¿Cómo conseguir un pequeño préstamo?
--------
La esencia de la seguridad de la red es la seguridad de la información de la red. En términos generales, todas las tecnologías y teorías relacionadas que involucran la confidencialidad, integridad, disponibilidad, autenticidad y controlabilidad de la información de la red son áreas de investigación de la seguridad de la red. Garantizar la seguridad de la información de los sistemas de red es el objetivo de la seguridad de la red, que incluye dos aspectos: seguridad del almacenamiento de información y seguridad de la transmisión de información. La seguridad del almacenamiento de información se refiere a la seguridad de la información en un estado de almacenamiento estático, como si se llamará ilegalmente, etc. La seguridad de la transmisión de información se refiere a la seguridad de la información durante la transmisión dinámica. Para garantizar la seguridad de la transmisión de información de la red, existen principalmente los siguientes problemas:
(1) Monitorear la información de la red;
(2) Pretender utilizar la identidad del usuario;
(3) Manipular la información de la red;
(4) Rechazar la información enviada;
(5) Reenviar la información.
Los métodos de intrusión comunes que se resumen en generales son
1. Intrusión de contraseña
La llamada intrusión de contraseña consiste en utilizar algún software para desbloquear la contraseña. Esa documentación se ha obtenido pero se ha cifrado, pero muchos piratas informáticos han utilizado intensamente un programa que puede eludir o bloquear la protección con contraseña para realizar el trabajo. Los programas que pueden desbloquear o bloquear la protección con contraseña suelen denominarse "crackers". Debido a la popularidad de estos programas, hackear redes informáticas a veces es bastante sencillo y generalmente no requiere un conocimiento profundo de los componentes internos del sistema, lo que lo convierte en un buen método para principiantes.
2. Caballo de Troya
Hablando de caballo de Troya, es fácil para cualquiera que conozca la historia entenderlo. Su enfoque más típico puede ser instalar un programa que pueda ayudar a los piratas informáticos. completar acciones específicas. Confiar en el programa normal de un usuario legítimo, es decir, cuando el código del programa del usuario legítimo ha cambiado. Una vez que el usuario activa el programa, el código de instrucción del hacker adjunto al programa se activará al mismo tiempo y estos códigos a menudo pueden completar las tareas especificadas por el hacker. Precisamente porque este método de intrusión requiere que los piratas informáticos tengan buena experiencia en programación, modifiquen el código y tengan ciertos permisos, es difícil de dominar. Sin embargo, debido a su complejidad, a los administradores generales de sistemas les resulta difícil descubrirlo.
3. Método de monitoreo
Este es un método de piratería muy práctico pero arriesgado, pero todavía hay muchos piratas informáticos que invaden el sistema utilizando este método. Es el llamado método artístico. Un hombre sabio es audaz.
La comunicación entre nodos de la red o estaciones de trabajo se logra mediante la transmisión de un flujo de información. Cuando no hay un concentrador en la red, la transmisión de datos no especifica una dirección específica, entonces cada nodo de la red o estación de trabajo es un. interfaz. Es como si un nodo dijera: "¡Oye! Uno de ustedes es la estación de trabajo a la que quiero enviar información".
En este punto, todas las interfaces del sistema recibirán este mensaje, una vez que una estación de trabajo diga: "¡Hola! Soy yo, por favor envía datos". Entonces el enlace se completa inmediatamente.
Actualmente, hay muchos programas de rastreo que circulan por Internet. Estos programas se pueden utilizar para monitorear datos fácilmente, incluso archivos de contraseñas. Algunos servicios utilizan directamente texto sin formato al transmitir archivos, lo que también es muy peligroso.
4. Tecnología de correo electrónico
El uso del correo electrónico para agregar troyanos es un método que suelen utilizar los piratas informáticos y es muy eficaz. Los usuarios generales e incluso los administradores de red tienen demasiado conocimiento de la seguridad de la red. . Thin, esto les da a muchos piratas informáticos la oportunidad de aprovecharlo.
