K ms zo f tv er

SaveAs

E s e t ta n u l m n y
egy felfedezett poloska programrl

Kszlt: 2002 februr 1.

A dokumentum a fedlappal egytt 18 szmozott oldalt tartalmaz.

Es et ta n ul m ny - p o l os k a

1.

TARTALOMJEGYZK

ESETTANULMNY

1.

TARTALOMJEGYZK

2.

POLOSKA AVAGY KMPROGRAM

2.1.
Bevezets s ltalnos vezeti sszefoglal
2.1.1. Elzmnyek
2.1.2. A projekt audit rsznek kimenetele
2.1.3. A poloska tulajdonsgai
2.1.4. Vgkvetkeztets

3
3
3
6
7

2.2.
A poloska felfedezse
2.2.1. A vletlen
2.2.2. Ami nem vletlen
2.2.3. Az Octopus eredmnye
2.2.4. Az idegen program egyrtelmstse

9
9
9
11
11

2.3.
A Poloska analizlsa
2.3.1. A program vdelmi mechanizmusa
2.3.2. A program intelligencija
2.3.3. A program kapcsolattartsa

13
13
14
16

3.

A VDELEM

17

4.

EGYB

18

4.1.
Jelen dokumentum kzlse
4.1.1. Az informcik minsgrl

18
18

4.2.
CopyRight
4.2.1. Kizrlagos jogok
Hasznosts s tbbszrzs
Nyilvnossghoz val kzvetts s idzs
Oktats
Minden ms esetben

18
18
18
18
18
18

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

2. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

2.
2.1.

POLOSKA AVAGY KMPROGRAM

Bevezets s ltalnos vezeti sszefoglal

2.1.1. Elzmnyek
A SaveAs Kft.-t megbzja felkrte, hogy rendszerben tbb lpcss biztonsgiszint emelst hajtson vgre. A legfontosabb okok kztt szerepelt, hogy a
megbz gy rezte cgbl adatok szivrognak ki, melyek zletmenett
jelentsen befolysoljk.
Bizonytkok ugyan nem tmasztottk al, hogy bizonyos tenderek elvesztse
ott dolgoz, bels munkatrs vagy idegenkezsg az oka, azonban a sajt
zleti krkben visszahallott informcik alapjn valsznsthet volt, hogy
ltezik az gynevezett bels informcik kzkzen forgsa. A cgvezets
elsdleges clja nem a nyomozs volt, hanem egy sszer biztonsgi szint
elrse, ahol mindenki rendelkezik a munkjnak elvgzshez szksges
sszes informcival, de csak azzal.
A 2001 novemberben indul projekt a megbz informatikai rendszernek
tvilgtsval, azaz audittal kezddtt. (Ezt kvette ksbb az Informatikai
Biztonsgi Szablyzat (IBSZ) kidolgozsa, a megfelel biztonsgi infrastruktra
kiptse s bevezetse.)

2.1.2. A projekt audit rsznek kimenetele

Az egyeztetsek befejezse utn elkezddtt az tvilgts, az aktulis informatikai
rendszerekrl biztonsgi szempont pillanatfelvtel ksztse. Az audit sorn a
szakemberek egy ltaluk nem ismert alkalmazsba tkztek s gy derlt fny a
program ltezsre. A projekt egszbl jelen esettanulmny csak s kizrlag az
audit sorn megtallt s kielemzett - a SaveAs ltal poloska munkanven
elnevezett - szoftverrel foglalkozik. Ennek vals ltezse mutatja, hogy az
informcik biztonsga egyre fontosabb feladat, mellyel foglalkozni kell.
A megtallt szoftver tulajdonkppen nem ms, mint egy freg (worm). Mkdse tg prhuzamokat vonva hasonlthat a nhny ve elterjedt Back Orifice (BO)
vrushoz, azonban a mkdse fordtott s sokkal intelligensebb.
Ennek oka, hogy a program egyedi fejleszts, kzponti adatbzisokban nem
megtallhat, radsul sajt magt kpes vltoztatni, azonban ez mg mindig nem
a legfontosabb tulajdonsgai kz tartozik.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

3. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

A fentebb emltsre kerlt BO vrus a megfelel belltsok elvgzse utn az adott

gpre eljuttatva kpes volt rtesteni teleptjt e-mailben az installlds
befejeztrl s a tmads megkezdsnek lehetsgrl. Mkdse ma mr
viszonylag egyszernek nevezhet, egy hts ajtt nyitott a gpen a tmad
szmra.

