Attacca l'ambiente circostante / etc / hosts /

3

Sebbene / etc / hosts / sia un file che appare molto in sicurezza, sono sorpreso di scoprire che non c'è discussione qui su questo forum che descrive come può essere usato per un attacco.

Pensandoci, mi trovo, un po 'oscuro su ciò che un attaccante può ottenere da questo.

Poche cose che posso pensare sono:

  1. Aggiungi una nuova voce dì: "127.0.0.1 google.com" per montare un DoS per impedire l'accesso a google.com
  2. Elimina il file hosts per impedire qualsiasi tipo di comunicazione di rete?

3.Spoof di un sito web "bank.com"

Esistono attacchi noti che mirano in particolare a / etc / hosts?

Quali altre possibilità ci sono?

    
posta sudhacker 04.11.2012 - 23:50
fonte

2 risposte

5

Il motivo principale per cui gli host / etc / hosts (o gli equivalenti di Windows% SYSTEMROOT% \ system32 \ drivers \ etc \ hosts) sono usati dagli aggressori è di reindirizzare il traffico degli utenti verso i siti sotto il loro controllo. È importante notare che i file host vengono utilizzati in preferenza per i server DNS, quindi anche se l'utente ha una buona voce in DNS per un sistema specifico, gli host avranno comunque la precedenza.

Riguardo a dove è stato utilizzato, i trojan bancari hanno fatto uso di attacchi ai file host per inviare efficacemente i clienti a siti bancari falsi, che sembrano utilizzare il nome host corretto (ad esempio questo uno ). Tuttavia, in generale, se l'attaccante può modificare gli host, le cose come gli attacchi MITM diventano molto più facili in quanto la vittima trasmetterà il traffico direttamente a una macchina degli attaccanti che scelgono senza alcun altro intervento.

    
risposta data 05.11.2012 - 10:20
fonte
2

Ho intenzione di scrivere questo dal punto di vista degli attaccanti.

hosts di solito è scrivibile solo da root ( -rw-r--r-- ), a quel punto hai già raggiunto l'accesso in scrittura come root e hai opzioni migliori, come aggiungere la tua chiave SSH a authorized_keys . Inoltre, e non ne sono sicuro, per gli host da applicare, è necessario riavviare il networking (il che lo rende un brutto attacco per i server, perché questi possono avere tempi di attività molto, molto lunghi). Inoltre, non dovrebbe fallire il networking, dopotutto è solo un semplice strato di fronte al meccanismo di query DNS. Di nuovo, non ne sono sicuro.

Le connessioni TLS generalmente falliscono (c'è la parodia della tua banca) e l'iniezione di pacchetti in gestori di pacchetti apt / simili non andrà a buon fine, così come quelli firmati.

Tutto sommato, è un vettore di attacco molto semplice per scopi molto semplici. Dato che hai accesso in scrittura come root quando questo attacco è possibile per te, potresti voler dirottare apt con una fonte personalizzata e farli installare un rootkit insieme ad un aggiornamento dell'immagine del kernel o qualcosa del genere.

    
risposta data 05.11.2012 - 00:14
fonte

Leggi altre domande sui tag