Первоначальный доступ к общей инфраструктуре WBEM

Получив первоначальный доступ к общей инфраструктуре WBEM, зло­умышленники, скорее всего, установят низкоуровневый руткит, который обеспечит им дальнейший доступ к скомпрометированным системам. Рас­смотрим возможный сценарий инфицирования общей инфраструктуры пред­приятия или организации руткитом BIOS с помощью WBEM была рассмотрена WMI как одна из реализаций WBEM. На прак­тике WMI применяется для определения конфигурации клиентских компью­теров, подключенных к Локальному серверу обновлений Windows . Этот сервер предоставляет последние заплаты и обновления для Microsoft Windows компьютерам, входящим в состав внутренней сети организации. Перед отправкой заплат или обновлений клиентскому компью­теру, локальный сервер обновлений Windows определяет его конфигурацию. Эта операция выполняется посредством интерфейса WMI. Чтобы ускорить выполнение будущих обновлений, конфигурационные данные клиента хра­нятся на локальном сервере обновлений Windows. Это позволяет экономить время, не расходуя его на повторное определение конфигурационных данных клиента через интерфейс WMI. Так как конфигурационные данные клиента хранятся в кэше локального сервера обновлений Windows, злоумышленник, взломавший сервер, получит доступ к конфигурационным данным компью­теров, которые пользовались сервисами, предоставляемыми данным серве­ром. Помимо прочих конфигурационных данных, сохраняемых на сервере, доступны тип материнской платы и версия BIOS клиентского компьютера . Доступность этой информации упростит злоумыш­ленникам задачу инфицирования руткитом BIOS всех компьютеров, принад­лежащих к сети организации. Схема осуществления этого сценария показана на рис.
Обратите внимание, что в сценарии атаки, показанном локаль­ный сервер обновлений Windows не обозначен как второй шаг атаки. Тем не менее, при желании злоумышленников, руткит BIOS может быть внедрен и на него. Рассмотрим более подробное описание процедуры реализации атаки. Злоумышленник проникает в компьютерную сеть организации и взламывает локальный сервер обновлений Windows.
На основе подробных данных о клиенте, полученных с сервера обновлений, злоумышленник ищет необходимую информацию о следующей цели атаки, т. е. о компьютере, который можно инфицировать руткитом BIOS. При этом если злоумышленник уже хорошо изучил внутреннюю структуру сети пред­приятия или организации, то он может и не искать эту информацию.



Рубрика: Женский интерес

29.08.2016