Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Winzapper - это бесплатная служебная программа / хакерский инструмент, используемый для удаления событий из журнала безопасности Microsoft Windows NT 4.0 и Windows 2000 . Он был разработан Арне Видстромом как инструмент проверки концепции, демонстрирующий, что после взлома учетной записи администратора журналы событий перестают быть надежными. [1] Согласно Hacking Exposed: Windows Server 2003 , Winzapper работает с Windows NT / 2000/2003. [2]

До создания Winzapper администраторы уже имели возможность очищать журнал безопасности либо с помощью средства просмотра событий, либо с помощью сторонних инструментов, таких как Clearlogs . [3] Однако в Windows отсутствовал какой-либо встроенный метод выборочного удаления событий из журнала безопасности. Неожиданная очистка журнала, скорее всего, станет для системных администраторов красным флагом о том, что вторжение произошло. Winzapper позволит хакеру скрыть вторжение, удалив только те события журнала, которые имеют отношение к атаке. В публично выпущенном Winzapper отсутствовала возможность удаленного запуска без использования таких инструментов, как службы терминалов . Однако, по словам Арне Видстрома, его можно легко модифицировать для удаленного управления. [4]

Также существует не связанный троян с таким же именем. [5]

Контрмеры [ править ]

Winzapper создает резервную копию журнала безопасности «dummy.dat» в% systemroot% \ system32 \ config. Этот файл может быть восстановлен после атаки для восстановления исходного журнала. [6] Однако опытный пользователь может скопировать достаточно большой файл поверх файла dummy.dat и, таким образом, безвозвратно перезаписать его. Winzapper приводит к невозможности использования средства просмотра событий до перезагрузки , поэтому неожиданная перезагрузка может указывать на то, что Winzapper использовался недавно. [7] Еще одним потенциальным признаком попытки использования Winzapper может быть повреждение журнала безопасности (требующее его очистки), поскольку всегда существует небольшой риск того, что Winzapper сделает это.

Согласно WindowsNetworking.com, «один из способов предотвратить использование этого инструмента администраторами-мошенниками на ваших серверах - это реализовать политику ограниченного использования программ с использованием групповой политики, которая предотвращает запуск исполняемого файла WinZapper». [8]

Ссылки [ править ]

  1. ^ Winzapper FAQ , NTSecurity.
  2. ^ Джоэл Scambray, Стюарт МакКлюр (27 октября 2006). Взлом открытого Windows Server 2003 . McGraw-Hill Osborne Media, 1 выпуск. п. 228.
  3. ^ "Hacktool.Clearlogs" . Symantec.com. CS1 maint: обескураженный параметр ( ссылка )
  4. ^ Vidstrom, Arne (6 сентября 2000). «Объявление WinZapper - стереть отдельные записи событий в журнале безопасности Windows NT 4.0 / 2000» . Security-express.com.
  5. ^ "Winzapper Trojan" . Logiguard.com. CS1 maint: обескураженный параметр ( ссылка )
  6. ^ "Криминалистический след Winzapper" . Криминалистика. 8thdaytech.com. CS1 maint: обескураженный параметр ( ссылка )
  7. ^ Сейфрид, Курт. «Технический документ по безопасности Microsoft - Windows NT» . Seifried.org. CS1 maint: обескураженный параметр ( ссылка )
  8. ^ «Пробелы в журнале безопасности» . Windowsnetworking.com. CS1 maint: обескураженный параметр ( ссылка )