориться с охраной организации что бы диск с яблоком передали лично в руки системного администратора с описанием того, что диск найден случайно на запланированном подоконнике =). В назначенный день я прибыл в организацию, договорился с охраной, сделал все свои дела и благополучно уехал домой, ожидать последующие несколько дней обратной связи офиса со мной.
Увы, системный администратор не посчитал нужным связаться со мной, но я связался с ним сам и выяснил все подробности произошедшего. Как оказалось, охрана успешно передала диск системному администратору и он успешно вставил его в CD-ROM с ОС MS Windows с не отключенным автозапуском, что привело к успешному запуску инсталлятора Яблока. Но тут начались не предвиденные проблемы. Их система обнаружения вторжения(СОВ) подняла тревогу на этапе принудительного запуска Яблока и заражение системы Яблоком было предотвращено. Т.е. единственная ошибка была в использовании не безопасных алгоритмов при программировании, которые считаются «подозрительными» для СОВ.

Выводы

Хитросозданный диск попал по назначению, диск вставили в «уязвимую систему», сработал автозапуск Яблока, но системы обнаружения вторжений положили его в снег лицом...
В общем, 2 результата:
1. Сам принцип Яблока сработал, запуск его состоялся.
2. Системы обнаружения вторжений запалили Яблоко.

Заключение: если профессионально подходить к программированию Яблока, адоптированного под условия бытия жертвы, то шанс успеха весьма высок. С другой стороны, эксперимент нас многому учит, как не попасться самим на подобные уловки.

Security Team "FOS Black Hat"
ИзображениеИзображение
Алкоголь и никотин нас убивают,
Опускают, унижают,
Паранойю развивают,
Мозг твой нах*й разрушают!
Аватара пользователя
Sicness
Автор
 
Сообщения: 198
Зарегистрирован: 31 дек 2007, 11:29

Re: СИ: "Дорожное Яблоко"

Сообщение Lundil » 22 мар 2008, 13:06

в помощь тем кто после этой статьи решил-таки отключить у себя автозапуск программ с дисков флешек и тд...

no_autorun.reg
Код: Выделить всёРазвернуть
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_CONFIG\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff


создаете файл с расширеним reg показанного содержания и запускаете. если вирусов нет, которые включают этот пунк обратно в автозапуск, то автозапуск отключенн.
Аватара пользователя
Lundil
Активный участник
 
Сообщения: 330
Зарегистрирован: 31 окт 2007, 10:41
Откуда: Саратов
Домен: http://mcsar.ru

Re: СИ: "Дорожное Яблоко"

Сообщение sas » 01 дек 2009, 02:09

ты не можешь по подробнее написать как его создать? Через какую програму,что там писать(притближенно). Буду очень благодарен!
sas

 
Сообщения: 3
Зарегистрирован: 01 дек 2009, 02:05
Домен: verge.vfose.ru

Re: СИ: "Дорожное Яблоко"

Сообщение Rostov114 » 01 дек 2009, 02:19

sas писал(а):ты не можешь по подробнее написать как его создать? Через какую програму,что там писать(притближенно). Буду очень благодарен!

Извиняюсь, но вы о чем?
Некоммерческий проект «HSDN»
Аватара пользователя
Rostov114
Автор
 
Сообщения: 3199
Зарегистрирован: 18 окт 2007, 02:21

Re: СИ: "Дорожное Яблоко"

Сообщение sas » 01 дек 2009, 10:05

как создать программу которая будет запускаться вместе с автозапуском и что-либо делать с компом?
sas

 
Сообщения: 3
Зарегистрирован: 01 дек 2009, 02:05
Домен: verge.vfose.ru


Вернуться в Компьютерная безопасность

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron