Impact De Manipulation De Grain


  Share  
|

Que se produit si un certain mauvais type commence à manoeuvrer le grain lui-même ? Puisque le grain est tout au sujet de commande, par la modification le grain, un attaquant peut changer le système d'une manière fondamentale. Pour appliquer des changements au grain, l'attaquant exige d'abord des privilèges de super-utilisateur sur la machine. Pour manoeuvrer le grain, l'accès de racine-niveau est nécessaire sur des machines d'UNIX, et l'accès d'administrateur ou de système est exigé sur des systèmes de Windows. Une fois qu'installé, un grain-mode RootKit remplace ou modifie des composants du grain. Ces changements pourraient faire tout sur le système sembler courir parfaitement bien, mais le logiciel d'exploitation est vraiment putréfié au noyau. L'attaquant peut changer le grain de sorte qu'il se trouve au sujet du statut de la machine.

Par exemple, l'administrateur pourrait courir une commande regardant pour voir si des processus secrets fonctionnent. Cette commande appelle le grain pour obtenir une liste de processus courants. Alternativement, un administrateur pourrait courir un contrôleur d'intégrité de dossier pour voir si quelques dossiers critiques sur la machine ont été changés. Le grain trompeur indique à l'administrateur qu'aucun dossier n'a été changé ; tout semble merveilleux.

En utilisant la manipulation de grain, les attaquants peuvent changer le grain de sorte qu'il cache complètement les activités de l'attaquant sur la machine. La plupart de grain-mode RootKits incluent les types suivants de subterfuge :

  • Se cacher de dossier et d'annuaire. La plupart des dossiers et annuaires de peau de RootKits de grain-mode des utilisateurs et des interfaces gestionnaire. Quand un dossier est caché, le grain mentira à n'importe quel programme qui vient recherchant le dossier.

  • Se cacher de processus. En cachant un processus en utilisant un grain-mode RootKit, l'attaquant peut créer un secret invisible qui ne peut pas être découvert utilisant les outils de processus d'analyse.

  • Se cacher de port de réseau. Par les ports d'écoute se cachants de TCP et de UDP de sorte que les programmes locaux ne puissent pas les voir, le mauvais type secret est encore stealthier.

  • Se cacher promiscueux de mode. L'attaquant ne veut pas que un administrateur détecte un renifleur courir sur la boîte en mode promiscueux, ainsi la plupart de mensonge de RootKits de grain-mode au sujet du statut promiscueux de l'interface de réseau.

  • Redirection d'exécution. Avec ce dispositif des beaucoup de le grain-mode RootKits, quand un utilisateur ou un administrateur exécute un programme, le grain feint pour exécuter le programme demandé. Cependant, le grain substitue vraiment un programme différent dans une manoeuvre d'amorce-et-commutateur. Les utilisateurs et les interfaces gestionnaire pensent qu'ils exécutent un programme, mais exécutent vraiment un autre programme du choix de l'attaquant. Par exemple, au lieu de compter sur des techniques de RootKit d'utilisateur-mode pour remplacer le démon bloqué de coquille (sshd) sur une machine de victime, avec un grain-mode RootKit, un attaquant peut juste réorienter l'exécution du sshd exécutable à une autre version avec un secret. L'administrateur peut même vérifier l'intégrité du dossier de sshd. Cependant, le dossier regardera complètement intact, parce qu'il est intact. Cependant, quand un utilisateur ou un administrateur essaye d'exécuter le dossier de sshd en entrant à distance, la version secrète sera exécutée, donnant au mauvais type l'accès à distance à la machine de victime.

  • Interception et commande de dispositif. En utilisant un grain-mode RootKit, un attaquant peut arrêter ou manoeuvrer des données envoyées à ou de n'importe quel dispositif câblé sur la machine. Par exemple, un mauvais type pourrait modifier le grain pour enregistrer toutes les frappes dactylographié dans le système dans un dossier local sur la machine, mettant en application de ce fait un enregistreur très furtif de frappe. Alternativement, les attaquants ont mis en application les changements de grain qui les laissent remarquer sur les sessions terminales des utilisateurs (téléscripteurs), observant et égaliser injecter des frappes, comme les réponses produites par le système.

Pensez à ceci du point de vue de l'attaquant. Avec un utilisateur-mode RootKit, l'attaquant doit se casser en boîte et modifier un groupe de programmes pour cacher et mettre en application un secret. Sur un système d'UNIX, l'attaquant pourrait se casser dedans, commence vers le haut un auditeur secret de coquille, et utilise alors un outil comme URK pour remplacer la picoseconde, le LS, le netstat, et plusieurs autres commandes. L'attaquant alors doit courir la routine de difficulté pour placer les dates de modification et les longueurs de dossier de ces commandes aux valeurs appropriées. Puis, la servitude continue pendant que l'attaquant configure les divers composants et backdoors se cachants d'URK. Après que tout ce travail fatigant, l'attaquant doive encore s'inquiéter d'un interface gestionnaire soupçonneux révélant avec un CD-ROM plein des binaries statiquement liés, tels que les outils statiques de Stearns de facture pour Linux à www.stearns.org/staticiso, qui ne se trouvera pas au sujet de l'état de système. Ces l'utilisateur-mode RootKits sont beaucoup de travail, et ne sont pas très furtif si les administrateurs apportent leurs propres programmes sur un CD.

