Si tengo root en un sistema y realmente quiero ocultar un archivo, la respuesta obvia es un rootkit, que puede ocultar cualquier archivo que quiera de casi todas las detecciones, conectando lecturas del sistema de archivos, etc. Los rootkits son increíblemente difíciles de encontrar Un entorno de trabajo normal, ya que no se puede confiar en nada de lo que informa el sistema operativo. Si tiene Tripwire en un sistema, funciona correctamente y monitorea todo el sistema de archivos, debe detectarse la instalación de un rootkit. Sin embargo, si un atacante puede obtener root y tiene acceso a los sistemas Tripwire, todas las apuestas están desactivadas.
Lo que es mucho más probable en la práctica, sin embargo, es que los archivos se oculten en las profundidades del sistema de archivos, quizás debajo. directorios para que no se muestren a un ls normal, o tal vez como archivos con nombres inocuos. Lo bueno es que más administradores de Linux parecen saber qué archivos deberían existir que los administradores de Windows, probablemente más por el hecho de que las ventanas se administran normalmente a través de una interfaz gráfica de usuario, sin embargo, con un mayor uso de Powershell esto está cambiando.
La escritura de archivos en una parte no utilizada de un disco puede funcionar, sin embargo, en un entorno empresarial, tiende a encontrar discos totalmente utilizados, por lo que un atacante primero tendría que alterar una partición o encontrar alguna forma de ocultar el uso de una sección. del sistema de archivos existente. Sucede, pero no tan a menudo como puedes pensar.
La esteganografía no se usa mucho. Los ejecutables maliciosos se encuentran en archivos de apariencia inocua, pero generalmente como un vector, no en el almacenamiento.
En resumen, desde la perspectiva de los defensores, proteja la raíz, aplique parches regularmente y use Tripwire o un equivalente.