Workstation
(BO)

Attacker

Internet

A BO nem volt annyira intelligens, hogy rendelkezzen azon kpessggel, mely

lehetv tenn tzfallal megfelelen vdett rendszerekben is hts ajtt nyitst a
tmadott gpen a nylt hlzatok fel. A poloska azonban mr kpes erre.
A SaveAs szakembereinek a program viselkedse technolgiailag nem volt
jdonsg, inkbb ennek gyakorlati ltezse s az zleti szfrban val bevetse
jelentett nagyobb meglepetst.
Mkdsnek elmlete igen egyszer. A tmadott gpre felteleplve azonnal vagy
idztve kapcsolatot kezdemnyez kifel(!) egy kls hlzaton tallhat
szmtgphez. Oda bekopogtatva - beengedse utn - a teljes bels gpet (s
vele egytt a teljes bels hlzatot) kinyitja a kls szmtgpnek, korltlan
hozzfrst biztostva a kls szmtgp eltt l tmad szmra.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

4. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

A poloska automatikusan tevkenykedik. Vdtelen s vdett hlzatokbl egyarnt

kpes kijutni. Olyan helyeken kzlekedik, melyek ma mr elengedhetetlennek
minslnek a szmtgpek napi szint hasznlata sorn. Csak egy plda a sok
kzl: ahol weboldalakat megtekinthetnek a cg munkatrsai a szmtgpeiken ott
a program ebben a forgalomban rejtzkdve mr kpes kapcsolatot ltesteni a
klvilggal.
Albbi rajz egy kpzelt vllalati szervezet valban lehetsges tmadsi mdszert
mutatja be, mellyel gyakorlatilag a szervezeten belli elhelyezkedsbl addan
- az sszes kritikus informci megszerzsre alkalmas, teljes rejtzkdssel.

Open proxy 2
Open proxy 3
Open proxy 1
Open proxy

Company

SWITCH

Firewall

Internet

Client 1

Client 2

Client 3

Client 4

Company

CEO

Attacker

Assis.

Mark.

Sales

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

PM.

Devel.

HR

Finan.

5. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

2.1.3. A poloska tulajdonsgai

Fertzhet opercis rendszer:
Windows 9x
Windows NT alap opercis rendszerek
Bejuts:
e-mail
web
direct mode
etc.
Rejtzkds:
process hide
kd mutls
titkostott kapcsolat
Kapcsolati protokoll (backdoor):
http
https
socks 4
socks 5
proxy auth
direct connect
Kd forrsnyelve:
ismeretlen (felteheten assembly)

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

6. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

2.1.4. Vgkvetkeztets
-

A SaveAs szakemberei ltal felfedezett tmadsi mdszer jelen pillanat

szerint az ltalnosan ismert vdekezsi eljrsokkal automatikusan
nem elhrthat, de aprlkos munkval felderthet s megszntethet.

A poloska feldertse rendkvl nehz a kimagasl rejtzkdsi kpessgei

miatt (automatikus mutlds, ismert protokollokon val kzlekeds s
elrejtzs, titkostott adatfolyam, stb.).

A program bejuttatsa s teleptse a tmadott hlzatba - fizikai jelenlt

nlkl is - viszonylag egyszeren s szrevehetetlenl megvalsthat. (akr
egyetlen e-mail segtsgvel, egy specilis weboldallal, stb.)

Megfelelen megrt mkds esetn a poloska vdett rendszerekbl(!) is

kpes kijutni s teljes jogosultsgot biztostani a tmadott gpen a behatol
szmra.

A tmadott gprl minden nehzsg nlkl elrhet a bellrl mr

nyilvnvalan nem annyira vdett hlzat. Nhny ra alatt teljes mrtkben
felgyelet al vonhat az egybknt ismert mdszerekkel (lehallgats, jelsz
feltrs, stb.) a bels hlzat egsze. Ugyanez lehet rvnyes a bels
hlzatbl elrhet tovbbi hlzatokra is.

A program kpes fjlok mozgatsra olyan protokollokon keresztl is, melyek

egybknt erre alapesetben nem adnak lehetsget. Ezrt a szenzitvnek hitt
informcik (pldul titkos dokumentumok, fjlok stb. ) megszerzse sem
okoz nehzsget.

Nem hagy maga utn rtkelhet nyomot.