5. Tecnología antivirus
Como hacker, debería ser vergonzoso usarla de esta manera, pero podemos aprender de ello, después de todo, también es un método. de ataque. Se puede utilizar en momentos y lugares especiales.
6. Tecnología oculta
Etapa de preparación del ataque plegable
En primer lugar, cabe señalar que existen dos fuentes de intrusos, una es el uso. de insiders poseen oportunidades laborales y permisos, y obtienen permisos que no deberían obtenerse para llevar a cabo ataques. El otro es la intrusión de personal externo, incluida la intrusión remota, la intrusión de acceso a nodos de red, etc. Esta sección presenta principalmente ataques remotos.
Realizar un ataque a la red es un trabajo sistemático y su flujo de trabajo principal es: recopilar inteligencia, ataques remotos, inicio de sesión remoto, obtener permisos de usuario ordinario, obtener permisos de superusuario, dejar puertas traseras y borrar registros. El contenido principal incluye análisis de objetivos, adquisición de documentos, descifrado de contraseñas, borrado de registros y otras tecnologías. La introducción específica es la siguiente.
1. Determinar el propósito del ataque
Antes de realizar un ataque completo, el atacante primero debe determinar el propósito del ataque, es decir, qué consecuencias traerá para el otro. fiesta. Hay dos propósitos de ataque comunes: ataques destructivos y ataques intrusivos. Los ataques destructivos solo se refieren a destruir el objetivo del ataque para que no pueda funcionar correctamente y no pueda controlar el funcionamiento del sistema objetivo a voluntad. Para lograr el propósito de los ataques destructivos, el medio principal son los ataques de denegación de servicio (DOS). Otro propósito de ataque común es invadir el objetivo del ataque. Este ataque tiene como objetivo controlar el objetivo del ataque obteniendo ciertos permisos. Cabe decir que este tipo de ataques son más comunes y amenazantes que los ataques destructivos. Porque una vez que un hacker obtiene los derechos de administrador de un objetivo de ataque, puede realizar cualquier operación en el servidor, incluidos ataques destructivos. Este tipo de ataque generalmente aprovecha las vulnerabilidades en los sistemas operativos del servidor, el software de aplicaciones o los protocolos de red. Por supuesto, otra razón para este tipo de ataques es la filtración de contraseñas, donde los atacantes se basan en adivinanzas o métodos de fuerza bruta para obtener la contraseña de un usuario del servidor y luego usan esa contraseña para acceder al servidor con el administrador real.
2. Recopilación de información
Además de determinar el propósito del ataque, la tarea principal antes del ataque es recopilar la mayor cantidad de información posible sobre el objetivo. Esta información incluye principalmente el tipo y versión del sistema operativo de destino, los servicios proporcionados por el objetivo, el tipo y versión de cada programa de servidor e información social relacionada.
Para atacar una máquina, primero debe determinar qué sistema operativo está ejecutando. Debido a que las vulnerabilidades del sistema son muy diferentes para los diferentes tipos de sistemas operativos, los métodos de ataque también son completamente diferentes, incluso para el mismo sistema operativo. sistema. Las diferentes versiones también tienen diferentes vulnerabilidades del sistema. La determinación del sistema operativo de un servidor generalmente se basa en la experiencia. La información que muestran ciertos servicios de algunos servidores puede revelar su sistema operativo. Por ejemplo, cuando nos conectamos a una máquina a través de TELNET, si muestra
Unix (r) System V Release 4.0
iniciar sesión:
, entonces usted Puede juzgar según la experiencia si el sistema operativo que se ejecuta en esta máquina es SUN OS 5.5.5 o 5.5.l, pero esto es inexacto para juzgar el tipo de sistema operativo.
También existen métodos menos efectivos, como consultar DNS para obtener información del host (que no es muy confiable) para conocer el tipo de máquina y sistema operativo utilizado para registrar el nombre de dominio, o usar ingeniería social. para obtener esta información y aprovechar los grupos públicos SNMP que están abiertos a ciertos hosts.
Otra forma relativamente precisa de determinar la verdadera identidad de un sistema es utilizar la pila TCP/IP del sistema operativo de la red como una "huella digital" especial. Esto se debe a que los diferentes sistemas operativos tienen detalles de implementación ligeramente diferentes de los protocolos de red subyacentes. Se puede enviar un paquete especial de forma remota al destino y se puede determinar el tipo de sistema operativo a partir del paquete devuelto. Por ejemplo, envíe un paquete FIN (o cualquier paquete sin un indicador ACK o SYN) a un puerto abierto en el host de destino y espere una respuesta. Muchos sistemas (como Windows, BSDI, CISCO, HP/UX e IRIX) devuelven RESET enviando un paquete SYN que contiene un encabezado TCP con indicadores TCP indefinidos. Luego, en los sistemas Linux, el paquete de respuesta contendrá este indicador indefinido, mientras que en algunos otros sistemas, la conexión se cerrará después de recibir el paquete SYN+BOGU. O utilice un método que busque plantillas de longitud de secuencia de inicialización que coincidan con un sistema operativo específico. Esto puede clasificar muchos sistemas, como los sistemas Unix más antiguos que tienen una longitud de 64 K, mientras que algunos sistemas Unix más nuevos aumentan la longitud de forma aleatoria. Además, se puede comprobar la longitud de la ventana contenida en el paquete de retorno, una técnica que determina de forma única la longitud de la ventana en función del tamaño de la ventana de inicialización que difiere según el sistema operativo. Existen muchas herramientas que utilizan esta tecnología para lograr este objetivo, las más famosas son NMAP, CHECKOS, QUESO, etc.
Es igualmente importante comprender los servicios proporcionados por el objetivo y el tipo y versión de cada demonio de servicio, ya que los exploits conocidos a menudo apuntan a servicios específicos.
El servicio proporcionado aquí se refiere al puerto gasp que usualmente mencionamos. Por ejemplo, generalmente TELNET está en el puerto 23, FTP está en el puerto 21 y WWW está en el puerto 80 o 8080. Esta es solo una situación general que los administradores del sitio web pueden ajustar. Según sus propias necesidades, está dispuesto a modificar el número de puerto de escucha del servicio. El software que proporciona el mismo servicio en diferentes servidores también puede ser diferente. A este software lo llamamos demonio. Por ejemplo, si también brindamos servicios FTP, podemos usar muchos tipos diferentes de demonios como wuftp, proftp, ncftp, etc. . Determinar el tipo de versión del demonio también puede ayudar a los piratas informáticos a explotar las vulnerabilidades del sistema para comprometer sitios web.
Otra información del sistema que es necesario obtener es información social que no tiene nada que ver con la computadora en sí, como el nombre y el tamaño de la empresa a la que pertenece el sitio web, los hábitos del administrador del sitio web, número de teléfono, etcétera. Puede parecer que esta información no tiene relación con sitios web atacantes, pero de hecho, muchos piratas informáticos utilizan este tipo de información para comprometer sitios web. Por ejemplo, algunos administradores de sitios web utilizan sus propios números de teléfono como contraseñas del sistema. Si tiene el número de teléfono, tiene la autoridad del administrador. La recopilación de información se puede realizar manualmente o mediante herramientas. La herramienta para recopilar información se llama escáner. . La ventaja de utilizar un escáner para recopilar información es que es rápido y puede escanear varios objetivos al mismo tiempo.
Fases de un ataque plegable
1. Obtención de acceso
Después de recopilar suficiente información, el atacante comenzará a realizar el ataque. Como ataque destructivo, el ataque se puede lanzar simplemente utilizando herramientas. Como ataque intrusivo, normalmente es necesario utilizar la información recopilada para encontrar vulnerabilidades del sistema y luego utilizar las vulnerabilidades para obtener ciertos permisos. A veces, obtener los permisos de un usuario general es suficiente para modificar la página de inicio, etc., pero como ataque completo, es necesario obtener los permisos más altos del sistema. Esto no es solo para lograr un determinado propósito, sino más importante. para demostrar la habilidad del atacante, lo que también es consistente con Hacker's Quest.
