Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• наличие функций, позволяющих получать доступ на чтение и запись в память другого процесса (WriteProcessMemory и ReadProcessMemory);
• наличие функций, получающих контекст выполнения какого-либо пользовательского процесса (GetThreadContext и SetThreadContext), что позволяет одному процессу получить значения системных регистров другого, в том числе и регистра указателя стека; подобная особенность может позволить модифицировать стек процесса другим процессом;
• наличие механизма ловушек (hook), при помощи которых один процесс может реализовать перехват сообщений другого процесса;
• существует также способ запуска внешней процедуры в адресном пространстве другого процесса и использование процедуры удаленного запуска потока (CreateRemoteThread) с последующей модификацией области стека и загрузки необходимой DLL;
• программа нарушителя обладает способностью передавать в драйвер режима ядра команды вызова процедур. Драйвер верхнего уровня, как правило, выполняется в контексте вызываемого процесса, поэтому прикладному процессу для работы в режиме ядра достаточно передать вызываемому драйверу просто адрес вызываемой процедуры. Таким образом обеспечивается доступ из прикладного процесса ко всем ресурсам системы;
• особенностью ОС Windows NT является отсутствие механизмов предотвращения выхода за пределы локального стека потока, что может привести к проведению атак типа «переполнение буфера» (buffer overflow).
Использование тех или иных документированных возможностей API Windows NT для «взлома» штатных средств защиты данной ОС зависит от
8*
228 Компьютерная безопасность и практическое применение криптографии
уровня привилегий, полученных пользовательским процессом при регистрации. Можно выделить следующие группы привилегий (по убыванию уровня):
• права администратора, включающие полный контроль операционной системы;
• право перезапуска операционной системы и совокупность прав для установки драйвера режима ядра;
• право редактирования базы реестра;
• право запуска прикладной программы.
На сегодняшний день для пользователей, склонных к неправомерным поступкам, существует ряд потенциальных возможностей получать дополнительные привилегии, например:
• программа нарушителя обнаруживает адрес функции Win32 API OpenProcess, изменяет ее код так, чтобы результат выполнения был всегда положительным. Затем с помощью функции DebugActiveProcess один из системных процессов, работающих от имени ОС, в режиме отладки создает в его рамках поток, который вносит текущего пользователя в группу Administrator;
• использование ошибки в процедуре NetAddAtom (ntoskrnl.exe) или функции 4346 (win32k.sys). Указанные ошибки позволяют изменить переменные или код ядра ОС и получить рядовому пользователю права администратора системы;
• перехват трафика внутри сети и использование того факта, что после аутентификации пользователя в домене Windows NT в пакете Net-LogonSamLogon, передаваемом контроллером домена компьютеру, сведения о группах, членом которых является пользователь, передаются в открытом виде. Установив в сети proxy-сервер, злоумышленник может заменить SID некоторой глобальной группы на SID группы Do-mainAdmins, после чего на локальном компьютере получит права члена группы DomainAdmins.
Таким образом, потенциальный нарушитель может получать практически неограниченные полномочия в ОС. Это позволит ему запускать не только прикладные программы в контексте любого зарегистрированного пользователя системы, реализующие вышеперечисленные стратегии использования особенностей Win32 API, но также устанавливать фильтр драйвера хранения ключей или фильтр файловой системы. Такие фильтры позволяют перехватывать или ключи, или открытую информацию.
Защита локальной рабочей станции_229
Например, получая привилегии редактирования базы реестра можно включить нежелательную динамически подключаемую библиотеку (DLL) в список AppInit_DLLs. Он содержит множество DLL, которые отображаются при старте ОС на адресное пространство каждого процесса, использующего библиотеку User32.DLL, то есть фактически для каждой запускаемой программы, представляющей собой GUI-приложение.
Кроме документированных возможностей, предоставляемых нарушителю интерфейсом Win32 API, существует целый ряд уязвимостей, которые подразделяются на следующие категории:
• вызванные ошибками или недоработками в ПО Windows NT;
• вызванные особенностью функционирования Windows NT;
• вызванные некорректной настройкой Windows NT
Таким образом, кроме корректной настройки ОС Windows NT и использования Service Pack для устранения ошибок при работе данной ОС, необходимо применение дополнительных средств защиты.
3.2.5. Аудит
Аудит связан с действиями (событиями), так или иначе затрагивающими безопасность системы. К их числу относятся:
• вход в систему (успешный или нет);
• выход из системы;
• обращение к удаленной системе;
• операции с файлами (открыть, закрыть, переименовать, удалить);
• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонаделености пользователя и т.п.).
