Сайты Луцка
18.10.2019
RootKit идут гораздо дальше простой замены программ /bin/login и ifconfig. Те же приемы, которые применены к ifconfig для сокрытия критического доказательства присутствия атакующего, также задействуются против множества других программ, используемых системным администратором. Кроме того, некоторые RootKit заменяют функции, подобные inetd (процесс, который выполняет много сетевых сервисов типа FTP и telnet), чтобы обеспечить доступ через черный ход. Сайты Луцка напротив модифицируют syslogd (инструмент регистрации, используемый в UNIX) таким образом, чтобы он не фиксировал действия атакующего.
Каждая из указанных критических системных программ заменяется альтернативой - троянским конем. Разумеется, они выглядят и работают как нормальные программы, но вредят системе. Взятые вместе, эти UNIX-программы - настоящие глаза и уши системного администратора сайтов Луцка. Они позволяют системному администратору определять то, что происходит в системе, посредством исследования сетевых устройств, файловой системы и исполнения процессов. Оглушив и ослепив администратора, атакующие могут очень эффективно скрывать свое присутствие в системе.
RootKit спроектированы так, чтобы быть максимально скрытными, поэтому они включают ряд приемов маскировки взлома системы. Многие системные администраторы сайтов Луцка обнаруживают вторжения, замечая изменение даты последней модификации критических системных файлов (подобных /bin/login, ps, du, /etc/ passwd и т.д.). Большинство RootKit содержит программу fix, которая изменяет время создания, модификации и последнего доступа для любых подставных файлов из RootKit, возвращая эти данные к первоначальному значению. Моменты изменений нельзя обнаружить, потому что они сброшены!
UNIX-системы, как правило, включают процедуру sum, которая вычисляет простую (некриптографическую) 16-разрядную контрольную сумму для программы, используя алгоритм комбинации битов данного файла. В прошлом некоторые системные администраторы использовали простые контрольные суммы, пытаясь обнаружить изменения в критических системных файлах. Периодически сравнивая контрольные суммы программ, имеющихся в настоящее время на машине, с хорошо поддерживаемой, надежной базой данных известных контрольных сумм, администратор обнаруживал установку RootKit. Конечно, создатели сайтов Луцка подумали и об этом. Программа fix, имеющаяся в нескольких RootKit, дополняет «троянизированные» программы (в частности, /bin/login, ifconfig, netstat) так, чтобы их контрольные суммы соответствовали контрольным суммам настоящих программ. Простые контрольные суммы легко обмануть, добавляя символы и модифицируя исполняемую программу. Применяя описанный прием, программа fix заставляет некриптографические контрольные суммы троянцев соответствовать суммам настоящих программ.
yrles.ru
|