Las vulnerabilidades que pueden ser aprovechadas por los atacantes incluyen no solo vulnerabilidades de seguridad en el diseño del software del sistema, sino también vulnerabilidades causadas por una configuración de administración inadecuada. No hace mucho, la página de inicio de Apache, el proveedor de servidores www más popular en Internet, fue atacada por piratas informáticos. El patrón Powered by Apache (imagen de pluma) en su página de inicio se cambió por el patrón Powered by Microsoft Backoffice. El servidor web de los administradores obtuvo privilegios elevados al explotar una mala configuración de la base de datos del servidor web.
Por supuesto, la mayoría de los ataques exitosos explotan vulnerabilidades en el propio software del sistema. La principal causa de las vulnerabilidades del software es la falta de conciencia de seguridad por parte de los programadores que crean el software. Cuando un atacante realiza una solicitud de llamada anormal al software, provocará un desbordamiento del búfer o acceso ilegal a archivos. Los ataques de desbordamiento de búfer son uno de los métodos de ataque más comunes. Según las estadísticas, más del 80% de los ataques exitosos aprovechan las vulnerabilidades de desbordamiento de búfer para obtener permisos ilegales. Los desbordamientos de búfer se tratarán en detalle en un capítulo específico más adelante.
Ya seas un hacker o un administrador de red, necesitas dominar tantas vulnerabilidades del sistema como sea posible. Los piratas informáticos deben aprovecharlo para completar el ataque y los administradores deben tomar diferentes medidas defensivas en función de las diferentes vulnerabilidades. Para obtener la información más reciente sobre vulnerabilidades, visite Rootshell, Packetstorm, Securityfocus y otros.
2. Expansión de permisos
Las vulnerabilidades del sistema se dividen en dos tipos: vulnerabilidades remotas y vulnerabilidades locales. Una vulnerabilidad remota significa que un pirata informático puede utilizar la vulnerabilidad para atacar directamente a otra máquina y obtener ciertos permisos. La amenaza de este tipo de vulnerabilidad es bastante alta y los ataques de piratas informáticos suelen comenzar desde vulnerabilidades remotas. Sin embargo, las vulnerabilidades remotas no necesariamente tienen los permisos más altos, sino que a menudo son solo permisos de usuarios comunes, por lo que los piratas informáticos a menudo no tienen forma de comenzar. Esto requiere explotar las vulnerabilidades locales para ampliar los privilegios obtenidos, normalmente privilegios de administrador en el sistema.
Solo con los derechos de administrador más altos podrás realizar operaciones como monitorear la red y limpiar rastros. Para completar la expansión de permisos, no solo se pueden utilizar los permisos obtenidos para ejecutar programas que explotan las vulnerabilidades locales en el sistema, sino que también se pueden colocar algunos programas engañosos como troyanos para extraer la contraseña del administrador. los permisos más altos establecidos localmente se utilizan y no se pueden controlar de forma remota.
Por ejemplo, si un hacker ha obtenido una cuenta de usuario normal y derechos de inicio de sesión en una determinada máquina, puede colocar un programa su falso en esta máquina. Una vez que un hacker coloca un programa su falso, cuando un usuario legítimo real inicia sesión, ejecuta su e ingresa su contraseña, la contraseña de root se registrará y el hacker puede usar su para convertirse en el usuario root la próxima vez que inicie sesión.
