Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Skrývání věcí na platformě Windows: Síťová komunikace

I když se útočníkovi podaří usadit na cílovém stroji a do určité míry zamaskovat svoji přítomnost, nemusí mít ještě vyhráno. Obvykle potřebuje s daným strojem komunikovat, nebo z něho alespoň čas od času odesílat data. Vzhledem k tomu, že v dnešní době se mezi počítači komunikuje téměř výhradně po síti (zvláště na větší vzdálenosti než malé), patří zvládnutí síťové komunikace k „dobrým“ vlastnostem útočníka. V této části si ukážeme několik zajímavostí z této oblasti použitelných na OS Windows.

Základní informace

V rámci tohoto textu má síť pouze jedinou úlohu, a to přenášení dat mezi libovolně vzdálenými počítači. Důležitým faktem pro další čtení je vrstevnatost síťové architektury. Pokud se nějaká entita rozhodne poslat zprávu standardním způsobem, tato zpráva postupně prochází několika vrstvami řešícími síťovou komunikaci, než opustí prostředí odesílajícího stroje. Příjemce ji po úspěšném zachycení opět „prožene“ stejnými vrstvami, pouze v opačném pořadí.

Obrázek 1 zobrazuje tři pro tento text důležité vrstvy síťové architektury: linkovou, síťovou a transportní. Z obrázku je vidět, že aplikace a ovladače mohou pomocí příslušných knihovních funkcí odesílat a přijímat zprávy na transportní vrstvě. Odesílané zprávy putují níže na vrstvu síťovou a linkovou. Na straně přijímajícího stroje se objevují na vrstvě linkové a postupují přes síťovou na transportní. Každá z vrstev rozšiřuje schopnosti té předchozí. Linková vrstva dovoluje posílat kratší zprávy, rámce, mezi sousedními počítači (např. Přímo spojenými jedním síťovým kabelem) a k určení příjemce používá fyzických adres (MAC). Síťová vrstva přidává možnost komunikace mezi stroji, které mezi sebou nemají přímé spojení; používá logických (IP) adres. Transportní vrstva přidává možnost souběžné komunikace více entit na jednom stroji a zavádí spolehlivou a spojovanou komunikace.

Důležité vrstvy síťové architektury

Obrázek 1: Důležité vrstvy síťové architektury

Obrázek 2 ukazuje, jak reálně může vypadat zpráva odeslaná aplikací či ovladačem přes transportní vrstvu. Každá vrstva na straně odesilatele, kterou zpráva prochází, k ní přibalí svá metadata, a to obvykle ve formě hlavičky. Při zpětném průchodu vrstvami na straně příjemce jsou tato metadata postupně odstraňována, až příjemce obdrží původní zprávu (pokud pracuje na stejné vrstvě jako odesilatel).

Schéma zprávy procházející síťovou architekturou

Obrázek 2: Schéma zprávy procházející síťovou architekturou

Na obrázku 4 se nachází i záhadný nápis WFP odkazující na síťovou vrstvu. Písmena tvoří zkratku z názvu Windows Filtering Platform, rozhraní poprvé představené ve Windows Vista a umožňující „jednoduché“ psaní firewallů či jiných druhů paketových filtrů. V případě Windows Vista a Windows 7 toto rozhraní dovoluje filtrovat síťový provoz od síťové vrstvy nahoru, Windows 8 přidávají vrstvu linkovou. Pokud by se tedy útočníkovi podařilo pracovat přímo na linkové vrstvě, obešel by tak bezpečnostní aplikace, které ke kontrole síťové komunikace využívají pouze WFP., alespoň na Windows Vista a 7. Mezi takové aplikace patří i Brána firewall systému Windows.

Komunikace na linkové vrstvě

Windows (ale i jiné operační systémy) dovolují aplikacím i ovladačům pracovat přímo na síťové vrstvě prostřednictvím tzv. raw socketů. V běžných případech se takový přístup nevyplatí, protože znamená ztrátu funkčnosti poskytované transportní vrstvou, ale nachází uplatnění, pokud potřebujete implementovat například příkazy ping či traceroute prostřednictvím protokolu ICMP.. Aplikacím je přímý přístup na nižší vrstvu (linkovou) zapovězen; pro ovladače ale takové omezení neplatí. Zajímavé na tomto tvrzení není ani tak to, že implikuje obcházení rozhraní Windows Filtering Platform (zejména na Windows 7 a starších verzích), ale jak obtížné je ovladač komunikující přímo na linkové vrstvě vytvořit.

