Social Icons

^^

terça-feira, 5 de abril de 2011

Ataques por monitoração

Os ataques por monitoração são baseados em software de monitoração de rede conhecido como "sniffer", instalado surrepticiamente pelos invasores.
    O sniffer grava os primeiros 128 bytes de cada sessão login, telnet e FTP session vista naquele segmento de rede local, comprometendo TODO o tráfego de/para qualquer máquina naquele segmento, bem como o tráfego que passar por aquele segmento. Os dados capturados incluem o nome do host destino, o username e a password. A informação é gravada num arquivo posteriormente recuperado pelo invasor para ter acesso a outras máquinas.
    Em muitos casos os invasores obtem acesso inicial aos sistemas usando uma das seguintes técnicas:



  • Obtém o arquivo de passwords via FTP em sistemas impropriamente configurados.

  •  Obtém o arquivo de password de sistemas rodando versões inseguras do NIS


  • Obtém acesso ao sistema de arquivos locais via pontos exportados para montagem com NFS, sem restrições. Usam um nome de login e password capturada por um sniffer rodando em outro sistema.

   Uma vez no sistema, os invasores obtem privilegios de root explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc integer division, e arquivos utmp passíveis de escrita por todo mundo ou usando uma password de root capturada.
Eles então instalam o software sniffer, registrando a informação capturada num arquivo invisível. Adicionalemente, eles instalam Cavalos de Troia em substituição e uma ou mais dentre os seguintes arquivos do sistema, para ocultar sua presença:


/bin/login
/usr/etc/in.telnetd
/usr/kvm/ps
/usr/ucb/netstat

Nenhum comentário:

Postar um comentário

Popular Posts

- Arquivo -

 

Seguidores

Hora exata:

Total de visualizações de página