Feldertse ellenre a tmad kilte valsznleg rejtve marad.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

7. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

A program funkcionlis kpessge s viselkedse a kmfilmekbl ismert s

hagyomnyosnak mondhat poloskval vetekszik (innen kapta munkanevt is).
Ilyen pldul egy telefon kagyljban elhelyezett mikrofon. Nem tudni hol van,
taln nem is tudni, hogy ltezik, nem tudni hogy kerlt oda, nem tudni ki
hasznlja az informcit, stb.
Fontos klnbsg azonban, hogy a telefon kagyljba mikrofont elhelyezni
tvolrl lehetetlen s az elhelyezett mikrofon sem fog alakot vagy sznt
vltoztatni, nem kpes tvndorolni magtl a szoba msik vgben tallhat
virgvzba, illetve nem fogja beolvasni automatikusan magnba az asztalon
ott felejtett Szigoran Titkos felirat dosszi tartalmt.
A poloskk - mint a jelen esettanulmnyban is bemutatott program - feldertse
megfelel eszkzkkel, szakrtelemmel s mdszerekkel felvrtezve viszont
nem lehetetlen.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

8. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

2.2.

A poloska felfedezse

2.2.1. A vletlen
A program felfedezse a vletlenen is mlt. Az audit sorn a kliens gpek is
szrprba szer tvizsglsra kerltek szoftver licensz s egyb szempontok
miatt. Egyik ilyen szmtgpnl a SaveAs szakemberei szembe tallkoztak egy
ismeretlen programmal, melyrl semmilyen informci nem llt rendelkezsre.
A msodik eset utn a vizsglat kzel 200 gpre terjedt ki, melybl 11 gpen
talltuk meg a poloska programot. Kln rdekessg, hogy a fertztt gpeket
szisztematikus rendszerben talltuk. Talltunk egy ilyen gpet a pnzgyi
osztlyon, kettt a marketingen, kettt az rtkestsi osztlyon, egyet a humn
erforrs osztlyon, kettt az igazgatsgi titkrsgon s tovbbi hrmat a
vezetsgi notebook-okon.
A tallt programokat alapos vizsglatnak vetettk al, mivel fontos volt, hogy
minden ktelyt mellzen bebizonyosodjon, hogy szoftver milyen sttuszban fut a
gpeken.
(A vizsglat tbb szempont alapjn folyt prhuzamosan, majd a szlak egyre
jobban sszertek, s a vizsglat ksbb bebizonytotta, hogy az rintett szoftver
valban kpes a vezetsg ltal felttelezett informcik eltulajdontsra. St
valsznsthet, hogy eleve ilyen jelleg adatszerzsre terveztk.)

2.2.2. Ami nem vletlen

Az elzetes felmrsek alapjn vilgoss vlt, hogy a rintett szmtgpes
infrastruktrt nem csak rendeltetsszer feladatokra hasznljk. Tbb
szmtgpen is talltunk olyan alkalmazsokat, melyek nem a mindennapos
munkhoz voltak szksgesek.
Ezen fell a rendszerben a szoftverek menedzselse nem kzpontilag trtnt,
gy szmos alkalmazsbl eltr verzik voltak sok helyen teleptve. Ilyen
krlmnyek kztt a gpek fizikai tnzse nem tudott komoly eredmnyt
hozni. Mivel a szmtgpek egyenknti ttanulmnyozsa nem vezetett
elfogadhat eredmnyhez az alkalmazsok biztonsgi voltt illeten, gy egy
alternatv mdszert alkalmaztunk az applikcik felkutatshoz, valamint az
ismeretlen program tevkenysgnek analizlshoz.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

9. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

Elksztettnk egy specilis szoftvert, melynek feladata az volt, hogy a teljes

vllalati internetes forgalmat monitorozza. A ksz szoftvert elhelyeztk a vllalati
internetes tzfal mg, gy a teljes forgalmat tlthattuk. Az ltalunk tervezett
program (Octopus) minden olyan kommunikcit kielemzett, mely a bels
hlzatrl kezdemnyezett j forgalmat egy msik gp fel. Ezt ksbb a
poloska miatt tovbb szktettk az internetes gpek fel.
Ebben az esetben azrt csak a kimen forgalmat vizsgltuk, mivel az Internet
fell nem volt kezdemnyezhet olyan forgalom amely segtsgvel el lehet rni
a bels hlzat gpeit. gyfelnk teljes internetes infrastruktrja egy olyan
DMZ1-ben kerlt teleptsre, amelybl semmilyen mdon nem lehetett eljutni a
bels hlzatra.
Az Octopus folyamatos hasznlata sorn egyre jobban beigazoldott a gyan,
hogy a kliens gpeken felfedezett szoftver nem kapcsoldik semmilyen egyb
alkalmazshoz, a szoftver gymond nll letet l, gy a figyelem egyre jobban
a program viselkedsnek kidertse irnyba fordult.
Mivel gyfelnk hlzata nem csak az internet felli forgalmat szrte, hanem a
kimen forgalmat is s gy csak bizonyos szolgltatsokat engedlyez az
alkalmazottaknak, gy kzenfekv volt, hogy a poloska valamilyen ltalnos
szolgltatson keresztl kzlekedik.
(Az gyfl hlzatbl a kvetkez szolgltatsok voltak az Internet fel
engedlyezve: www, ftp(passive), https, pop3s, imaps, sqlnet(1521))

DMZ: Demilitarizlt Zna. Azokat a szolgltatsokat helyezik ebbe az elszeparlt znba, melyek az
internetrl elrhetek.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

10. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

Az Octopus feladata az volt, hogy analizlja a fenti szolgltatsokon thalad

forgalmat s szrje ki ebbl azokat, amelyek nem szabvnyosak.
A kzel 1 hetes analizls kzben szembeslnnk kellett azzal, hogy a
felhasznlk gpein sok olyan program van ami ugyan nem rt szndk, de
valban sajtosan, esetenknt hibsan hasznlja a fenti szolgltatsokat, gy
ezek szintn els pillanattl hamis riasztsokat produkltak.
Finomtva az Octopus szablyrendszert jelentsen cskkenteni tudtuk ezeket a
tves riasztsokat. Egy httel az analizls utn szmos gpen azonos tartalm
forgalmat tallt az Octopus, melyek a HTTP szolgltatson keresztl nem
rendeltetsszer mkdst tartalmaztak.

2.2.3. Az Octopus eredmnye

A nem rendeltetsszer tartalom abban rejlett, hogy a program HTTP POST2
metduson keresztl vgzett olvasst, melyhez a HTTP/1.13-es szabvny
chunked read algoritmust alkalmazta. A chunked read lnyege, hogy az
olvasand adatot darabokra vgja a webszerver s ezen darabokat olyan
formn adja t a bngsznek, hogy minden egyes szelet eltt tadja a szelet
mrett s utna kld egy ENTER karaktert. A hibs forgalm gpeken viszont
a chunk mret utn szerepelt egy nulla ascii kod karakter is. (A ascii 0 - \0
karakter szmos programozsi nyelvben a karakterlncok terminlsra
hasznlatos)
Ez a karakter string terminator mivoltnl fogva nem jelent problmt, sem a
bngszknek, sem a proxyknak, s norml hlzati analizlsnl sem
felttlenl tnhet fel, hiszen nem lthat karakter.

2.2.4. Az idegen program egyrtelmstse

Megvizsgltuk a 11 gp naplfjljait s megprbltunk azonossgot tallni azzal
az idponttal amit az Octopus jelzett. Ez nem vezetett eredmnyhez. Mivel a
program ltszlag szabvnyos HTTP kommunikcit vgzett, gy ksztettnk
egy jabb programot, amely minden hlzati forgalomhoz hozzrendeli az azt
indukl programot. Feltteleztk, hogy rvidesen jra keletkezni fog forgalom
s ilyen mdon alkalmunk nylik majd megfigyelni a viselkedst.
Mindekzben egyb mdszerekkel is prbltuk a gpeken tallhat futtathat
llomnyokat vizsglni. Tekintve, hogy ekkor mg mindig nem bizonyosodott be,
2

A HTTP protokol egyik metdusa, mely arra alkalmas, hogy web-en keresztl adatokat szolgltasson
egy bngsz. Fknt krdvek (form) kitltsnl hasznlt.

