Получив первоначальный доступ к общей инфраструктуре WBEM, злоумышленники, скорее всего, установят низкоуровневый руткит, который обеспечит им дальнейший доступ к скомпрометированным системам. Рассмотрим возможный сценарий инфицирования общей инфраструктуры предприятия или организации руткитом BIOS с помощью WBEM была рассмотрена WMI как одна из реализаций WBEM. На практике WMI применяется для определения конфигурации клиентских компьютеров, подключенных к Локальному серверу обновлений Windows . Этот сервер предоставляет последние заплаты и обновления для Microsoft Windows компьютерам, входящим в состав внутренней сети организации. Перед отправкой заплат или обновлений клиентскому компьютеру, локальный сервер обновлений Windows определяет его конфигурацию. Эта операция выполняется посредством интерфейса WMI. Чтобы ускорить выполнение будущих обновлений, конфигурационные данные клиента хранятся на локальном сервере обновлений Windows. Это позволяет экономить время, не расходуя его на повторное определение конфигурационных данных клиента через интерфейс WMI. Так как конфигурационные данные клиента хранятся в кэше локального сервера обновлений Windows, злоумышленник, взломавший сервер, получит доступ к конфигурационным данным компьютеров, которые пользовались сервисами, предоставляемыми данным сервером. Помимо прочих конфигурационных данных, сохраняемых на сервере, доступны тип материнской платы и версия BIOS клиентского компьютера . Доступность этой информации упростит злоумышленникам задачу инфицирования руткитом BIOS всех компьютеров, принадлежащих к сети организации. Схема осуществления этого сценария показана на рис.
Обратите внимание, что в сценарии атаки, показанном локальный сервер обновлений Windows не обозначен как второй шаг атаки. Тем не менее, при желании злоумышленников, руткит BIOS может быть внедрен и на него. Рассмотрим более подробное описание процедуры реализации атаки. Злоумышленник проникает в компьютерную сеть организации и взламывает локальный сервер обновлений Windows.
На основе подробных данных о клиенте, полученных с сервера обновлений, злоумышленник ищет необходимую информацию о следующей цели атаки, т. е. о компьютере, который можно инфицировать руткитом BIOS. При этом если злоумышленник уже хорошо изучил внутреннюю структуру сети предприятия или организации, то он может и не искать эту информацию.
Рубрика: Женский интерес