Ataques contra software HIDS ejecutándose en la misma máquina

Question

Ataques contra software HIDS ejecutándose en la misma máquina

#1 de this.josh (1 votos)

4

Estoy interesado en los ataques que podrían usarse para comprometer o deshabilitar el software HIDS como Tripwire o Samhain. Entiendo que lo ideal es que las comprobaciones se ejecuten periódicamente y que la base de datos se almacene en una máquina o medio externo, pero digamos que no es así y que todo está en una sola máquina.

En primer lugar, estos programas serían necesariamente detectados ¿verdad? A través de los scripts Cron o RC, o incluso como un proceso en ejecución ... ¿o toman medidas para ocultarse y ocultarse?

Si se ocultan, ¿qué pasos podría tomar un atacante para detectarlos?

Digamos que un atacante logra terminar el proceso ... ¿reportarán esto? ¿Puede un atacante simplemente terminar y luego reiniciar el proceso sin que esto quede reflejado en los registros?

¿Qué pasa con las notificaciones ... se puede evitar que envíen notificaciones?

Creo que HIDS es una tecnología muy interesante y útil, pero como con todo lo que sé, no se puede confiar únicamente en él, así que estoy interesado en los tipos de ataques contra estos sistemas. Si alguien conoce otras fuentes de información, yo también lo apreciaría.

operating-systems attacks ids

pregunta Sonny Ordell 02.06.2011 - 05:55

fuente

1 respuesta

Lea otras preguntas en las etiquetas operating-systems attacks ids

firewall con riesgos de análisis de malware basado en la nube Explotación de servicios web / axis / services / AdminService? Method = AdminService

score 1 · Accepted Answer

¿El malware detectaría el uso de Tripwire en un sistema?

Si bien un sistema asegurado adecuadamente dificultaría la detección de medidas de seguridad del sistema como Tripwire, creo que una pieza sofisticada de malware podría detectar la presencia de Tripwire u otro HIDS. Un programa como Tripwire no está necesariamente oculto, pero está protegido por controles de acceso del sistema operativo. Por ejemplo, eliminar otros permisos de lectura en el directorio / usr / local / tripwire no es tanto ocultar como proteger.

¿HIDS [ellos] toman medidas para esconderse y ocultarse?

Tripwire, excluyendo cómo un administrador lo configura en un sistema, no intenta ocultarse de la detección por malware. Tripwire encripta y autentica sus archivos de configuración y bases de datos. Una vez más, describiría esto como protección en lugar de esconderse.

¿Qué pasos podría tomar un atacante para detectarlos?

Depende del sistema y de las vulnerabilidades que tenga. Los ataques pueden ser muy ingeniosos y hacer cualquier cosa, desde explotar funciones específicas de la biblioteca, hasta usar canales de señalización no intencionados. Por ejemplo, un atacante desarrolló un método para determinar los caracteres de una contraseña mediante la supervisión de fallas de página .

"Digamos que un atacante logra terminar el proceso HIDS ... ¿informarán esto?"

Dependiendo de cómo se terminó el proceso, un HIDS puede o no registrar explícitamente la terminación inesperada. Sin embargo, un sistema configurado correctamente debe registrar explícitamente la terminación inesperada de un programa de seguridad. Incluso si el sistema no registraba explícitamente la terminación inesperada, el hecho sería fácilmente detectable por evidencia como un informe de auditoría faltante o incompleto.

"¿Puede un atacante simplemente terminar y luego reiniciar el proceso sin que esto quede reflejado en los registros?"

Si el sistema está configurado correctamente, generalmente no. Si el sistema mantuvo todos sus datos de auditoría y registro localmente, el atacante era sofisticado y el atacante realizó un compromiso de acceso completo, entonces sí, el atacante podría modificar los registros de HIDS para mostrar el funcionamiento normal.

"¿Qué pasa con las notificaciones ... se puede evitar que envíen notificaciones?"

Una vez más, depende del sistema, de cómo se construye su seguridad y de la sofisticación del atacante. Un HIDS puede configurarse para enviar correos electrónicos u otros tipos de notificaciones, y el sistema puede configurarse para proteger esas notificaciones.