Защита сайтов Ровно
25.10.2019Безусловно, представители андеграунда понимают, что серверы тайных каналов, подобные Lokid, часто обнаруживаются, поскольку требуют ждущего процесса, слушающего пакеты. Опытный атакующий запустит их под именем, отличающимся от lokid, чтобы замаскировать их. Атакующие любят выполнять свои процессы под безвредными именами - nf sd, inetd или printer. Однако системный администратор сайтов Ровно может обратить внимание на этот процесс и начать расследование, что нехорошо с точки зрения атакующего.
Чтобы избежать обнаружения, в сообществе андеграунда обсуждаются вопросы реализации Loki и других инструментальных средств тайных каналов непосредственно в ядре. В качестве модуля ядра найти их станет еще труднее, так как будет отсутствовать выполнение отдельного процесса, указывающего на присутствие тайного канала. До настоящего времени Loki на базе ядра не распространялся.
Итак, мы не можем полагаться исключительно на меры защиты сайтов Ровно и расследование в конечной системе. На уровне сети многие обычные программы тайных каналов (типа Loki) могут быть замечены при помощи сетевых систем обнаружения вторжений (IDS). Основанные на предсказуемой структуре пакета, некоторые из этих инструментов оставляют контрольные «отпечатки пальцев», которые можно найти в сети. Инструменты IDS как на коммерческой основе (типа ISS RealSecure и Network Flight Recorder), так и распространяемые бесплатно (Snort), могут обнаруживать Loki и другие тайные каналы. Если IDS внезапно предупреждает вас, говоря, что она выявила используемый инструмент тайного канала, вы должны начать расследование, потому что кто-то пытается от вас спрятаться.
