Винзаппер

Winzapper — бесплатная утилита/ инструмент для взлома, используемая для удаления событий из Microsoft Windows NT 4.0 и Windows 2000 журнала безопасности . Он был разработан Арне Видстромом как инструмент для проверки концепции, демонстрирующий, что после взлома учетной записи администратора журналы событий перестают быть надежными. ^[1] Согласно Hacking Expose: Windows Server 2003 , Winzapper работает с Windows NT/2000/2003. ^[2]

До создания Winzapper у администраторов уже была возможность очищать журнал безопасности либо с помощью средства просмотра событий , либо с помощью сторонних инструментов, таких как Clearlogs . ^[3] Однако в Windows не было встроенного метода выборочного удаления событий из журнала безопасности. Неожиданная очистка журнала, скорее всего, станет для системных администраторов тревожным сигналом о том, что произошло вторжение. Winzapper позволит хакеру скрыть вторжение, удалив только те события журнала, которые имеют отношение к атаке. Winzapper в том виде, в котором он был публично выпущен, не имел возможности запускаться удаленно без использования такого инструмента, как Terminal Services . Однако, по словам Арне Видстрема, его легко можно модифицировать для дистанционного управления. ^[4]

Существует также несвязанный троянский конь с таким же именем. ^[5]

Контрмеры

Winzapper создает резервную копию журнала безопасности «dummy.dat» в %systemroot%\system32\config. Этот файл можно восстановить после атаки, чтобы восстановить исходный журнал. ^[6] Однако вполне возможно, что опытный пользователь может скопировать достаточно большой файл поверх файла dummy.dat и, таким образом, безвозвратно перезаписать его. Winzapper приводит к тому, что средство просмотра событий становится непригодным для использования до перезагрузки , поэтому неожиданная перезагрузка может указывать на то, что Winzapper недавно использовался. ^[7] Еще одним потенциальным ключом к попытке попытки с использованием Winzapper может быть повреждение журнала безопасности (требующее его очистки), поскольку всегда существует небольшой риск того, что Winzapper сделает это.

Согласно WindowsNetworking.com, «один из способов предотвратить использование этого инструмента на ваших серверах злоумышленными администраторами — это внедрить политику ограничения программного обеспечения с помощью групповой политики, которая предотвращает запуск исполняемого файла WinZapper». ^[8]

Ссылки

^ Часто задаваемые вопросы по Winzapper , NTSecurity.
^ Джоэл Скамбрей, Стюарт МакКлюр (27 октября 2006 г.). Взлом открытого Windows Server 2003 . McGraw-Hill Osborne Media, 1 издание. п. 228. ИСБН 9780072230611 .
^ «Hacktool.Clearlogs» . Symantec.com. Архивировано из оригинала 8 января 2007 года.
^ Видстрем, Арне (6 сентября 2000 г.). «Анонс WinZapper — стереть отдельные записи событий в журнале безопасности Windows NT 4.0/2000» . Security-express.com.
^ «Троян Винзаппер» . Logiguard.com.
^ «Криминалистический след Винзаппера» . Forensics.8thdaytech.com.
^ Зейфрид, Курт. «Технический документ по безопасности Microsoft — Windows NT» . Seifried.org.
^ «Пробелы в журнале безопасности» . Windowsnetworking.com.

[1] Часто задаваемые вопросы по Winzapper , NTSecurity.

[2] Джоэл Скамбрей, Стюарт МакКлюр (27 октября 2006 г.). Взлом открытого Windows Server 2003 . McGraw-Hill Osborne Media, 1 издание. п. 228. ИСБН 9780072230611 .

[3] «Hacktool.Clearlogs» . Symantec.com. Архивировано из оригинала 8 января 2007 года.

[4] Видстрем, Арне (6 сентября 2000 г.). «Анонс WinZapper — стереть отдельные записи событий в журнале безопасности Windows NT 4.0/2000» . Security-express.com.

[5] «Троян Винзаппер» . Logiguard.com.

[6] «Криминалистический след Винзаппера» . Forensics.8thdaytech.com.

[7] Зейфрид, Курт. «Технический документ по безопасности Microsoft — Windows NT» . Seifried.org.

[8] «Пробелы в журнале безопасности» . Windowsnetworking.com.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]