Традиционные RootKit: прослушивание паролей сайтов Львова
21.10.2019Как только атакующий захватил любой из сайтов Львова, он обычно устанавливает сниффер, чтобы собирать пароли и конфиденциальные данные, идущие к другим системам в сети. Как Снифферы могут быть особенно полезны для атакующих, пробующих получить имена пользователей и пароли на других машинах. Вследствие своей эффективности, простой сниффер включается в большинство RootKit для захвата нескольких первых символов всех сеансов и записи их в локальный файл. Захватывая первые символы сеансов telnet, входа в систему и сеансов FTP, атакующий способен собрать имена и пароли множества пользователей. Атакующий запустит сниффер в фоновом режиме и зайдет попозже собрать урожай сохраненных имен пользователей и паролей.
Традиционные RootKit: скрыть этот сниффер!
Системные администраторы сайтов Львова, таких как rivne.one, на многих разновидностях UNIX-машин могут запустить программу if con fig, чтобы просмотреть характеристики сетевых интерфейсов. Программа ifconfig показывает такую информацию, как IP-адрес, сетевая маска и МАС-адреса для каждого сетевого интерфейса. Кроме того, ifconfig также отображает интерфейсы, которые находятся в «неразборчивом» режиме. Интерфейс переводится в «неразборчивый» режим, если в системе работает сниффер, собирая из сети все данные. Запустив ifconfig на любой разновидности UNIX, кроме Solaris, администратор может обнаружить этот сниффер по флагу PROMISC.
Конечно, атакующие не хотят, чтобы их присутствие было обнаружено системными администраторами сайтов Львова, и сопротивляются данному приему. Большинство RootKit включает троянскую версию ifconfig, которая умалчивает о флаге PROMISC, предотвращая обнаружение RootKit системными администраторами. Эта версия if con fig из RootKit просто лжет о «неразборчивом» режиме, помогая атакующему маскировать сниффер.