Cependant, avec un grain-mode RootKit, l'équation entière change en faveur de l'attaquant. Au lieu de modifier un groupe de différents programmes, l'attaquant modifie le grain fondamental ce ces programmes que tout compte dessus. Pour cacher un dossier, le mauvais type ne changera pas le LS, la trouvaille, le du, et d'autres commandes. Au lieu de cela, l'attaquant modifie juste le grain de sorte qu'il mente à n'importe quelle commande particulière ou le programme fonctionnent par l'administrateur recherchant ce dossier. De cette façon, le grain-mode RootKits sont plus efficace bien pour l'attaquant.

Avec un grain-mode RootKit, les morphs d'attaquant le système de sorte que les administrateurs et les utilisateurs soient dans une prison, mais ne la réalisent pas même. Vous pourriez penser que vous exécutez certains programmes ou regardez le statut de votre machine, mais vous ne savez pas que vous regardez une imagination inventée par l'attaquant et mise en application avec un grain-mode RootKit. Ce que vous voyez n'est pas vraiment votre logiciel d'exploitation, mais seulement un monde rêveur conçu pour vous cacher de la vérité : la vérité que votre logiciel d'exploitation est vraiment complètement possédé par l'attaquant. Sans se rendre égal compte de votre prison, vous continuez à gaiement vivre votre vie, contrôlant votre système, et inconsciemment laissant les attaquants commander tout.

Avez-vous jamais vu le film Matrix ? Si vous n'avez pas, je ferai attention à ne donner loin aucun spoiler pour ces quelques âmes qui n'ont pas encore vu le film ou ses suites. Pour ceux qui l'ont vu, le film fournit quelques excellentes illustrations que l'aide rendent les idées derrière le grain-mode RootKits plus concrètes. Vous savez, certains ont comparé Matrix à l'essai final de Rorschach. Regarder dans et l'interprétation de la signification de l'inkblot qui est Matrix vraiment indique votre propres philosophie et worldview. Quelques ventilateurs pensent que le film est au sujet de bouddhisme, de christianisme, de Gnosticism, d'hindouisme, d'Islam, ou de judaïsme. D'autres pensent que c'est une grande chiquenaude au sujet des arts martiaux ou des armes à feu. Mais je suis ici pour vous dire au sujet de ce qu'est Matrix vraiment tout : grain-mode RootKits.

Dans le film, quelques jolis êtres mauvais manoeuvrent leurs victimes de sorte qu'ils soient câblés dans une simulation virtuelle de réalité qui ressemble au vrai monde. Leurs cerveaux étant câblé dans Matrix, les victimes croient qu'elles sont les vies normales vivantes, payant leurs impôts, allant à l'église, et sortant les ordures de leurs propriétaires. Cependant, les victimes se situent vraiment dans des cosses complètement de goo rose, complètement ignorant de leurs vraies circonstances physiques. L'image virtuelle de réalité de leurs vies est simplement un mirage, conçu pour asservir les victimes de sorte que les êtres mauvais aient pu employer leurs ressources. Avec un grain-mode RootKit, vous pensez que vous regardez votre vrai système, mais les attaquants ont changé le grain de sorte qu'ils puissent employer vos ressources de système sans votre connaissance. Vous ne pourriez pas la réaliser, mais, avec un grain-mode RootKit, votre ordinateur vit un mensonge. Votre ordinateur est Matrix attaquant-commandé et vous êtes unknowingly emprisonné à l'intérieur.

Maintenez dans l'esprit que pour chacune des concepts et des attaques nous discutons pour Linux et Windows, des idées analogues s'appliquent à d'autres logiciels d'exploitation. Etant donné les différences dans les réalisations de grain de diverses variantes d'UNIX, nous devons sélectionner un spécimen du monde d'UNIX pour analyser en plus détail. Nous nous concentrerons sur Linux en tant qu'un des représentants les plus communs d'UNIX et UNIX-comme les logiciels d'exploitation. En plus de Linux, nous regarderons le grain de Windows en raison de son déploiement répandu et la popularité comme cible pour le grain-mode RootKits. Cependant, maintenez dans l'esprit que des concepts semblables de RootKit de grain-mode ont été mis en application pour d'autres logiciels d'exploitation, y compris Solaris FreeBSD et d'autres. En analysant les détails des attaques de grain sur Linux et Windows, nous pouvons non seulement comprendre comment ils fonctionnent en détail sur les plateformes les plus populaires, mais obtenons également une vue à niveau élevé des techniques semblables qui sont employées contre d'autres systèmes.

c'est un article supplémentaire par Rafaël Kwan


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions