Domanda:
Il modo migliore per un hacker per nascondere un file su Linux?
Fixee
2011-02-19 04:13:43 UTC
view on stackexchange narkive permalink

Supponiamo che un hacker ottenga una shell sul mio host Linux e voglia nascondere un file. Qual è il modo migliore per farlo? Puoi presumere un accesso non privilegiato o root.

I miei pensieri sono

  • Usa un nome file .file (abbastanza facile da trovare ovviamente)
  • Scrivi un file in qualche directory oscura (potrebbe essere trovato da tripwire e simili?)
  • Aggiungi a un file di registro (in modo che sia meno sospetto che il file stia crescendo)
  • Usa alcuni tipo di stego (non ho idea di come farlo)
  • Scrivi su una parte grezza del disco (non so neanche come farlo)

Sono sicuro che i professionisti della sicurezza conoscono i trucchi comuni ?!

Qual è l'attacco di cui sei preoccupato qui? Mi aspetto che la maggior parte degli utenti e degli amministratori di sistema difficilmente trascorra il proprio tempo assicurandosi di conoscere tutti i file sui propri filesystem. Sprecare spazio è un problema comune, ma non il genere di cose su cui gli hacker tendono a concentrarsi. Malware, virus ecc.Sono una minaccia più specifica e ci sono considerazioni più specifiche per trovare e nascondere tali cose.
@nealcmb - Al contrario, in alcuni ambienti conoscere tutti i file su un file system è un requisito del piano di sicurezza. Questo è il motivo per cui sono disponibili utilità per il monitoraggio dell'integrità dei file e per l'aggregazione dei log e gli avvisi. Tuttavia, la mia preoccupazione con questa domanda è che sembra più concentrata su "come attaccare" quando questo tipo di argomento sarebbe discusso in modo più appropriato come "come difendersi" qui.
Perché nascondersi? Rendi il file immutabile e guarda il super utente agitarsi :)
Due risposte:
Rory Alsop
2011-02-19 06:31:59 UTC
view on stackexchange narkive permalink

Se ho il root su un sistema e voglio davvero nascondere un file, la risposta ovvia è un rootkit, che può nascondere tutti i file che voglio da quasi tutti i rilevamenti, agganciando le letture del filesystem ecc. I rootkit sono incredibilmente difficili da trovare in un normale ambiente di lavoro, poiché non puoi fidarti di nulla che il sistema operativo segnala. Se hai Tripwire su un sistema, che funziona correttamente e monitora l'intero filesystem, l'installazione di un rootkit dovrebbe essere rilevata, tuttavia se un utente malintenzionato può ottenere il root e ha accesso ai sistemi Tripwire, tutte le scommesse sono annullate.

Ciò che è molto più probabile in pratica, tuttavia, è che i file siano nascosti nelle profondità del filesystem, forse sotto. directory in modo che non vengano mostrate a un normale ls, o forse come file dal nome innocuo. La cosa buona è che più amministratori di Linux sembrano sapere quali file dovrebbero esistere rispetto agli amministratori di Windows, probabilmente più dovuto al fatto che Windows è gestito tipicamente tramite una GUI, tuttavia con un maggiore utilizzo di Powershell questo sta cambiando.

Scrivere file su una parte inutilizzata di un disco può funzionare, tuttavia in un ambiente aziendale si tende a trovare i dischi completamente utilizzati, quindi un utente malintenzionato dovrebbe prima alterare una partizione o trovare un modo per nascondere l'uso di una sezione di esistente filesystem. Succede, ma non così spesso come potresti pensare.

La steganografia non è molto usata. Gli eseguibili dannosi si trovano in file dall'aspetto innocuo, ma di solito come un vettore, non nell'archivio.

In sintesi, dal punto di vista dei difensori, proteggi root, applica regolarmente patch e usa Tripwire o un equivalente.

La migliore protezione contro un rootkit su * nix è un singolo kernel monolitico senza supporto per i moduli e verifica del checksum all'avvio da un supporto di sola lettura.
@aking1012: è certamente una forma di protezione ed è appropriato in alcuni ambienti. Purtroppo non è appropriato per alcune aziende che sarebbe molto meglio utilizzarlo.
Proteggi root _e la console_. Non lasciare che le persone con accesso fisico rovinino il tuo divertimento.
hpavc
2011-02-24 19:03:46 UTC
view on stackexchange narkive permalink

Non sei sicuro di cosa fare con il tuo "file"? Alcuni dei tuoi esempi sembrano solo che tu voglia scrivere e leggere in uno spazio di lavoro. se hai già effettuato il root della scatola, queste operazioni sui file non sono difficili da gestire. Ad esempio, puoi scrivere nello spazio riservato di root nel filesystem ext.

Se vuoi lasciare un binario setuid scadente in giro in qualche modo offuscato, potresti lanciarlo sotto un montaggio del filesystem in modo che banale ' Le utilità di gnufind "non sono riuscite ad accedervi.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...