Ataques alrededor de / etc / hosts /

Navega tus respuestas
3

Aunque / etc / hosts / es un archivo que aparece mucho en seguridad, me sorprende que no haya ninguna discusión aquí en este foro que describa cómo se puede usar para un ataque.

Pensando en ello, me encuentro, un poco confuso sobre lo que un atacante puede lograr con esto.

Pocas cosas en las que puedo pensar son:

  1. Agregue una nueva entrada que diga: "127.0.0.1 google.com" para montar un DoS para evitar el acceso a google.com
  2. ¿Eliminar el archivo de hosts para evitar cualquier tipo de comunicación de red?

3.Spoof de un sitio web "bank.com"

¿Hay algún ataque conocido que apunte particularmente a / etc / hosts?

¿Qué otras posibilidades hay?

    
pregunta sudhacker 04.11.2012 - 23:50
fuente

2 respuestas

5

La razón principal por la que los atacantes usan / etc / hosts (o el equivalente en Windows% SYSTEMROOT% \ system32 \ drivers \ etc \ hosts) es redirigir el tráfico de usuarios a los sitios bajo su control. Es importante tener en cuenta que los archivos de hosts se utilizan con preferencia a los servidores DNS, por lo que incluso si el usuario tiene una buena entrada en DNS para un sistema específico, los hosts seguirán teniendo prioridad.

En términos de dónde se ha utilizado esto, los troyanos bancarios han utilizado ataques a archivos de hosts para enviar efectivamente a los clientes a sitios bancarios falsos, que parecen usar el nombre de host correcto (por ejemplo, this ). Sin embargo, en general, si el atacante puede modificar hosts, las cosas como los ataques MITM se vuelven mucho más fáciles, ya que la víctima transmitirá el tráfico directamente a la máquina de los atacantes que elija sin ninguna otra intervención.

    
respondido por el Rоry McCune 05.11.2012 - 10:20
fuente
2

Voy a escribir esto desde la perspectiva de los atacantes.

hosts generalmente solo se puede escribir por root ( -rw-r--r-- ), momento en el que ya obtuvo acceso de escritura como root y tiene mejores opciones, como agregar su clave SSH a authorized_keys . Además, y no estoy seguro de esto, para que los hosts se apliquen, debe reiniciar la red (lo que lo convierte en un mal ataque para los servidores, ya que pueden tener tiempos de disponibilidad muy, muy largos). Tampoco debería hacer que la red falle, después de todo, es solo una capa simple frente al mecanismo de consulta de DNS. Una vez más, no estoy seguro de esto.

Las conexiones TLS por lo general fallarán (ahí va su parodia de bank.com) y la inyección de paquetes en los administradores de paquetes apt / similares también fallará, ya que también están firmadas.

En general, es un vector de ataque muy simple para propósitos muy simples. Dado que tiene acceso de escritura como root cuando este ataque es posible para usted, es posible que desee secuestrar apt con una fuente personalizada y hacer que instalen un rootkit junto con una actualización de la imagen del kernel o algo parecido.

    
respondido por el Gant 05.11.2012 - 00:14
fuente

Lea otras preguntas en las etiquetas

¿Se necesita SSL en un sitio local? Acceso físico: ¿está dentro del alcance para las pruebas de penetración o no?