it-swarm-korea.com

해커가 Linux에서 파일을 숨기는 가장 좋은 방법은 무엇입니까?

해커가 내 Linux 호스트에서 셸을 얻고 파일을 숨기려고한다고 가정합니다. 그가 이것을하는 가장 좋은 방법은 무엇입니까? 권한이 없거나 루트 액세스라고 가정 할 수 있습니다.

내 생각은

  • .file 파일 이름 사용 (물론 쉽게 찾을 수 있음)
  • 모호한 디렉토리에 파일을 작성하십시오 (tripwire 등에서 찾을 수 있습니까?).
  • 로그 파일에 추가 (파일이 커지고 있다는 의심을 덜기 위해)
  • 어떤 종류의 스테고를 사용하십시오 (이 작업을 수행하는 방법을 모릅니다)
  • 디스크의 원시 부분에 쓰기 (이 작업을 수행하는 방법도 모르겠습니다)

보안 전문가가 일반적인 트릭을 알고 있다고 확신합니까?!

9
Fixee

시스템에 루트가 있고 실제로 파일을 숨기고 싶은 경우, 분명한 대답은 루트킷입니다. 루트킷은 파일 시스템 읽기를 후킹하여 거의 모든 탐지로부터 원하는 파일을 숨길 수 있습니다. 루트킷은 정상적인 작업에서 찾기가 매우 어렵습니다. OS가보고하는 것을 신뢰할 수 없기 때문입니다. 시스템에 Tripwire가 있고 올바르게 작동하며 전체 파일 시스템을 모니터링하는 경우 루트킷 설치를 감지해야합니다. 그러나 공격자가 루트를 확보하고 Tripwire 시스템에 액세스 할 수있는 경우 모든 베팅이 해제됩니다.

그러나 실제로는 파일 시스템의 깊이, 아마도. 일반 ls 또는 무해한 이름의 파일로 표시되지 않도록하는 디렉터리입니다. 좋은 점은 더 많은 Linux 관리자가 Windows 관리자보다 어떤 파일이 있어야하는지 아는 것 같습니다. 아마도 Windows가 일반적으로 GUI를 통해 관리된다는 사실에 더 가깝지만 Powershell을 더 많이 사용함에 따라 이것이 변화하고 있습니다.

디스크의 사용되지 않는 부분에 파일을 쓰는 것은 작동 할 수 있지만 기업 환경에서는 디스크가 완전히 활용되는 경향이 있으므로 공격자는 먼저 파티션을 변경하거나 기존 파일 시스템의 일부 사용을 숨기는 방법을 찾아야합니다. . 발생하지만 생각만큼 자주 발생하지는 않습니다.

스테 가노 그래피는 많이 사용되지 않습니다. 악성 실행 파일은 무해한 파일에서 발견되지만 일반적으로 저장소가 아닌 벡터로 발견됩니다.


요약하면 방어자의 관점에서 루트를 보호하고 정기적으로 패치하고 Tripwire 또는 이와 동등한 것을 사용하십시오.

12
Rory Alsop

'파일'로 무엇을해야할지 잘 모르시겠습니까? 일부 예제는 스크래치 공간에 쓰고 읽고 싶은 것처럼 보입니다. 이미 상자를 뿌리 뽑았다면 이러한 파일 작업은 처리하기 어렵지 않습니다. 예를 들어 ext 파일 시스템의 루트 예약 공간에 쓸 수 있습니다.

복잡한 setuid 바이너리를 난독 처리 된 방식으로 남겨두고 싶다면, 평범한 'gnufind'유틸리티가 접근 할 수 없도록 파일 시스템 마운트 아래에 버릴 수 있습니다.

2
hpavc