Info o ciastkach

Eeee...
Żeby strona działała fajnie to trzeba zaakceptować obsługę pewnych plików. Jeśli jesteś nienormalny, nosisz czapkę z amelinium i siedzisz w schronie zbudowanym z poduszek to możesz je sobie wyłączyć. Autor strony nie czerpie żadnych korzyści z cookies (twierdzi nawet, że ten komunikat jest głupi), ale, cóż - Unia wymaga. Korzystając z witryny zgadzasz się z polityką cookies.

Wszystko w budowie...

Jak nie złapać infekcji cz 1

A dzisiaj na warsztat wezmę infekcje. A dokładniej to sposoby infekcji. Początkowo miał być tylko jeden wpis ale temat jest tak obszerny i ciekawy, że trzeba go rozszerzyć na kilka części.

Pamiętam czasy Windows 98, ba, w gimnazjum mieliśmy komputery z Windows 95. Sam nawet zainstalowałem Windows 3.1 na Hyperbook'u z procesorem 25MHz. Były to czasy w których infekcji nie było. Brak mediów typu internet czy nośniki wymienne decydowały o nieopłacalności cyberprzestępczości. Infekcje powstawały jako popisy programistów w stylu "hej patrzcie co potrafię". Dziś jest to biznes. Zainfekować komputer można na wiele sposobów. Zacznę może od tych najbardziej trywialnych.

Pendrive, karta pamięci

autorun.inf

I tutaj obalę mit. Sam plik nie jest szkodliwy, choć często za taki się go uważa. Plik autorun.inf jest odpowiedzialny za automatyczne uruchomienie aplikacji, nadanie nośnikowi ikony zamiast tej systemowej i przypisaniu dodatkowych akcji dla prawego klawisza myszy. Plikiem tym zajmuje się Eksplorator Windows. Funkcja ta z drobnymi zmianami działa na systemach od Windows 95 do Windows 10. Przez przestępców jest używany do automatycznego uruchomienia infekcji. I teraz tak - UAC tak? Cokolwiek instalujemy działa UAC, na wszytko trzeba się zgadzać więc jak złośliwy program może się uruchomić? No, tak na prawdę to wcale nie jest trudne - obecna sytuacja wygląda nieco inaczej. W czasach XP i niżej nie zawracano sobie głowy co się wykonuje bo i tak mogło wykonać się po cichu. Dziś UAC faktycznie takiego bohatera wyłapie. Dlatego dzisiaj pliki infekcji w momencie wykonania nie potrzebują uprawnień administratora. Pewną część zadań mogą wykonać po cichu. Kolejną akcją jest eskalacja uprawnień dzięki luce w oprogramowaniu na komputerze. Co ciekawe w roku 2009 wyszła poprawka do XP wyłączająca mechanizm autorun. Przy okazji obalę drugi mit. Płyty CD\DVD itp są bezpieczne. Infekcja musi mieś swobodną możliwość skopiowania się na nośnik czego w przypadku płyt nie można powiedzieć (w zasadzie to infekcje sprawdzają czy nośnikiem docelowym dla replikacji nie jest CD/DVD, nie rozpoznają natomiast czy pendrive jest zabezpieczony przed zapisem lub czy posiada określoną ilość wolnego miejsca - w takim wypadku mamy pętlę powiadomień Windows o niemożliwości skopiowania pliku). Od Visty w górę mechanizm autorun znowu działa. Pliki .inf to również pliki konfiguracyjne sterowników pod systemy Windows. Plikiem autorun.inf można również zainstalować sterownik. Co w kategorii tych najcięższych infekcji (rootkit) jest wysoce niepożądane. Zaraz odezwą się obrońcy Windows, że od W7 64 bit pracującym w trybie UEFI nie da się przemycić po cichu rootkita (nie możliwości instalacji niepodpisanych cyfrowo sterowników). Taa bo certyfikatów nie można ukraść. Istnieją również dobre pliki autorun.inf. Tworzone są przez oprogramowanie antywirusowe. Jeden z najciekawszych posiada Panda AV. Obsługuje partycje FAT i NTFS. Tworzy niekasowalne pliki autorun.inf ktore nie dopuszczają do autouruchomienia infekcji. Starsze metody polegały na tworzeniu folderów autorun.inf z zabronioną zawartością np w Windows nie można utworzyć folderu o nazwie con.

Ryc. 1. Nie można utworzyć w normalny sposób folderu o nazwie z zastrzeżonego zakresu
Ryc. 2. Z wiersza poleceń również się nie da
Ryc. 3. Ale jest pewien trik
Ryc. 4. Tak stworzonego folderu również nie można łatwo usunąć
Ryc. 5. Ale i na to jest sposób

Więcej na temat nazw zastrzeżonych i innych limitacji możecie poczytać tutaj. Tam też poniekąd wyjaśnienie dlaczego z c:\Documents and Settings\użyszkodnik\Pulpit zrobiono c:\Users\użyszkodnik\Pulpit. Pamiętam sławny bug NTFS przy próbie uruchomienia podwójnie spakowanych sterowników ATI z pulpitu w XP (a nazwa pliku również krótka nie była).

Skróty zamiast plików i folderów

Tutaj infekcja tworzy skrót do każdego pliku i folderu po czym ukrywa wszystko. Po wejściu na pendrive'a niby wszystko jest. Ale, że skróty? Może coś się w systemie poprzestawiało. Nieważne wszystko działa - zapewne każdy pomyśli. Motyw ze skrótami ma za zadanie replikować infekcję i zapewniać jej start w systemie. W skrócie jest ustawiony atrybut by oprócz pliku uruchamiany był złośliwy program. Czyli wchodząc do folderu dbamy by infekcja działała. Mniej więcej tak to wygląda w linii poleceń

dir
.
..
Folder.lnk       -a---    ::link do folderu w ukrytym folderze
zdjecie.lnk      -a---    ::link np do zdjęcia z ukrytego folderu

dir /a:h
.
..
                 darhs    ::ukryty folder z całą zawartością pendrive'a
infekcja.pif     --rhs    ::plik infekcji
autorun.inf      --rhs    ::plik ładujący infekcję przy dwukliku na pendrive'a

Przy zawartości ukrytego folderu

Folder           d----
zdjecie.jpg      -a---

Kolejny przykład to odpowiednio spreparowany skrót który wykorzystuje luki w sposobie generowania ikon dla skrótów opisany np tutaj. Tutaj najlepiej zabezpieczyć się za pomocą commandera który nie parsuje w ogóle systemowych ikonek (Total Commander, Midnight Commander - hardcore).

Przed powyższymi infekcjami nie zabezpieczą nawet programy AV. Parsowanie linków to dalej sprawa otwarta. Obejściem (autorstwa Microsoftu) problemu było wyłączenie ikon dla plików LNK całkowicie (!). Skrót można rozpoznać po strzałeczce. Zapewne i to mogłaby infekcja wyłączyć ale gdy chce pozostać niezauważona to nie może (zmiana ustawień przez rejestr czyli monit UAC + restart systemu = UPS, coś jest nie tak).

Ratunek? Nie ma skutecznej metody. AV + konto z ograniczonymi uprawnieniami do tego jakiś porządny commander który posiada swój zestaw ikon i nie korzysta z systemowych.

Komentarze (0)

Nikt jeszcze nie dodał komentarza. Możesz być pierwszy.

Napisz komentarz lub zgłoś błąd

Dodane w dniu 3 sierpnia 2016 przez Michał Misztal
Kopiowanie powyższych wypocin dozwolone pod warunkiem podania źródła, znaczy tandemu autor + link do strony