Как шпионить за пользователем с помощью офисных приложений
www.samag.ru
     
Поиск  
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Сетевой агент
О журнале
Журнал «БИТ»
Информация для ВАК
Звезды «СА»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Форум
Вакансии
Спроси юриста
Игры
Контакты
   
Слайд шоу  
Представляем работы Виктора Чумачева
Виктор Чумачев – известный московский художник, который сотрудничает с «Системным администратором» уже несколько лет. Именно его забавные и воздушные, как ИТ, иллюстрации украшают многие серьезные статьи в журнале. Работы Виктора Чумачева хорошо знакомы читателям в России («Комсомольская правда», «Известия», «Московские новости», Коммерсант и др.) и за рубежом (США, Германия). Каждый раз, получая новый рисунок Виктора, мы в редакции улыбаемся. А улыбка, как известно, смягчает душу. Поэтому смотрите на его рисунки – и пусть у вас будет хорошее настроение!
1001 и 1 книга  
20.09.2018г.
Просмотров: 43
Комментарии: 0
Байесовские модели

 Читать далее...

20.09.2018г.
Просмотров: 35
Комментарии: 0
Элегантный SciPy

 Читать далее...

20.09.2018г.
Просмотров: 48
Комментарии: 0
Олимпиадное программирование

 Читать далее...

20.09.2018г.
Просмотров: 41
Комментарии: 0
Akka в действии

 Читать далее...

19.03.2018г.
Просмотров: 3518
Комментарии: 0
Потоковая обработка данных

 Читать далее...

Дискуссии  
17.09.2014г.
Просмотров: 18498
Комментарии: 3
Красть или не красть? О пиратском ПО как о российском феномене

Тема контрафактного ПО и защиты авторских прав сегодня актуальна как никогда. Мы представляем ...

 Читать далее...

03.03.2014г.
Просмотров: 21053
Комментарии: 1
Жизнь под дамокловым мечом

Политические события как катализатор возникновения уязвимости Законодательная инициатива Государственной Думы и силовых структур, ...

 Читать далее...

23.01.2014г.
Просмотров: 29775
Комментарии: 3
ИТ-специалист будущего. Кто он?

Так уж устроен человек, что взгляд его обращен чаще всего в Будущее, ...

 Читать далее...


  Опросы

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Как шпионить за пользователем с помощью офисных приложений

Статьи / Как шпионить за пользователем с помощью офисных приложений

Автор: Андрей Бирюков

Про использование для взлома USB устройств, маскирующихся под клавиатуру написано довольно много. Предлагаю рассмотреть новый вид атак, связанный с настройкой с помощью хакерских устройств, офисных приложений для наблюдения за пользователями.

Сегодня трудно себе представить персональный компьютер без офисных приложений. Даже на машинах программистов и инженеров обязательно есть офисные пакеты и средства связи. При этом, есть множество приложений, которым мы привыкли доверять – программы, делающие работу с компьютером более удобной. Здесь и офисные пакеты, такие как Microsoft Office, Open Office и аналогичные, и различные средства коммуникации, такие как Skype, WhatsUp, Telegram и другие. И хотя некоторые средства коммуникации ориентированы на использование на мобильных устройствах, сути это не меняет – мы к ним привыкли. Также многие пользователи не могут обойтись без таких вспомогательных утилит как Punto Switcher и различных плагинов к браузерам.

При этом стоит заметить, что в крупных организациях пользовательские компьютеры как правило, хорошо защищены, как на сетевом периметре с помощью брандмауэров, так и на уровне самих узлов с помощью антивирусов, средств обнаружения утечек информации, узлов систем обнаружения атак и других средств защиты. В связи с этим, реализация атак на пользовательские узлы становится все более затруднительной. Конечно, некоторые вирусные эпидемии последних лет нанесли много вреда и пользователям тоже, однако, зачастую это было связано с не расторопностью, системных администраторов, не установивших вовремя обновления и не использующих в полной мере имеющиеся средства защиты.

Но вернемся к офисным приложениям. Для многих это возможно станет сюрпризом, но функционал многих из этих замечательных средств позволяет вести слежку за пользователями и их действиями на компьютере. Я не имею ввиду отправку отчетов разработчикам данных приложений или пресловутые “черные ходы”, которые могут применяться спецслужбами для слежки за пользователями и хищения информации. Также здесь не подразумевается эксплуатация каких-либо уязвимостей в программном обеспечении и написание соответствующего кода.

Речь идет об использовании абсолютно легальных приложений и штатных настроек, позволяющих следить за пользователями и похищать их конфиденциальную информацию. При этом, данную активность вряд ли обнаружат средства защиты.

