PC_ZONE Степан «Step» Ильин step@glc.ru
Êàê ïðîêà÷àòü Nmap? Ðåàëèçóåì ñîáñòâåííûå ïðîâåðêè â èçâåñòíîì ñêàíåðå áåçîïàñíîñòè
Ïðåäñòàâëÿòü Nmap ÷èòàòåëþ ][ ñðîäíè òîìó, ÷òî îáúÿñíÿòü ôèçèêó-ÿäåðùèêó, ÷òî òàêîå çàðÿæåííàÿ ÷àñòèöà. Nmap çíàþò âñå, è ñêîðåå âñåãî äàæå õîòÿ áû ðàçîê èì ïîëüçîâàëèñü. Íî âîò ïàðàäîêñ: òó èçóìèòåëüíóþ ïî ðàñøèðåíèþ àðõèòåêòóðó, ïîçâîëÿþùóþ çàòî÷èòü ñêàíåð ïîä ñåáÿ, âñå óïîðíî îáõîäÿò ñòîðîíîé. È ñîâåðøåííî íàïðàñíî.
Å
сли ты следишь за обновлениями легендарного сканера, которые, кстати говоря, в последнее время выходят особенно часто, то должен был обратить внимание на две цифры, которые фигурируют в каждой записи changelog'а. Первая означает количество обновленных сигнатур для определения сервисов и операционных систем. А вторая — количество новых NSE-скриптов для реализации более тонких проверок и интеллектуального сканирования. Обычно такие скрипты разрабатываются для какойнибудь серьезной уязвимости и используют части оказавшихся в паблике сплойтов. Но то, что оказалось у всех — это уже не так интересно. Другое дело — сделать что-то для себя. Скажем, зная о том, как устроен какой-то свежий троян, добавить в сканер
026
определенные проверки и таким образом, быстро прочесав сеть, порутать сразу множество машин. Как тебе?
FINGERPRINTING ÑÂÎÈÌ ÐÓÊÀÌÈ
Конечно, можно написать с нуля программусканер, которая будет отправлять некий запрос, парсить результат и, в конечном счете, возможно, детектировать зараженные машины. И реализовать некое подобие многопоточности тоже несложно. Но разве все это может сравниться с теми механизмами, которые столько времени оттачивались в Nmap? Я так не думаю. Одна из ключевых особенностей сканера — широкие возможности fingerprinting'а, то есть как раз определения версии ОС и работающих сервисов по так называемым отпечаткам пальцев (в терминах Nmap они называются
probe). Сервисом может быть обычный WWWдемон, а может — трой. При этом абсолютно необязательно мириться с той базой, которая по умолчанию поставляется со сканером. Посмотрим, как можно обновить ее самому. В качестве примера возьмем троян, который распространялся в Европе с софтом для зарядок от компании Energizer (мы рассказали о нем в Meganews прошлого номера). На официальном сайте программа уже обновлена, но зараженный вариант по-прежнему доступен в снимках сайтов, сохраненных архиватором интернета Wayback Machine (web.archive. org). Заниматься глубоким реверсингом мы не будем. Хотя расковырять трой достаточно просто (автор не сильно заморачивался, чтобы хоть как-то закриптовать малварь), это уже сделали за нас. На сайте www.symantec. com/connect/blogs/trojan-found-usb-batteryXÀÊÅÐ 06 /137/ 10