Consecuencias del ataque
1. Introducción al sistema de registro
Si el atacante abandona el sistema inmediatamente después de completar el ataque sin realizar ningún trabajo de seguimiento , entonces su paradero será descubierto rápidamente por el administrador del sistema, porque todos los sistemas operativos de red generalmente proporcionan funciones de registro que registran las operaciones que ocurren en el sistema. Por lo tanto, para no ser descubiertos, los piratas informáticos suelen borrar los rastros dejados en los registros. Para comprender cómo los piratas informáticos eliminan los rastros, primero debe comprender las estructuras de registro de los sistemas operativos comunes y cómo funcionan. Los archivos de registro de Unix generalmente se ubican en las siguientes ubicaciones, que varían ligeramente según el sistema operativo
/usr/adm - Versiones anteriores de Unix.
/Var/adm: las versiones más recientes utilizan esta ubicación.
/Varflort Esta ubicación es utilizada por algunas versiones de Solaris, Linux BSD y Free BSD.
/etc, la mayoría de las versiones de Unix ponen Utmp aquí, algunas versiones de Unix también ponen aquí Wtmp, esta es también la ubicación de Syslog.conf.
Los siguientes archivos pueden variar dependiendo del directorio:
acct o pacct-one registra los comandos utilizados por cada usuario.
El registro de acceso se utiliza principalmente en servidores que ejecutan el servidor HTTP NCSA. Este archivo de registro registrará qué sitios web están conectados a su servidor.
aculo registra los registros del módem saliente.
lastlog registra el registro de inicio de sesión más reciente y el destino inicial de cada usuario y, a veces, también registra el último inicio de sesión fallido.
loginlog one registra algunos registros de inicio de sesión anormales.
mensajes: registra la salida a la consola del sistema, otros mensajes son generados por Syslog.
La seguridad registra algunos intentos de ingresar a ámbitos restringidos utilizando sistemas UUCP.
ulog registra registros usando el comando su.
utmp registra todos los usuarios actualmente conectados al sistema; este archivo cambia a medida que los usuarios entran y salen del sistema.
Utmpx, extensión de utmp.
wtmp registra los eventos de inicio y cierre de sesión del usuario.
Syslog El archivo de registro más importante, obtenido utilizando el demonio syslogd.
2. Rastros ocultos
Los piratas informáticos pueden modificar archivos en el sistema a voluntad después de obtener los derechos de administrador más altos del sistema (solo aplicable a sistemas Unix normales), incluidos los archivos de registro, por lo que Los piratas informáticos suelen modificar los registros si quieren ocultar sus rastros. El método más simple es, por supuesto, eliminar el archivo de registro, pero si bien hacerlo evitará que el administrador del sistema rastree su IP, también le indicará claramente que el sistema ha sido comprometido. Por lo tanto, el método más común es modificar sólo la parte del archivo de registro que sea relevante para usted. Los detalles específicos del método de modificación varían según el sistema operativo. Hay muchos programas de este tipo en Internet, como zap, clean, etc. El método principal consiste en borrar la información de un usuario en los registros utmp, wtmp, Lastlog y Pacct. archivos para ocultar la información del usuario al ver archivos de registro usando comandos como w, who y last.
Si los administradores quieren evitar que los piratas informáticos modifiquen el sistema de registro, deben tomar algunas medidas, como utilizar una impresora para registrar la información del registro de la red en tiempo real. Pero esto también tiene sus desventajas, una vez que el hacker sabe lo que está haciendo, continuará escribiendo información inútil en el registro, lo que hará que la impresora continúe imprimiendo registros hasta que se acabe el papel. Incluso si cree que ha modificado todos sus registros, todavía quedan algunos rastros. Por ejemplo, algunos administradores pueden descubrir algunas puertas traseras instaladas después de ejecutarlas.
Por lo tanto, los piratas informáticos pueden reemplazar algunos programas del sistema para ocultar aún más los rastros. Este tipo de programa de piratas informáticos utilizado para reemplazar los programas normales del sistema se llama rootkit. Este tipo de programa se puede encontrar en algunos sitios web de piratas informáticos. El más común es LinuxRootKit, que ahora se desarrolló en la versión 5.0. Puede reemplazar una serie de programas importantes del sistema como ls, ps, netstat, inetd, etc. en el sistema. Al reemplazar ls, puede ocultar los archivos especificados para que el administrador no pueda verlos cuando usa el comando ls, logrando así el propósito de ocultarse.
