¿La mejor manera para que un hacker oculte un archivo en Linux?

9

Supongamos que un hacker obtiene un shell en mi host Linux y quiere ocultar un archivo. ¿Cuál es la mejor manera para que él haga esto? Puede asumir un acceso no privilegiado o de root.

Mis pensamientos son

  • Use un archivo .archivo (es bastante fácil encontrarlos, por supuesto)
  • Escriba un archivo en algún directorio oscuro (¿podría encontrarlo por tripwire y similares?)
  • Agregar a un archivo de registro (para que sea menos sospechoso que el archivo esté creciendo)
  • Use algún tipo de stego (no tengo idea de cómo hacerlo)
  • Escribir en una parte sin procesar del disco (tampoco sé cómo hacerlo)

¡Estoy seguro de que los profesionales de seguridad conocen los trucos comunes ?!

    
pregunta Fixee 18.02.2011 - 23:13
fuente

2 respuestas

12

Si tengo root en un sistema y realmente quiero ocultar un archivo, la respuesta obvia es un rootkit, que puede ocultar cualquier archivo que quiera de casi todas las detecciones, conectando lecturas del sistema de archivos, etc. Los rootkits son increíblemente difíciles de encontrar Un entorno de trabajo normal, ya que no se puede confiar en nada de lo que informa el sistema operativo. Si tiene Tripwire en un sistema, funciona correctamente y monitorea todo el sistema de archivos, debe detectarse la instalación de un rootkit. Sin embargo, si un atacante puede obtener root y tiene acceso a los sistemas Tripwire, todas las apuestas están desactivadas.

Lo que es mucho más probable en la práctica, sin embargo, es que los archivos se oculten en las profundidades del sistema de archivos, quizás debajo. directorios para que no se muestren a un ls normal, o tal vez como archivos con nombres inocuos. Lo bueno es que más administradores de Linux parecen saber qué archivos deberían existir que los administradores de Windows, probablemente más por el hecho de que las ventanas se administran normalmente a través de una interfaz gráfica de usuario, sin embargo, con un mayor uso de Powershell esto está cambiando.

La escritura de archivos en una parte no utilizada de un disco puede funcionar, sin embargo, en un entorno empresarial, tiende a encontrar discos totalmente utilizados, por lo que un atacante primero tendría que alterar una partición o encontrar alguna forma de ocultar el uso de una sección. del sistema de archivos existente. Sucede, pero no tan a menudo como puedes pensar.

La esteganografía no se usa mucho. Los ejecutables maliciosos se encuentran en archivos de apariencia inocua, pero generalmente como un vector, no en el almacenamiento.

En resumen, desde la perspectiva de los defensores, proteja la raíz, aplique parches regularmente y use Tripwire o un equivalente.

    
respondido por el Rory Alsop 19.02.2011 - 01:31
fuente
2

¿No estás seguro de qué hacer con tu 'archivo'? Algunos de sus ejemplos simplemente parecen que quiere escribir y leer en un espacio de cero. Si ya ha rooteado el cuadro, no es difícil lidiar con estas operaciones de archivo. Puede escribir en el espacio reservado de raíz en el sistema de archivos ext, por ejemplo.

Si quieres dejar un binario de setuid con algún aspecto confuso, puedes lanzarlo debajo de un sistema de archivos para que las utilidades mundanas 'gnufind' no puedan acceder a él.

    
respondido por el hpavc 24.02.2011 - 14:03
fuente

Lea otras preguntas en las etiquetas