В качестве примера можно рассмотреть хорошо всем известный инструмент Skype. Изменение всего нескольких параметров позволяет настроить его для автоматического приема любых входящих видео и аудиозвонков. И данный функционал может работать даже на заблокированной рабочей станции. То есть, внеся такие настройки в Skype, злоумышленник может затем позвонить данному пользователю и его машина автоматически ответит. Да здесь есть ряд нюансов, связанных с социальной инженерией. Во-первых, кто позволит злоумышленнику внести изменения в настройки своего компьютера. Во-вторых, звонок на Skype не останется незамеченным. Также, не всегда можно точно знать заблокирована станция или нет.

Попробуем предложить решение первого вопроса. Итак, нам необходимо грамотно настроить этот функционал в приложениях, желательно незаметно для пользователя. В этом нам могут специальные устройства, подключаемые через USB порт и маскирующиеся под клавиатуру или мышь.

Так макетная плата Teensy позволяет, претворившись клавиатурой “нажать” нужные клавиши. Про макетные платы и их использование в качестве троянских флешек написано уже достаточно много, поэтому я не буду здесь о них подробно рассказывать. Желающие могут ознакомиться с моей статьей [1].

Итак, для того, чтобы настроить Skype нужным образом нам необходимо выполнить следующие действия (алгоритм будет отличаться, в зависимости от версии Skype):

Нажать WIN

Набрать skype, нажать ENTER; запускаем skype

Нажать CTRL+, ; Здесь Открываем Настройки

Нажать 6 раз DOWN ; Переходим во вкладку Безопасность

Нажать TAB, ENTER ; Принимать звонки от кого угодно

Нажать TAB, UP,ENTER ; Автоматически принимать звонки от кого угодно

Нажать TAB 17 раз , 4 раза DOWN ; Настройки звонка

Нажать TAB, ENTER ; Принимать звонки от кого угодно

Нажать TAB 3 раза, Пробел; Автоматически принимать аудиозвонок

Нажать TAB 1 раз, Пробел; Автоматически принимать видеозвонок

Нажать TAB 17 раз , ENTER ; Сохраняем настройки

Запрограммировать данный набор действий на макетной плате Teensy довольно просто. Для этого можно воспользоваться функционалом среды разработки Arduino IDE, и соответствующим языком высокого уровня.

Ниже приводится фрагмент кода для “нажатия” приведенных выше клавиш.

Keyboard.set_modifier(MODIFIERKEY_RIGHT_GUI); // клавиша WIN

Keyboard.send_now();

delay(1000); // пауза 1 сек.

Keyboard.println("skype"); //пишем слово skype

delay(3000);

Keyboard.press(KEY_LEFT_CTRL); // вызвали меню Настройки

Keyboard.press(',');

delay(1000);

Keyboard.releaseAll();

Keyboard.press(KEY_DOWN_ARROW); //курсор вниз

Keyboard.releaseAll();

Выполнение данных команд начнется сразу, после включения устройства в USB порт и его инициализации. В результате успешного выполнения данных действий злоумышленник сможет позвонить на атакуемую машину и его звонок будет автоматически принят.

Конечно, это одна из множества атак, реализуемых с помощью макетных плат. При этом стоит понимать, что ее успешная реализация немыслима без использования социальной инженерии. Хотя бы потому, что нам необходимо как-то заставить пользователя подключить наше устройство в USB-порт.

Практическая демонстрация работы устройства на базе Teensy и реализации описанной атаки была представлена в моем докладе на конференции ZeroNights, проходившей 17-18 ноября 2017 года в Москве.

Стоит отметить, что бороться данными атаками не так просто, как кажется. Можно бороться с подключением USB устройств как со средством реализации атаки. Например, в моей книге “Информационная Безопасность: защита и нападение. 2 издание.” рассматривается использование средств защиты от несанкционированного доступа на пользовательских машинах. Однако проблему “вредоносной” настройки Skype и подобных программ решить вряд ли удастся. Можно конечно поступить радикально и просто запретить коммуникационные приложения в компании. Но для многих специалистов они является рабочими инструментом и их запрет может привести к проблемам.

В случае, если запретить данные приложения нельзя, единственным средством защиты будет регулярное уведомление сотрудников о подобных атаках с указанием того, какие элементы приложения необходимо проверять.

  1. Бирюков А. А. “Системный администратор” 2013 / Выпуск №12 (133) / Чужой флеш-диск. Опасайтесь троянских коней. – http://samag.ru/archive/article/2587.

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru