Всем привет, на связи holmogorov. Поскольку я не только руковожу проектами в издательстве «БХВ», но еще тружусь ведущим редактором журнала «Хакер», с этими самыми хакерами мне по долгу службы приходится общаться регулярно. Надо сказать, что люди это очень увлеченные и талантливые, однако убедить их поделиться своими сокровенными знаниями с широкой общественностью — задачка посложнее, чем отправить пилотируемую экспедицию на Марс. Всегда найдется тысяча отговорок, почему написать что-то о практических приемах проведения сетевых атак и защите от них в ближайшее столетие не получится. Однако при должном упорстве небольшие шансы все-таки есть: спустя примерно полтора года долгих уговоров, изощренных пыток и шантажа я все-таки уломал нашего постоянного автора MichelleVermishelle (Миш, привет!) написать книгу «Windows глазами хакера», которая буквально на прошлой неделе вышла в издательстве «БХВ». И книжка получилась по-настоящему уникальная. На полном серьёзе. Я не шучу. В чем же её исключительность (ну, кроме того, что вместо обычной для этой серии туалетной газетной бумаги мы взяли более качественную офсетную?). А вот сейчас расскажу.

На самом деле, серия «Глазами хакера» существует в «БХВ» уже очень давно: её когда-то открыл еще один бывший автор «ксакепа», широко известный в узких кругах Михаил Флёнов. Как известно, бутерброд с колбасой имеет две стороны, и какой из них его правильнее есть — вопрос дискуссионный, уже ни одно десятилетие занимающий умы ведущих мировых философов. Вот та же самая фигня — с информационной безопасностью: чаще всего издания рассматривают ее с точки зрения защиты серверов и сетевого периметра, а о существовании атакующей стороны как-то деликатно забывают. Оно и неудивительно: Red Team используют практические приемы реальных злоумышленников, и детальное описание этих приемов может повлиять на неокрепшие умы юных джедаев, тяготеющих к Тёмной Стороне Силы. Вместе с тем, не имея реального представления, как действуют «в боевой обстановке» настоящие хакеры, невозможно выстроить эффективную и грамотную защиту, способную противодействовать таким угрозам. В этой серии книг мы старались показать информационную безопасность с обеих сторон: и с точки зрения пентестеров, пытающихся пробить выстроенный в целях безопасности контур, и с позиции защищающейся стороны — как обезопасить потенциально уязвимые места, вовремя выявить опасность и сделать инфраструктуру еще более надежной.

Михаил Жмайло, который на "Хабре" известен под ником MichelleVermishelle, в этом отношении оказался настоящим кладезем ценнейших практических знаний. Он — опытный пентестер, докладчик на многочисленных конференциях по информационной безопасности, а еще создатель более десяти инструментов для атак на Windows (в разделе книги «об авторе» наша корректор попыталась исправить это на «…для предотвращения атак на Windows», но я вовремя дал ей по рукам: именно для атак,  ma chérie). В общем, Миша на самом деле знает, как именно видят Windows настоящие хакеры, и учит в своей книге использовать эти знания на практике — как для атак, так и для защиты. Тем она и ценна.

Книга «Windows глазами хакера» разделена на три большие части, и вместе они дают редкую возможность увидеть систему под тем углом, под которым её рассматривают злоумышленники, действительно знающие, каким образом Windows реагирует на эксплуатацию ошибок конфигурации и нестандартные сценарии атак. Первая часть посвящена Active Directory и тем механизмам доверия, от которых зависит работа корпоративных сетей. Автор подробно показывает, как устроены отношения между доменами и лесами, как формируются ключи, как работает делегирование, какие признаки указывают на неправильно выстроенные связи и как эти связи используются при пентесте. Читатель наблюдает не абстрактное описание, а реальные примеры: обнаружение уязвимостей, эксплуатацию проблемных политик, атаки на RODC и методы получения доступов, на которые админы часто не обращают внимания: «ну кто же вообще будет это атаковать». Спойлер: будут! Книга рассказывает, как небольшая неточность в настройках превращается в удобную для хакера точку входа.

Вторая часть переключает внимание с сетевой структуры на внутренние механизмы самой системы. Михаил показывает, как функционируют токены, каким образом процессы наследуют привилегии и почему WinAPI — это только верхний слой, а под ним у Windows спрятан «богатый внутренний мир». В этой части постепенно и очень детально разбираются Kerberos, LSA, механизмы имперсонации, работа пайпов, особенности взаимодействия процессов, ключевые элементы безопасности вроде Credential Providers и Password Filters. Здесь можно проследить путь от получения доступа к токену до полноценного выполнения кода с нужными правами, увидеть, как крадутся билеты, как создаются собственные инструменты для работы с WinAPI и Native API, и почему подмена отдельных вызовов даёт такие серьёзные последствия. Эта часть ценна тем, что автор не ограничивается описанием готовых инструментов, а объясняет сам принцип их работы, что позволяет не только использовать существующие решения, но и создавать собственные. Это уже чистый техно-трип для тех, кто хочет не просто использовать чужие утилиты, а понимать Windows на уровне системных интерфейсов и внутренних API. Читается эта часть как остросюжетный детектив, рассказанный инсайдером, который точно знает, в каких шкафах винда прячет все свои  скелеты.

Третья часть демонстрирует, насколько гибкой и уязвимой может быть защитная инфраструктура Windows. Здесь рассматриваются методы обхода штатных средств защиты, снятие перехватов разными способами, изучение слабых мест AMSI, эксплуатация особенностей процесса загрузки DLL, обход механизмов контроля подгрузки, подмена функций, анализ поведения WinSxS и использование возможностей COM для действий внутри чужих сессий. Читатель наблюдает не только сам обход системных средств защиты Windows, но и внутренние предпосылки, из-за которых он возможен: особенности структуры процессов, архитектуру загрузчика, логику проверки прав и способы взаимодействия компонентов системы. Это превращает перечисленные техники в не просто набор примеров, а исчерпывающее руководство по тому, где именно Windows оставляет хакеру пространство для манёвра. После прочтения этих глав становится очевидно, что любая защита — это всегда компромисс, и что для любого механизма проверки можно подобрать противоядие.

В итоге у Михаила получилось уникальное практическое руководство, написанного человеком, который не просто умеет атаковать Windows, но и объясняет принципы этих атак максимально подробно и последовательно. Для специалистов по безопасности это возможность фактически «залезть в голову» опытному Red Team'еру. Для разработчиков — шанс увидеть систему такой, какой её видят люди, которые регулярно ищут и находят в ней лазейки.

А теперь, наверное, самое важное во всей этой истории. В следующем году "Минцифры" планирует принять поправки  в Федеральный закон № 149-ФЗ, запрещающие распространение любой информации, связанной с описанием уязвимостей, PoC, эксплоитов: открытое письмо по этому поводу уже публиковал основатель «Хакера» Дима Агарунов. Очевидно, что учитывая её содержание, книга «Windows глазами хакера» имеет все шансы попасть под этот запрет. Поэтому сейчас у вас есть возможность заказать эту книгу непосредственно у издателя — пока ее не запретили, и пока покупать её законно.

Ну, а мы постараемся выпускать практические книги по информационной безопасности, которые помогают разбираться в устройстве систем без мифов и упрощений. Такие материалы нужны  чтобы у тех, кто отвечает за инфраструктуру, было больше полезных инструментов и знаний. Если читатели будут понимать, как проводятся реальные атаки и почему защита иногда даёт сбой, сети станут хоть немного, но надёжнее.