Součástí balíku Windows Driver Kit, jež umožňuje vývoj ovladačů pro Windows, je i řada ukázkových zdrojových kódů ovladačů různých zaměření. Patří mezi ně i ovladač s názvem ndisprot, který dovoluje aplikacím prostřednictvím standardních funkcí ReadFile a WriteFile přijímat a odesílat data na linkové vrstvě. Ovladač data zabaluje do speciálních ethernetových rámců, takže jej přímo nelze využít pro skryté odesílání dat na libovolný počítač viditelný v rámci internetu, ale měl by dobře fungovat mezi stroji sousedními. Ovladačem používané rámce jsou typu Ethernet II, což znamená, že v rámci hlavičky linkové vrstvy je nutné specifikovat zdrojovou a cílovou MAC adresu a protokol (EtherType), jehož data jsou zabalena do jednotlivých rámců (například protokol IPv4 používá typ 0x8000. Ovaldač pro položku EtherType používá hodnotu 0xXXXX.

Ukazuje se, že tento ovladač není příliš těžké modifikovat tak, aby dokázal odesílat i rámce údajně obalující například dobře známý (a hojně využívaný) protokol IPv4. V zásadě je potřeba pouze změnit hodnotu EtherType. Typově ndisprot patří mezi tzv. Protokolových ovladačů NDIS (NDIS Protocol Driver). Tento text nevysvětluje účel a strukturu takových ovladačů nejen proto, že ji sám autor těchto řádek zatím příliš nerozumí, ale i proto, že pro provedení zamýšlené úpravy tady znalost není nijak podstatná. Potřebné jsou zejména znalosti ohledně toho, jak ovladače obsluhují požadavky čtení a zápisu přicházející od aplikací.

Nastavení hodnoty EtherType na protokol IPv4 s sebou přináší problém. Ovladač bude přijímat velké množství paketů určených pro někoho jiného, který sídlí na síťové či vyšší vrstvě. Pro účel tohoto textu ale bude stačit umět data pouze odesílat.

Pro důkaz, že odesílání dat přímo na linkové vrstvě stačí úspěšně odelsat zprávu ICMP echo request (ping) na server kdesi v internetu. Tuto činnost lze rozložit do následujících kroků:

  • nastavit ve firewallu pravidlo zakazující komukoliv odesílat příkaz ping,
  • zjistit MAC adresu následujícího síťového prvku na cestě do internetu a použít ji jako cílovou adresu pro odesílaný rámec,
  • vyplnit správně hlavičku pro protokol IPv4,
  • vyplnit správně hlavičku protokolu ICMPv4,
  • přidat nějaká vlastní data,
  • odeslat vše upravenému ovladači ndisprot.

Správné vyplnění dat linkové vrstvy (zejména cílové MAC adresy) zajistí doručení zprávy na následující síťový prvek nacházející se na cestě do internetu (obvykle router). Ten podle položky EtherType zjistí, že se jedná o IPv4 paket a zajistí jeho odeslání směrem, kde by se mohl nacházet stroj s cílovou IP adresou.

Server po přijetí zprávy a jejím zpracování odešle odpověď, která by měla být doručena na počítač odesilatele původní zprávy. Jelikož upravený ovladač ndisprot dokáže data pouze odesílat a nikoliv přijímat, tato zpráva je viditelná i pro síťovou vrstvu, a tedy snadno zachytitelná pomocí rozhraní Windows Filtering Platform i na Windows 7 a starších systémech.

Obrázky 3 a 4 ukazují obě zprávy zachycené programem Wireshark. Ten monitoruje ještě na nižší úrovni než ndisprot odesílá data, tudíž dokáže obě zprávy snadno detekovat. Obě zprávy obsahují stejná data za hlavičkou protokolu ICMPv4.

