Winzapper - Winzapper

Winzapper je freeware nástroj / hackerský nástroj slouží k mazání událostí z Microsoft Windows NT 4.0 a Windows 2000 Bezpečnostní protokol. Byl vyvinut společností Arne Vidstrom jako nástroj proof-of-concept, který ukazuje, že jakmile dojde k prolomení účtu správce, protokoly událostí již nebudou spolehlivé.^[1] Podle Hacking Exposed: Windows Server 2003, Winzapper pracuje s Windows NT / 2000/2003.^[2]

Před vytvořením aplikace Winzapper již měli správci možnost vymazat protokol zabezpečení buď prostřednictvím Prohlížeč událostí nebo prostřednictvím nástrojů třetích stran, jako je Clearlogs.^[3] V systému Windows však chyběla jakákoli integrovaná metoda selektivního mazání událostí z protokolu zabezpečení. Neočekávané vymazání protokolu by pravděpodobně znamenalo pro správce systému červenou vlajku, že došlo k vniknutí. Winzapper by umožnil hackerovi skrýt narušení odstraněním pouze těch událostí protokolu souvisejících s útokem. Winzapper, jak byl veřejně vydán, postrádal možnost vzdáleného spuštění bez použití nástroje, jako je Terminálové služby. Podle Arne Vidstroma však mohl být snadno upraven pro dálkové ovládání.^[4]

K dispozici je také nesouvisející trojský kůň stejným jménem.^[5]

Protiopatření

Winzapper vytvoří záložní bezpečnostní protokol „dummy.dat“ na adrese% systemroot% system32config. Tento soubor může být neodstraněno po útoku obnovit původní protokol.^[6] Je však možné, že důvtipný uživatel může zkopírovat dostatečně velký soubor přes soubor dummy.dat a tím jej nenávratně přepsat. Winzapper způsobí, že se prohlížeč událostí stane nepoužitelným až po a restartovat, takže neočekávaný restart může být vodítkem, že byl nedávno použit Winzapper.^[7] Dalším možným vodítkem k pokusu založenému na Winzapperu by bylo poškození bezpečnostního protokolu (vyžadující jeho vymazání), protože vždy existuje malé riziko, že to Winzapper udělá.

Podle WindowsNetworking.com „jedním ze způsobů, jak zabránit nepoctivým správcům v používání tohoto nástroje na vašich serverech, je implementovat zásady omezení softwaru pomocí zásad skupiny, které zabrání spuštění spustitelného souboru WinZapper“.^[8]

Reference

^ Winzapper FAQ, NTSecurity.
^ Joel Scambray, Stuart McClure (27. října 2006). Hacking Exposed Windows Server 2003. McGraw-Hill Osborne Media, 1. vydání. p. 228.
^ „Hacktool.Clearlogs“. Symantec.com.
^ Vidstrom, Arne (6. září 2000). "Oznámení WinZapper - vymazání jednotlivých záznamů událostí v protokolu zabezpečení systému Windows NT 4.0 / 2000". Security-express.com.
^ „Winzapper Trojan“. Logiguard.com.
^ „Forenzní stopa společnosti Winzapper“. Forensics.8thdaytech.com.
^ Seifried, Kurt. „Dokument Microsoft Security Whitepaper - Windows NT“. Seifried.org.
^ „Mezery v protokolu zabezpečení“. Windowsnetworking.com.

[1] Winzapper FAQ, NTSecurity.

[2] Joel Scambray, Stuart McClure (27. října 2006). Hacking Exposed Windows Server 2003. McGraw-Hill Osborne Media, 1. vydání. p. 228.

[3] „Hacktool.Clearlogs“. Symantec.com.

[4] Vidstrom, Arne (6. září 2000). "Oznámení WinZapper - vymazání jednotlivých záznamů událostí v protokolu zabezpečení systému Windows NT 4.0 / 2000". Security-express.com.

[5] „Winzapper Trojan“. Logiguard.com.

[6] „Forenzní stopa společnosti Winzapper“. Forensics.8thdaytech.com.

[7] Seifried, Kurt. „Dokument Microsoft Security Whitepaper - Windows NT“. Seifried.org.

[8] „Mezery v protokolu zabezpečení“. Windowsnetworking.com.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]