Attacca contro il software HIDS in esecuzione sulla stessa macchina

Question

Attacca contro il software HIDS in esecuzione sulla stessa macchina

#1 da (1 voti)

4

Sono interessato agli attacchi che potrebbero essere utilizzati per compromettere o disabilitare software HIDS come Tripwire o Samhain. Capisco che idealmente i controlli dovrebbero essere eseguiti periodicamente e il database memorizzato su una macchina o un supporto esterno, ma diciamo che non è il caso, e tutto è solo su una macchina.

In primo luogo questi programmi verrebbero necessariamente rilevati correttamente? Attraverso gli script di Cron o RC o anche solo come un processo in esecuzione ... o prendono provvedimenti per nascondersi e oscurarsi?

Se si nascondono da soli, quali passi può intraprendere un attaccante per rilevarli?

Diciamo che un intruso riesca a terminare il processo ... lo segnaleranno? Un utente malintenzionato può solo terminare e quindi riavviare il processo senza che ciò si rifletta nei log?

Per quanto riguarda le notifiche ... è possibile impedire loro di inviare notifiche?

Penso che HIDS sia una tecnologia molto interessante e utile, ma come con qualsiasi cosa io sappia non si può fare affidamento solo su, quindi sono interessato ai tipi di attacchi contro questi sistemi. Se qualcuno conosce altre fonti di informazione, lo apprezzerei anche.

operating-systems attacks ids

posta Sonny Ordell 02.06.2011 - 05:55

fonte

1 risposta

Leggi altre domande sui tag operating-systems attacks ids

Alla ricerca di una tassonomia di anonimizzazione o di re-identificazione delle proprietà Problemi con il protocollo SSL su OS X e iOS

score 1 · Accepted Answer

L'uso di Tripwire su un sistema verrebbe rilevato dal malware?

Mentre un sistema adeguatamente protetto renderebbe difficile il rilevamento di misure di sicurezza del sistema come Tripwire, credo che un sofisticato malware possa rilevare la presenza di Tripwire o di un altro HIDS. Un programma come Tripwire non è necessariamente nascosto, ma è protetto dai controlli di accesso del sistema operativo. Ad esempio, la rimozione di altri permessi di lettura nella directory / usr / local / tripwire non è tanto da nascondere quanto da protezione.

I HIDS [loro] prendono provvedimenti per nascondersi e nascondersi?

Tripwire stesso, escluso il modo in cui un amministratore lo imposta su un sistema, non tenta di nascondersi dal rilevamento di malware. Tripwire crittografa e autentica i suoi file di configurazione e di database. Ancora una volta descriverò questa come protezione invece di nascondere.

Quali passi può intraprendere un aggressore per rilevarli?

Dipende dal sistema e da quali vulnerabilità ha. Gli attacchi possono essere molto fantasiosi e fare qualsiasi cosa, dallo sfruttamento di specifiche funzioni di libreria, all'utilizzo di canali di segnalazione indesiderati. Ad esempio, un utente malintenzionato ha sviluppato un metodo di che determina i caratteri in una password monitorando gli errori di pagina .

"Diciamo che un intruso riesca a terminare il processo HIDS ... lo segnaleranno?"

A seconda di come è terminato il processo, un HIDS può o meno registrare esplicitamente la chiusura imprevista. Tuttavia, un sistema correttamente configurato dovrebbe registrare esplicitamente la chiusura imprevista di un programma di sicurezza. Anche se il sistema non ha registrato esplicitamente la chiusura imprevista, il fatto sarebbe facilmente individuabile con prove come un rapporto di verifica mancante o incompleto.

"Un utente malintenzionato può solo terminare e quindi riavviare il processo senza che ciò si rifletta nei log?"

Se il sistema è configurato correttamente, di solito no. Se il sistema manteneva tutti i dati di controllo e di registrazione localmente, l'aggressore era sofisticato e l'attaccante ha effettuato un compromesso di accesso completo, quindi sì l'attaccante poteva modificare i log HIDS per mostrare il normale funzionamento.

"Per quanto riguarda le notifiche ... è possibile impedire loro di inviare notifiche?"

Di nuovo dipende dal sistema, dalla sua sicurezza e dalla sofisticazione dell'attaccante. Un HIDS può essere configurato per inviare e-mail o altri tipi di notifiche e il sistema può essere configurato per proteggere tali notifiche.