Идентификация доступных ресурсов
Очертив круг КС организации, которые представляют собой для злоумышленника наибольший интерес, он переходит к следующему этапу — идентификации доступных ресурсов.
Тщательно проведенная идентификация доступных ресурсов выбранной для несанкционированного доступа КС может дать злоумышленнику информацию о доступных по сети дисках и папках, о пользователях и группах, имеющих доступ к данной КС, а также о выполняющихся на этой КС приложениях, включая сведения об их версиях.
Получение доступа
На этом этапе злоумышленник переходит к стадии активных действий, которые, как правило, выходят за рамки простого любопытствах, а в отдельных случаях могут уже квалифицироваться как уголовно наказуемые деяния.
Целью операций, предпринимаемых на данном этапе, является получение доступа на уровне легального пользователя КС или ОС. К таким операциям относятся:
· перехват паролей;
· подбор паролей для доступа к совместно используемым сетевым ресурсам;
· получение файла паролей;
· использование программ взлома, обеспечивающих интерактивный доступ к КС путем перевода работающих на КС приложений в нештатный режим.
Расширение полномочий
Если на предыдущем этапе злоумышленник получил несанкционированный доступ на гостевом или пользовательском уровне он, как правило, постарается расширить свои полномочия и получить, как минимум, административный уровень. Для этого в большинстве случаев применяются такие же средства взлома и подбора паролей, а также программы взлома, что и при доступе на локальном уровне.
Расширение полномочий позволяет злоумышленнику не только получить полный доступ к интересующей его КС, но и внести себя в список легальных администраторов, а также, возможно, сразу же получить административный доступ к другим КС организации.
Исследование системы и внедрение
Получив доступ на административном уровне, злоумышленник изучает все имеющиеся на взломанной КС файлы и, найдя интересующую его информацию, завершает несанкционированный сеанс связи либо, если такая информация отсутствует или целью проникновения было не получение информации, а само проникновение, приступает к изучению других доступных ему в качестве администратора взломанной КС систем.
При этом процесс повторяется, начиная с этапа идентификации ресурсов, и заканчивается внедрением в следующую КС организации и т.д., и т.п.
Сокрытие следов
Получение административного доступа также может понадобиться злоумышленнику в том случае, если ему по каким-то причинам нужно скрыть следы проникновения. Часто для облегчения своей задачи в будущем злоумышленники оставляют на подвергшихся взлому КС утилиты, маскируя их под системные файлы. Однако к таким приемам прибегают только в тех случаях, когда вероятность обнаружения взлома оценивается злоумышленником как очень высокая. В большинстве же случаев после первого успешного проникновения в КС злоумышленник создает на ней тайные каналы доступа.
Создание тайных каналов
К методам создания тайных каналов, с помощью которых злоумышленник может получать многократный доступ к интересующей его КС, относятся:
· создание собственных учетных записей;
· создание заданий, автоматически запускаемых системным планировщиком (cron в Unix, AT в Windows NT/2000/XP);
· модификация файлов автозапуска (autoexec.bat в Windows 98, папка Startup, системный реестр в Windows, файлы rc в Unix);
· внедрение программных закладок, обеспечивающих удаленное управление взломанной КС (netcat, remote.exe, VNC, Back Orifice);
· внедрение программных закладок, перехватывающих нужную злоумышленнику информацию (регистраторы нажатия клавиш и т.п.)
· внедрение программных закладок, имитирующих работу полезных программ (например, окно входа в систему).
Блокирование
Иногда злоумышленники, не получив доступа к нужной им системе, прибегают к блокированию (DoS — Denial of Service). В результате подвергнувшаяся блокированию КС перестает отвечать на запросы легальных пользователей, т.е. возникает состояние “отказ в обслуживании”. Причем далеко невсегда, состояние DoS КС является самоцелью злоумышленников. Часто оно инициируется для того, чтобы вынудить администратора перезагрузить систему. Однако нередко это нужно злоумышленнику, чтобы выдать свою систему за систему, намеренно переведенную им в состояние DoS. Наконец, в последнее время состояние DoS, от которого не застрахована ни одна современная КС, подключенная к Internet, используется в качестве средства кибертерроризма.