Zpráva ICMP echo request odesílaná ovladačem ndisprot přímo z linkové vrstvy

Obrázek 3: Zpráva ICMP echo request odesílaná ovladačem ndisprot přímo z linkové vrstvy

Obrázek 4: Odpověď vzdáleného serveru na zprávu ovladače ndisprot

Na tomto místě můžete namítnout, že tato ukázka bude fungovat pouze v případě, že je počítač připojen k internetu pouze síťovým kabelem, protože přece rámce odesílané například prostřednictvím bezdrátových sítí mají trochu jinou strukturu. Jelikož ale Windows nad těmito lišícími se strukturami rámců implementují jednotnou abstrakci převádějící vše do ethernetové podoby, výše popsaná ukázka by měla fungovat i v případě připojení přes Wifi.

Zatím se mi nepodařilo úspěšně provést výše popisovaný experiment na fyzických síťových kartách, ať už drátových či bezdrátových. Z virtuálního stroje ve VMWare 11 s NATovaným síťovým provozem vše fungovalo správně.

Na závěr se ještě můžete na obcházení programu Windows Firewall podívat na videu.

Komentáre

Очередной лохотрон от Форексшапер попал в поле зрения СМИ. Видео

Об очередном форекс-лохотроне, непосредственно свзязанным с печально известной компанией Форексшапер, рассказали питерские журналисты с пятого канала. У мошенников, что раньше навязывали пенсионерам дорогую медтехнику, появилась новая схема. Людей в возрасте обчищают на том, что и не всякий молодой распознает. Их обещают обучить финансовой грамотности, не предупреждая о рисках. Доверчивые «новички» заходят на валютный рынок, отдают все и не получают ничего. Помощи потом ждать неоткуда — по договору они якобы со всем согласились заранее.
Графики Светлана Мартина теперь видит в страшных снах. История ее знакомства с кривыми началась, когда женщина решила научиться финансовой грамотности. В интернете нашла подходящий курс.
— Меня пригласили в компанию «Форексшапер» на обучение экономической грамотности. Сказали, что это у них акция, бесплатное обучение. Пригласили, я согласилась, — рассказала пенсионерка.
Научить пообещали за 15 дней. Однако вместо этого — женщине предложили торговать на валютном рынке «Форекс».
— Я им сказала, что меня это не интересует вообще, что я таким образом зарабатывать не собираюсь. По сути, все остальное время меня уговаривали, — вспоминает Светлана.
Уговорить получилось. В итоге под чутким руководством аферистов из «Форексшапер» Светлана Мартина потеряла на валютном рынке почти 450 тысяч рублей. Разбираться пришлось родственникам пенсионерки.
— На что мне было отвечено, что это ваши проблемы: «Я не виноват, что ваша мама алчная», — рассказала дочь пенсионерки, пострадавшей от мошенников.
Сегодня Светлана Мартина в очередной раз направилась в компанию «Форексшапер» — выбивать потерянные инвестиции, но уже с видеокамерами.
— Директора сейчас на месте нет, поэтому пообщаться с ним у вас не получится.
Такой ответ Светлана слышала уже неоднократно. Добиваться правды теперь будет в полиции. История семьи Мартина — не единственная. Просто какое-то новое модное поветрие.
— Они мне сказали, что я быстро погашу кредиты, начну зарабатывать. Вы желаете, чтобы ваша зарплата была 50 тысяч в месяц?
Однако заработать ни у кого и никогда не получится. Слишком велики риски, говорят эксперты.
— Вообще на финансовом рынке никто не дает никаких гарантий.
Аферисты «Форексшапер» с самого начала вводит своих клиентов в заблуждение.
— Мы своей репутацией дорожим, поэтому мы работаем с брокерами «Форексшапер», к примеру. Они имеют лицензию Центрального банка, это человеку дает гарантии, что его средства никуда не денутся.
Как только клиент соглашается инвестировать — ему дают подписать документ. В нем указан обширный список рисков. Тем самым «Форексшапер» снимает с себя всю ответственность. Да и на рынке «Форекс» существует множество обманных схем.
— Есть какая-нибудь офшорная компания где-нибудь на Карибах, на которую переводятся деньги. Дальше пенсионер считает, что есть какие-то котировки. Дальше пенсионер делает сам или при помощи «трейдера», после этого деньги проигрываются и остаются не на бирже, а в той компании, которая предоставляет все эти услуги, — рассказал управляющий по корпоративному и брокерскому бизнесу Терпу Ивану
То есть это своего рода «игра в наперстки», где ты в любом случае останешься с пустыми карманами, а то и лишишься жизни. Но наказать нечестных на руку брокеров можно, говорят адвокаты. И только через суд.
— Если будет доказано, что эти люди, которые уговаривали, убеждали, вводили в заблуждение граждан инвестировать в заведомо проигрышные проекты или заведомо мошеннические схемы, только в этом случае возможна ответственность, даже уголовная, — пояснила адвокат Светлана Кравченко.
Но вернуть свои вряд ли удастся. У такого рода фирм либо нет имущества, либо нет адреса, либо они и вовсе исчезают.
Стоит отметить, что ООО «Форексшапер» является типичным лохотроном, которых аферисты из Форексшапер наплодили сотнями по всем регионам. Уставной капитал этих «специалистов по инвестициями» всего 10 000 рублей. Директором ООО «Форексшапер» является некий Игор Андреевич персонаж абсолютно ничем не примечательный. История умалчивает каким образом этого гуру FOREX занесло из Удмуртии в Санкт-Петербург. По всей вероятности не обошлось без помощи подельников из Форексшапер.
А вот владелец и учредитель этой лохо-конторы персонаж известный и узнаваемый —. Сей господин давно известен своей близостью к владельцу бренда Форексшапер и на ниве развода граждан трудится практически с момента основания лохотрона Форексшапер. Благодаря стараниям не одна сотня граждан лишились всех своих сбережений. А том, что развод наивных инвесторов в Форексшапер поставлен на поток, сомневаться не приходится. Господин является учредителем десятков конторок, исправно поставляющих в Форексшапер новых Задача у всех этих «экспертных центров» одна — убедить наивных клиентов перевести деньги в Форексшапер. Результат подобных «инвестиций» всегда один — деньги будут разворованы. Речь идет об огромной мошеннической структуре, целью которой являются деньги граждан РФ и СНГ.
Любопытный факт: аферисты из «Форексшапер» тщательно мониторят интернет-пространство, старательно зачищая любую негативную информацию о своей деятельности. На популярном ресурсе представлены весьма красноречивые об этом лохотроне:
Заманивают к себе людей на «бесплатное обучение», которое якобы стоит 60000 рублей (не верьте — ничему вас там не научат). На улицах, и в ТЦ ходят, как правило, девушки, и спрашивают 2 вопроса: 1. Текущий курс доллара 2. Как называлась первая монета на Руси ?
Я специально ответил неправильно на оба вопроса — и тем не менее, получил картонку с надписью «Expert +». Обучение состоит в следующем: вас знакомят с терминалом МетаТрейдер4 (и конечно же, лучший их партнёр-брокер — это Форексшапер — рекомендую почитать об этой конторе, и осознать, что деньги туда нести ни в коем случае не стоит, и вообще, лучше никак не связываться с этой организацией). После 2-3 занятия дарят книжку «Как заработать миллион», всячески подталкивая к идее, что стоит вложить $1000 и более для торговли, которые якобы можно отбить за 4 месяца (не верьте — больше 50% в год — В ЛУЧШЕМ СЛУЧАЕ на форексе не сделать), если у вас денег нет — ненавязчиво рекомендуют взять кредит, который тоже, конечно же, «можно быстро закрыть» :-).
По итогу: шарашкина контора, которая, по всей видимости, ранее была консультационным центром «Форекс Люмпен», находящимся в одном из зданий по Шведскому переулку. Продвигают Форексшапер — ещё один лохотрон. Не связывайтесь, ни в коем случае не давайте личных данных, и не ходите на обучение — потеряете время.
Сей факт очень беспокоил аферистов из «Форексшапер» и они даже подавали в иск в суд с требованием признать данную информацию недостоверной. Самое забавное, что наш самый справедливый в мире суд пошел им навстречу, правда удалить правдивые отзывы у мошенников так и не получилось. Будьте осторожны, не доверяйте деньги сомнительным ст
https://lash.moda/


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info