A HTTP protokol kiterjesztse a HTTP/1.1, mely szmos tbbletszolgltatst tartalmaz.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

11. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

hogy valban kmtevkenysget vgz programra bukkantunk, gy csak vakon

tapogatzhattunk, remlve, hogy az rintett (gyans) forgalmat valban a
krdses a poloska program generlta.
Tudtuk, hogyha itt az sszes gpen tallhat program teljesen egyforma, akkor
azonos funkcionalits kmprogramrl van sz. gy azok futtathat llomnya
vlheten szintn azonos lesz. A 11 gprl sszeszedtk mg azokat a
futtathat llomnyokat is melyek tartalmilag azonosak. A 11 gpen 179 ilyen
alkalmazst talltunk. A gpeken ugyan mindenhol azonos opercis rendszer
kerlt teleptsre, de az azon fut alkalmazsok mr elgg eltr verzival
telepltek.
Mivel a tallt programok nagy rsze olyan program volt ami az opercis
rendszer rszt kpezi ezrt felinstallltunk egy tiszta gpre egy azonos
opercis rendszert s azzal sszehasonltottuk a programokat, itt azonosnak
minsl minden olyan fjl melyek alap installlskor felkerlnek.
Teht kiderlt, hogy a keresett program nem az opercis rendszer fjljaiba pl
be. Ezzel a vizsglattal 87 fjl esett ki a 179-bl. A vizsglat sorn mg szmos
applikcit sikerlt hasonl mdszerrel kiszrni, mely vgn 4 olyan programot
talltunk, melyek mind a 11 gpen fent voltak, de nem voltak kapcsolhatak
semmilyen ismert programhoz.
A 4 program kztt 3 olyan program volt amely specilis funkcik elrsre
szolgl, ezeket a sysinternals4 (www.sysinternals.com) ksztette. A programok:
pslist.exe, pskill.exe, psshutdown.exe. A programok funkcii:
-

pslist.exe: a gpen fut alkalmazsok listzsa konzolra

pskill.exe: egy fut alkalmazs megszaktsa

psshutdown.exe: a szmtgp jraindtsa vagy lelltsa konzolrl.

Mivel ezek a programok mind funkcionalitsukban, mind tartalmukban

megegyeztek a SysInternals csapat azonos nev programjaival a tovbbi
vizsglat egyetlen olyan programra fkuszldott, mely vlheten generlta a
nem rendeltetsszer HTTP forgalmat.
A program visszafejtsekor valban talltunk benne egy olyan rszt, amely
HTTP/POST adatfolyamot generl s valban hibsan lltja ssze a chunked
read adatfolyamokat.

SysInternals: egy programoz csapat, amely a windows opercis rendszerhez kszt kiegszt
eszkzket

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

12. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

Valsznsthet volt, hogy j helyen keresglnk, hiszen a ps*.exe programok

tipikus behatolskor hasznland programok, melyeket arra hasznlnak, hogy a
megtmadott gp bizonyos alkalmazsait manipulljk.
A vizsglat a tallt program tanulmnyozsval folytatdott.

2.3.

A Poloska analizlsa

2.3.1. A program vdelmi mechanizmusa

A program vizsglata egy kzel 2 hetes folyamat volt, mivel a program kszti
tbbszint forrskd vdelemmel lttk azt el. Ilyen vdelem volt, hogy a
programban egyetlen string szveg - sem volt megtallhat eredeti
formjban, minden string DES5 algoritmussal kerlt mr eredetileg trolsra s
csak a string felhasznlsakor kerlt t egy des_decoder() fggvnyen. A
dekdolshoz hasznlt kulcs, sem volt norml mdon letrolva, hanem olyan
mdon keletkezett, hogy egy ltszlag vletlen karaktertmbn ksztett a
program egy kivonatot (HASH, SHA16), s ez a kivonat volt a DES
visszafejtsnek kulcsa. A vletlen karaktertmb minden indtskor jra
generldott, gy nem igazn volt trivilis, hogy egy SHA1 miknt tud vletlen
adathalmazbl mindig ugyanolyan kulcsot generlni hiszen csak ilyekor lehet
a DES titkostst elrni. Kiderlt, hogy ha egy valban SHA1 HASH generl
kdot futtatunk le a vletlen tartalm tmbn, akkor valban nem lesz azonos a
kivonat. gy alaposabb tanulmnyozs utn kiderlt, hogy sem a vletlen szm
genertor, sem az SHA1 HASH kpz nem volt szabvnyos, volt bennk egy
szndkos hiba, ami miatt a keletkez kulcs mindig ugyanazt az rtket adta.
A programban szmos tovbbi rdekessget talltunk, pl. az egyes funkcikat
nem direkt hvta meg, hanem lnyegben egyetlen nagy funkcit tartalmazott,
melynek volt egy ler tblzta s ez tartalmazta az egyes funkcik belpsi
pontjt. A funkcik a paramtereket gy nem a szoksos stack-en (vermen)
adtk t s a visszatrsi rtket sem a stacken troltk. Ezzel a mdszerrel a
program szinte egyltaln nem hasznlt stacket, ami miatt a visszafejtse
jelentsen megnehezedett. A msik nagyon fontos rdekessg volt, hogy a
program kpes volt sajt magt mutlni. Mivel nem voltak elklnl funkcik s
kzpontostott kd vezrelte a paramter tadsokat s visszatrseket, ezrt a
5

