Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 41

Значение Win64 указывает на использование семейства 64-битных операционных систем Windows для архитектуры x86-64 (AMD64) и IA-64 (Itanium).

Такие данные критичны для тех, кто собирается начать с заброса бэкдора или использования других вредоносных компьютерных программ или утилит, а также продолжения атаки после получения несанкционированного удаленного доступа к операционной системе. При компиляции[29] вредоноса должны учитываться особенности операционной системы, Win32-программа может быть после небольших исправлений перекомпилирована в 64-битном варианте. Хотя для запуска в 64-битной операционной системе Windows 32-битных приложений имеется подсистема WoW64, расположение некоторых стандартных директорий и файлов отличается, что может негативно сказаться на результате работы программы.

Для демонстрации приведенного примера можно также посмотреть, какие данные будут содержаться в переменной $_SERVER ['HTTP_USER_AGENT'] при обращении к скрипту с использованием браузера MS Internet Explorer (рис. 2.2).

Рис. 2.2.Браузер MS Internet Explorer

Скрипт получает значение:

Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko

Мобильный браузер телефона Samsung при обращении к странице, содержащей приведенный PHP-крипт, расскажет злоумышленникам следующее:

Mozilla/5.0 (Linux; Android 7.0; SAMSUNG SM-J710F Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/5.4 Chrome/51.0.2704.106 Mobile Safari/537.36

При обращении из-под операционной системы Ubuntu функцией будет получена такая информация:

Mozilla/5/0 (compatible; Konqueror/4.5; Linux) KHTML/4.5.3 Kubuntu

Вариант отображения полученных данных при обращении пользователя из MAC OS:

Opera/9.80 (Macintosh; Intel Mac OS X 10.10.3; Edition MAS) Presto/2.12.388 Version/12.15

Таким образом, заманив пользователя на ресурс с размещенным на нем простеньким скриптом, имеется возможность определить используемую потенциальной жертвой версию браузера и операционной системы.

Естественно, для использования этой функции злоумышленники не отображают полученных от браузера значений, а записывают их в текстовый файл на сервере или отправляют на свой электронный адрес.

Определение IP-адресов атакуемого

С таким же успехом можно получить информацию об IP-адресе, посредством которого осуществлялось обращение пользователем к странице. Для этого можно использовать переменную 'REMOTE_ USER' того же массива $_SERVER:

$_SERVER['REMOTE_USER'];

Созданный злоумышленниками простенький ресурс может поведать необходимую информацию о пользователе, и все это выглядит совершенно безобидно и законно. Такой ресурс может быть заброшен жертве в социальной сети или любым другим способом, как от имени незнакомого пользователя, так и при использовании одного из аккаунтов «друзей».