Il modo migliore per un hacker di nascondere un file su Linux?

9

Supponiamo che un hacker ottenga una shell sul mio host Linux e desideri nascondere un file. Qual è il modo migliore per farlo? Puoi assumere un accesso privilegiato o root.

I miei pensieri sono

  • Usa un nomefile .file (abbastanza facile da trovare, ovviamente)
  • Scrivi un file in una directory oscura (potrebbe essere trovato da tripwire e simili?)
  • Aggiungi a un file di registro (in modo che sia meno sospetto che il file stia crescendo)
  • Usa un qualche tipo di stego (non ho idea di come farlo)
  • Scrivi su una parte non elaborata del disco (non so come fare neanche questo)

Sono sicuro che i professionisti della sicurezza conoscono i trucchi comuni ?!

    
posta Fixee 18.02.2011 - 23:13
fonte

2 risposte

12

Se ho root su un sistema e voglio davvero nascondere un file, la risposta ovvia è un rootkit, che può nascondere tutti i file che voglio da quasi tutti i rilevamenti, agganciando le letture del file system ecc. I rootkit sono incredibilmente difficili da trovare in un normale ambiente di lavoro, in quanto non ti puoi fidare di nulla che il sistema operativo segnala. Se si dispone di Tripwire su un sistema, funziona correttamente e si monitora l'intero filesystem, l'installazione di un rootkit deve essere rilevata, tuttavia se un utente malintenzionato può effettuare il root e accedere ai sistemi Tripwire, tutte le scommesse sono disattivate.

Ciò che è molto più probabile nella pratica, tuttavia, è che i file siano nascosti nelle profondità del filesystem, forse sotto. directory in modo che non mostrino un normale ls, o forse come file di nome innocuo. La cosa buona è che più amministratori di Linux sembrano sapere quali file dovrebbero esistere rispetto agli amministratori di Windows, probabilmente più giù del fatto che Windows è gestito normalmente attraverso una GUI, tuttavia con un maggiore uso di Powershell questo sta cambiando.

È possibile scrivere file su una porzione inutilizzata di un disco, tuttavia in un ambiente aziendale si tende a trovare i dischi completamente utilizzati, quindi un utente malintenzionato dovrebbe prima modificare una partizione o trovare un modo per nascondere l'uso di una sezione del filesystem esistente. Succede, ma non tutte le volte che puoi pensare.

La steganografia non è usata molto. Gli eseguibili malevoli si trovano in file dall'aspetto innocuo, ma solitamente come vettore, non in archivio.

In sintesi, dal punto di vista dei difensori, proteggere root, patch regolarmente e utilizzare Tripwire o un equivalente.

    
risposta data 19.02.2011 - 01:31
fonte
2

Non sei sicuro di cosa hai intenzione di fare con il tuo 'file'? Alcuni dei tuoi esempi sembrano proprio come vuoi scrivere e leggere su qualche graffio. se hai già rootato la scatola queste operazioni sui file non sono difficili da gestire. Ad esempio, puoi scrivere nello spazio riservato di root nel filesystem ext.

Se vuoi lasciare un file binario di setuid in giro in modo offuscato, puoi lanciarlo sotto un mount del filesystem in modo che le banali utility "gnufind" non possano raggiungerlo.

    
risposta data 24.02.2011 - 14:03
fonte

Leggi altre domande sui tag