DES: titkostsi algoritmus

SHA1: 32 bites kivonatkpzse (HASH) algoritmus. Clja egy tetszleges mret adatrl olyan 32
bites kivonat kpzse mely alapjn egyrtelmen jragenerlhat s sszehasonltva meghatrozhat,
hogy valban ugyanarrl a kt szvegrl van-e sz. A digitlis alrs alapja.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

13. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

program kpes volt sajt magt mutlni. Talltunk egy olyan rutint, ami a nullrl
jra pti az .exe file-t olyan formn hogy a korbbi .exe fjlt hasznlja fel, de
tvarilja a funkci tblt. Ilyen szint vdelmet akrmilyen polimorf vrus7
megirigyelhetne.
Mikor mr minden ltalunk felfedezett kdvdelmi trkkt sikerlt kijtszanunk
kvetkezhetett a program funkcionalitsnak felfedezse.
A program tulajdonkppen nem ms, mint egy freg. A szerepe, hogy brmilyen
hlzatban elhelyezve azt, onnan megprbljon kijutni s azon az ton ahol
kijutott bejratot nyisson idegenek szmra.

2.3.2. A program intelligencija

A program szmos specilis hlzatra lett felksztve. A kvetkez
algoritmusokat talltuk benne, melyek rvn megprbl kijutni egy hlzatbl:
- A gpre teleptett bngsz alkalmazsok registry belltsai alapjn kikeresi a
hasznlt proxy-kat; melyekbl a kvetkez proxy belltsokat veszi ki: http,
https, socks; Kpes kezelni a proxy.pak fjlt is, s ha a bngszben
automatikus proxy felderts opci van bekapcsolva, akkor azt meghvva
megksrli azon keresztl megkeresni a proxy szervert.
- Ha ki tud kapcsoldni HTTPS protokollon keresztl, akkor CONNECT metdus
segtsgvel kapcsoldik a clgpre s ezt hasznlva nyjt kt utas
adatfolyamot melyen keresztl reverse telnet (fordtott telnet) mdon tud
kommuniklni a tmad.
- Ha HTTPS-en vagy HTTPS proxy-n keresztl nem tud kapcsoldni, s tallt
SOCKS proxy belltst, akkor megksrel arra felkapcsoldni, a program
tmogatja mind a SOCKSv4, mint a SOCKSv5 proxy protokolokat is. Ha ezen
keresztl ki tud kapcsoldni, akkor a HTTPS-hez hasonl mdon reverse
telnetknt funkcionl a tmad rszre.
- Ha sem a HTTPS sem a SOCKS nem vezet eredmnyhez, akkor HTTP-n vagy
HTTP proxy-n keresztl nyit elszr egy GET kapcsolatot, majd ezt utn
megksrelni nyitni prhuzamosan egy POST kapcsolatot is. Ha ez sikerl neki,
akkor kt kapcsolatra bontott reverse proxyknt funkcionl. (minden kimen
forgalmat a POST metduson kezdemnyez s minden bejv forgalmat a GET
socketen kap) Ha a proxy-ban tiltva lenne a POST metdus, akkor minden
egyes kimen adatcsomagot GET-ben kld el, ilyenkor a kimen csomagokat
GET paramterknt adja t; ha a PROXY tmogatja a HTTP/1.1 protokollt,
akkor azt kihasznlva lnyegi idvesztesg nlkl kpes kommuniklni a tvoli
7

Polimorf vrus: nmagt vltoztatni, mutldni kpes vrus.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

14. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

gppel. Ha nem tmogatja a proxy a HTTP/1.1-et, akkor minden egyes GET

csomagot kln kezdemnyez, ez jelentsen lassabb mint a tbbi interaktv
kapcsolat.
- Ha ilyen mdon sem tud kijutni, akkor megprbl kijutni direkt kapcsolaton
keresztl. Itt szmos olyan porton keresztl prbl kijutni, amiket rendszerint ki
szoktak NAT-olni a bels hlzatokrl.
- Ha ez a mdszer sem vezet eredmnyhez, akkor az alaprtelmezett levelez
kliens segtsgvel kld egy levelet, melyben rtest a sikertelensgrl.
Tekintve azt a tnyt, hogy megbznk hlzatban szinte minden gpen volt
legalbb web elrs, mely elrshez egy proxyt hasznltak, gy a program mind
a 11 tmadott gprl ki tudott jutni.
A funkcija az volt, hogy miutn kijut egy tetszleges helyrl, akkor egy tvoli
gpen keresztl hozzfrst nyjtson az adott gp erforrsaihoz. Ezt olyan
formn tette, hogy egy Command Prompt-ot (cmd.exe) nyitott meg s annak
kimenett irnytotta t a megnyitott adatfolyamba. gy a tvoli gprl egy
konzolknt lehetett kommuniklni a megfertztt gppel. Mivel egy command
prompt nem felttlenl alkalmas minden olyan folyamatra, amely lehetv tesz
egy komoly hlzatban adatok keressre s eltulajdontsra, ezrt a
fejlesztk szmos extra funkcival ksztettk fel a programot. Nhny megtallt
knyelmi funkci:
- egy gpnek, vagy egy tartomnynak az tvizsglsa ICMP/PING mdszerrel.
(megkeresi a mkd gpeket)
- egy gpen, vagy egy tartomnyban nyitott portok keresse (portscan), a
programnak pontosan meghatrozhat, hogy milyen gpeken milyen portokat
keressen. A keresst norml connection scan alapjn vgzi, gy a halfscan
(stealth scan) detektorok nem veszik szre
- egy gpnek vagy egy tartomnynak az tvizsglsa s NETBIOS nevnek
lekrdezse. Ennek segtsgvel meg lehet llaptani, hogy bizonyos gpeknek
mi a NETBIOS neve gy mr a windows domainbl, vagy workgroupbl is
elrhetv vlhatott
- Egy NETBIOS nvvel meghatrozott gprl informcik lekrdezse
(kiajnlsok, felhasznlk, statisztikai adatok, stb. attl fggen, hogy mennyire
komoly a Windows biztonsgi politika)
- Egy adott fjl letltse a kommunikcis kapcsolaton keresztl.
- a program rendelkezett beptett sniffer modullal is, mely teljesen
automatikusan futott a program futsi ideje alatt. A program kpes volt a telnet,

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

15. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

ftp, pop3, imap, proxyauth, socks5auth protokolokbl kiszedni a felhasznli

neveket, jelszavakat.
Szmos olyan tovbbi kmkedst elsegt funkcit talltunk mg, amelyeket itt
nem mutatunk be, mivel a dokumentci nem ezek bemutatst clozta meg.

2.3.3. A program kapcsolattartsa

Sokkal rdekesebb volt az a mdszer amivel a program felvette a kapcsolatot az
interneten tallhat msik szmtgppel. Mivel a kapcsolatot a program
kezdemnyezte gy a programban pontosan megtalltuk azt az internetes cmet
ahova kapcsoldott. gy pontosan tudtuk, hogy hol kell keresni a tmadkat.
Mivel a megbznk felkrt, hogy folytassunk vizsglatot ebben az irnyban is,
felvettk a kapcsolatot a clpont hlzat internet szolgltatjval, majd a gp
tulajdonosval. Kiderlt, hogy a gpen socksv4-es proxy fut, mely egy nyitott
proxy, gy brki tvolrl r tudott jelentkezni s azon socksv4/BIND protokollon
keresztl szolgltatst tudott magnak kezdemnyezni. Ezutn csak arra kellett
neki vrnia, hogy a megbznknl tallhat programok felkapcsoldjanak ezekre
a nyitott szolgltatsokra s azon keresztl kommuniklni lehessen azokkal.
Szerencsre a rendszergazda kszsges volt s a naplfjlok alapjn
meghatrozta, hogy honnan rkezett a kapcsolatkrs az nyitott proxyjra. Az
adatok alapjn a vizsglat trgya egy msik fldrsz szervere fel mutatott.
Ekkor mr eleve megnztk, hogy a gp nem nyitott proxy-val rendelkezik-e s
a gpen valban talltunk egy socksv5-s openproxy-t. Hosszas kommunikls
utn a gpet zemeltet szakember beltta, hogy valban jelents problmval
llunk szemben s kszsgesen segtett, hogy tovbb folytathassuk a
vizsglatot. A kvetkez lncszem egy jabb msik orszgbeli szerverre
mutatott, amirl mr azonnal kiderlt, hogy szintn egy nyitott proxy.
Ekkor a megbznkkal kzsen gy dntttnk, hogy nem folytatjuk tovbb a
keresst, mivel a lnc hossza nem megllapthat s az erre fordtand id
szintn nem meghatrozhat, hiszen nem tudhatjuk, hogy az egyes pontokon
mennyi id alatt tudunk tovbb jutni.
A program rdekessge volt, hogy kpes lett volna prhuzamosan tbb nyitott
proxy szerverrel kapcsolatot ltesteni, gy gyakorlatilag a tmad kiltnek
visszafejtse egy vgtelen g fban val totlis elveszst jelentett volna.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

16. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

3.

A VDELEM
gyfelnk szmra tartott konzultcin rmutattunk, hogy a megtallt program
valban egy olyan program mely alkalmas lehetett arra, hogy azon keresztl
bels informcik szivroghassanak ki.
Tekintve, hogy a program minden nyomot megprblt maga utn eltntetni gy
nem talltunk arra sem kzvetlen, sem kzvetett bizonytkot, hogy valaha is
ezen keresztl adat kiszivrgs valsan trtnt-e. Mindenesetre a tallt
programok szervezeten belli elhelyezkedse s a program mkdse
egyrtelmen rmutat arra, hogy milyen clzattal kerlt teleptsre. A naplfjlok
tbngszse sorn megtalltuk, hogy a programok kzel fl ve mr
egyrtelmen futnak nmelyik gpen.
A konzultci kiterjedt arra is, hogy miknt tudna gyfelnk a jvben vdekezni
az ilyen jelleg tmadsok ellen. Mi egy komplex megoldst ajnlottunk, mely
kiterjed minden olyan hinyossgra, mely elvezetett a vgeredmnyhez. A
komplex megolds rszei:
- Megfelel Informatikai Biztonsgi Szablyzat elksztse
- Szigorbb s egyben optimalizltabb tzfal szablyok bevezetse
- IDS teleptse
- Az Octopus szoftver tovbbi zemeltetse s felgyelete

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

17. oldal, sszesen: 18

Es et ta n ul m ny - p o l os k a

4.
4.1.

EGYB
Jelen dokumentum kzlse

4.1.1. Az informcik minsgrl

Jelen dokumentum a publicitsa miatt - s mert nem clja, hogy informatikai
hlzatok tmadshoz tletekkel szolgljon - nem tartalmaz mindenre kiterjed
rszletes informcikat. A feldertsi megoldsoknak is egy rsze a SaveAs Kft.
sajt know-howja, fejlesztse, stb., gy ezen informcikat a SaveAs Kft.
bizalmasnak tekinti s ezek kzlsre nem ad mdot.

4.2.

CopyRight

4.2.1. Kizrlagos jogok

Jelen dokumentci a SaveAs Kft. szellemi termke s kizrlagos tulajdona.

Hasznosts s tbbszrzs
Jelen dokumentcit az olvas zletszerzsre nem hasznosthatja. A
dokumentum nem mdosthat, azonban vltoztats nlkl szabadon
terjeszthet.

Nyilvnossghoz val kzvetts s idzs

Jelen dokumentci egsznek vagy rszeinek mdiban vagy brhol mshol
val felhasznlsa kizrlag a SaveAs Kft. nevnek megemltsvel tehet az
albbi mdokon:
Televzi s rdi: a SaveAs Kft. nevnek megemltsvel s/vagy televzi
esetn - kirsval.
jsg: a SaveAs Kft. nevnek s weblapjnak elrhetsgnek kirsval
(http://www.saveas.hu).
Digitlis mdia: a SaveAs Kft. nevnek s weblapjnak elrhetsgnek
kirsval (http://www.saveas.hu) s utbbinak kattinthat belinkelsvel.

Oktats
Oktatsi clra a dokumentci szabadon felhasznlhat.

Minden ms esetben
a SaveAs Kft. rsbeli engedlye szksges.

SaveAs Informcivdelmi Tancsad s Szolgltat Kft.

H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222

18. oldal, sszesen: 18