Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

В рассматриваемом ранее примере фишинг-движка (пример 3) в процессе тестовой авторизации для проверки пароля серверу посылалась информация о клиентском приложении: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 (.NET CLR 3.5.30729).

Есть в языке PHP возможность получения информации об окружении посредством переменной $_SERVER, по сути являющейся массивом, содержащим довольно разнообразные данные[28].

Переменная $_SERVER — это массив, содержащий такую информацию, как заголовки, пути и местоположения скриптов. Записи в этом массиве создаются веб-сервером.

В качестве примера использования массива можно продемонстрировать получение информации удаленным ресурсом, на стороне которого исполняется скрипт PHP:

echo $_SERVER['HTTP_USER_AGENT']. "\n\n";

$browser = get_browser(null, true); print_r($browser);

?>

Эту функцию можно добавить к странице совершенно любого ресурса и получить информацию об используемой посетителем версии браузера и операционной системы.

Единственное условие работоспособности функции — это наличие на сервере интерпретатора языка PHP, о чем уже упоминалось в предыдущей части.

При исполнении приведенного выше примера кода на сервере, при обращении к ресурсу с использованием браузера Firefox (рис. 2.1) скрипт получает от браузера клиента следующее значение: «Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0».

Рис. 2.1. Браузер Firefox

Как видно из полученных данных, значение Windows NT 6.1 сможет подсказать злоумышленнику, что потенциальная жертва использует операционную систему одной из версий Windows компании Microsoft, а именно Windows 7 или Windows Server 2008 R2.

Значение Win64 указывает на использование семейства 64-битных операционных систем Windows для архитектуры x86-64 (AMD64) и IA-64 (Itanium).

Такие данные критичны для тех, кто собирается начать с заброса бэкдора или использования других вредоносных компьютерных программ или утилит, а также продолжения атаки после получения несанкционированного удаленного доступа к операционной системе. При компиляции[29] вредоноса должны учитываться особенности операционной системы, Win32-программа может быть после небольших исправлений перекомпилирована в 64-битном варианте. Хотя для запуска в 64-битной операционной системе Windows 32-битных приложений имеется подсистема WoW64, расположение некоторых стандартных директорий и файлов отличается, что может негативно сказаться на результате работы программы.

Для демонстрации приведенного примера можно также посмотреть, какие данные будут содержаться в переменной $_SERVER ['HTTP_USER_AGENT'] при обращении к скрипту с использованием браузера MS Internet Explorer (рис. 2.2).

Рис. 2.2.Браузер MS Internet Explorer

Скрипт получает значение:

Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko

Мобильный браузер телефона Samsung при обращении к странице, содержащей приведенный PHP-крипт, расскажет злоумышленникам следующее:

Mozilla/5.0 (Linux; Android 7.0; SAMSUNG SM-J710F Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/5.4 Chrome/51.0.2704.106 Mobile Safari/537.36

При обращении из-под операционной системы Ubuntu функцией будет получена такая информация:

Mozilla/5/0 (compatible; Konqueror/4.5; Linux) KHTML/4.5.3 Kubuntu

Вариант отображения полученных данных при обращении пользователя из MAC OS:

Opera/9.80 (Macintosh; Intel Mac OS X 10.10.3; Edition MAS) Presto/2.12.388 Version/12.15

Таким образом, заманив пользователя на ресурс с размещенным на нем простеньким скриптом, имеется возможность определить используемую потенциальной жертвой версию браузера и операционной системы.

Естественно, для использования этой функции злоумышленники не отображают полученных от браузера значений, а записывают их в текстовый файл на сервере или отправляют на свой электронный адрес.

Определение IP-адресов атакуемого

С таким же успехом можно получить информацию об IP-адресе, посредством которого осуществлялось обращение пользователем к странице. Для этого можно использовать переменную 'REMOTE_ USER' того же массива $_SERVER:

$_SERVER['REMOTE_USER'];