it-swarm-es.com

¿La mejor forma para que un hacker oculte un archivo en Linux?

Supongamos que un pirata informático obtiene un Shell en mi host Linux y quiere ocultar un archivo. ¿Cuál es la mejor manera para que él haga esto? Puede asumir un acceso root o sin privilegios.

Mis pensamientos son

  • Use un nombre de archivo .file (bastante fácil de encontrar, por supuesto)
  • Escriba un archivo en algún directorio oscuro (¿podría ser encontrado por tripwire y similares?)
  • Agregar a un archivo de registro (para que sea menos sospechoso que el archivo esté creciendo)
  • Use algún tipo de stego (no tengo idea de cómo hacer esto)
  • Escriba en una parte sin procesar del disco (tampoco sé cómo hacer esto)

Estoy seguro de que los profesionales de la seguridad conocen los trucos más comunes.

9
Fixee

Si tengo root en un sistema y realmente quiero ocultar un archivo, la respuesta obvia es un rootkit, que puede ocultar cualquier archivo que desee de casi todas las detecciones, al conectar las lecturas del sistema de archivos, etc. Los rootkits son increíblemente difíciles de encontrar en un trabajo normal. entorno, ya que no se puede confiar en nada que informe el sistema operativo. Si tiene Tripwire en un sistema, funcionando correctamente y monitoreando todo el sistema de archivos, se debe detectar la instalación de un rootkit; sin embargo, si un atacante puede obtener root y tiene acceso a los sistemas Tripwire, entonces todas las apuestas están canceladas.

Sin embargo, lo que es mucho más probable en la práctica es que los archivos se oculten en las profundidades del sistema de archivos, tal vez debajo de. directorios para que no se muestren a un ls normal, o tal vez como archivos con nombres inocuos. Lo bueno es que más administradores de Linux parecen saber qué archivos deberían existir que los administradores de Windows, probablemente más debido al hecho de que Windows se administra normalmente a través de una interfaz gráfica de usuario, sin embargo, con un mayor uso de Powershell esto está cambiando.

Escribir archivos en una parte no utilizada de un disco puede funcionar; sin embargo, en un entorno empresarial, tiende a encontrar discos totalmente utilizados, por lo que un atacante primero necesitaría alterar una partición o encontrar alguna forma de ocultar el uso de una sección del sistema de archivos existente. . Sucede, pero no tan a menudo como cree.

La esteganografía no se usa mucho. Los ejecutables maliciosos se encuentran en archivos de apariencia inofensiva, pero generalmente como un vector, no en el almacenamiento.


En resumen, desde la perspectiva de los defensores, proteja la raíz, aplique parches con regularidad y use Tripwire o un equivalente.

12
Rory Alsop

¿No estás seguro de qué hacer con tu 'archivo'? Algunos de sus ejemplos parecen querer escribir y leer en un espacio temporal. si ya ha rooteado el cuadro, estas operaciones de archivo no son difíciles de manejar. Puede escribir en el espacio reservado de la raíz en el sistema de archivos ext, por ejemplo.

Si desea dejar un binario setuid cursi por ahí de alguna manera ofuscada, puede tirarlo debajo de un montaje del sistema de archivos para que las utilidades mundanas 'gnufind' no puedan acceder a él.

2
hpavc