3. Puerta trasera
Generalmente, los piratas informáticos ingresarán al sistema más de una vez después de invadir el sistema. Para facilitar el acceso al sistema la próxima vez, los piratas informáticos dejarán puertas traseras. Los caballos de Troya son el mejor ejemplo de puertas traseras. Hay muchas formas de dejar puertas traseras en Unix. A continuación se muestran algunas puertas traseras comunes contra las que los administradores de red deben tomar precauciones.
Puerta trasera plegable para descifrar contraseñas
Este es el método más antiguo y antiguo utilizado por los intrusos. No sólo permite a los intrusos acceder a máquinas Unix, sino que también crea puertas traseras al descifrar contraseñas. Esta es una cuenta con una contraseña débilmente descifrada. Más adelante, incluso si los administradores bloquean la cuenta actual del intruso, estas nuevas cuentas aún pueden servir como puertas traseras para el reingreso. En la mayoría de los casos, los intrusos buscan cuentas no utilizadas con contraseñas débiles y luego las cambian por algo más difícil. Cuando los administradores buscan cuentas con contraseñas débiles, no pueden encontrar cuentas a las que se les haya cambiado la contraseña. Por lo tanto, a los administradores les resulta difícil determinar qué cuentas bloquear.
Rhosts + + Backdoor
En máquinas Unix conectadas en red, servicios como Rsh y Rlogin utilizan un método de autenticación simple basado en el nombre de host en el archivo rhosts. Los usuarios pueden cambiar fácilmente la configuración y obtener acceso sin contraseña. Un intruso podría simplemente ingresar "+ +" en el archivo rhosts de un usuario con acceso, dando a cualquier persona, en cualquier lugar, acceso a la cuenta sin contraseña. Este método es especialmente popular cuando el directorio de inicio está a través de NFS. Estas cuentas también pueden servir como puertas traseras para el reingreso. Mucha gente prefiere usar Rsh porque a menudo carece de capacidades de registro. Muchos administradores suelen marcar "+ +" para que el intruso realmente establezca el nombre de host y el nombre de usuario de otra cuenta de Internet, reduciendo así la probabilidad de detección.
Puertas traseras de suma de comprobación y marca de tiempo
Al principio, muchos intrusos reemplazaban los archivos binarios con sus propios troyanos. Luego, los administradores del sistema confían en las marcas de tiempo y los programas de suma de verificación del sistema para identificar si se han modificado los archivos binarios, como el programa de suma en Unix. Los intrusos desarrollaron una nueva técnica que sincroniza las marcas de tiempo de los archivos troyanos con las de los archivos originales. El método específico es primero ajustar el reloj del sistema a la hora del archivo original y luego ajustar la hora del archivo troyano a la hora del sistema. Una vez que el archivo troyano binario se sincroniza con precisión con el archivo original, la hora del sistema se puede restablecer a la hora actual. La mayoría de la gente recomienda usar md5, y el algoritmo utilizado en md5 no ha sido engañado por nadie hasta ahora.
Puerta trasera de inicio de sesión plegable
En Unix, el programa de inicio de sesión se utiliza a menudo para autenticar a los usuarios que inician sesión a través de telnet. El intruso toma el código original de login.c y lo modifica para que primero verifique la contraseña de la puerta trasera al comparar la contraseña ingresada con la contraseña almacenada. Si el usuario ingresa la contraseña de la puerta trasera, ignorará la contraseña establecida por el administrador y le permitirá ingresar. Esto permitiría a un intruso acceder a cualquier cuenta, incluso a la cuenta raíz, y dado que la contraseña de la puerta trasera genera acceso antes de que el usuario inicie sesión e inicie sesión en utmp y wtmp, el intruso puede iniciar sesión y obtener un shell sin exponer la cuenta. Cuando los administradores se dieron cuenta de la puerta trasera, utilizaron el comando "cadenas" para buscar información textual en el programa de inicio de sesión. En muchos casos, las contraseñas de puerta trasera se ven comprometidas. Luego, el intruso procede a cifrar u ocultar la contraseña, inutilizando el comando de cadena. Por lo tanto, cada vez más administradores utilizan sumas de comprobación MD5 para detectar dichas puertas traseras.
Contraer puerta trasera de Telnetd
Cuando un usuario hace telnet al sistema, el servicio inetd que escucha en el puerto acepta la conexión y la pasa a in.telnetd, que luego ejecuta el inicio de sesión. Algunos intrusos saben que los administradores verificarán si el inicio de sesión ha sido modificado y continuarán modificando in.telnetd. in.telnetd comprueba la información del usuario, como el terminal que está utilizando. Una configuración de terminal típica es Xterm o VT100. Cuando el terminal está configurado en "letmein", un intruso puede crear una puerta trasera que genera un shell sin ninguna autenticación.
Colapso de puerta trasera del servicio
Casi todos los servicios de red han sido pirateados por intrusos. Versiones de servicios como Finger, rsh, rexec, rlogin, ftp e incluso inetd ya están ampliamente disponibles. Algunos son simplemente shells que se conectan a un puerto TCP y obtienen acceso mediante una contraseña de puerta trasera. Estos programas a veces se usan con servicios no utilizados como Ucp, o se agregan a inetd.conf como un servicio nuevo. Los administradores deben tener mucho cuidado con los servicios que se están ejecutando y usar MD5 para verificar el programa de servicio original.
Puerta trasera de Cronjob
Cronjob en Unix puede programar programas específicos para que se ejecuten según lo planeado. Un intruso podría agregar una puerta trasera para que funcione entre la 1 a.m. y las 2 a.m., dándole una hora cada noche para obtener acceso. Además, también puede ver qué programas legítimos en el cronjob se ejecutan con frecuencia y colocar puertas traseras al mismo tiempo.
Puertas traseras de biblioteca
Casi todos los sistemas UNIX utilizan bibliotecas habilitadas para ****, que reducen la longitud del código al reutilizar la misma funcionalidad. Algunos intrusos crean puertas traseras en funciones como crypt.c y _crypt.c; programas como login.c llaman a crypt(). Se genera un shell cuando se utiliza el comando de puerta trasera, por lo que incluso si el administrador verifica el procedimiento de inicio de sesión con MD5, la función de puerta trasera aún se genera. Esto crea un problema para muchos intrusos: algunos administradores realizan más comprobaciones MD5 en todo, y el intruso tiene una manera de configurar puertas traseras en open() y funciones de acceso a archivos. La función de puerta trasera lee el archivo original pero ejecuta la puerta trasera troyana. Por lo tanto, al leer estos archivos, no hay ningún problema con la verificación MD5, pero cuando el sistema se está ejecutando, se ejecutará la versión troyana. Incluso la propia biblioteca troyana puede escapar de la verificación MD5. Hay otra forma para que los administradores descubran puertas traseras. Simplemente conéctese estáticamente al verificador MD5 y luego ejecute el vinculador estático, de modo que no se utilice el intercambio de bibliotecas troyanos.
Puertas traseras del kernel
El kernel es el núcleo de cómo funciona Unix, y los métodos utilizados para evadir la suma de comprobación MD5 de una biblioteca también están disponibles a nivel del kernel y ni siquiera son reconocidos por vinculación estática. Los kernels con buenas puertas traseras son los más difíciles de encontrar para los administradores, pero afortunadamente, las puertas traseras del kernel no están disponibles y todo el mundo sabe lo común que es en realidad.
Puerta trasera del sistema de archivos
El intruso necesita almacenar el botín o los datos en el servidor y el administrador no puede descubrirlo. Los artículos escritos a menudo por intrusos incluyen herramientas de script de explotación de vulnerabilidades y conjuntos de puertas traseras. , registros de rastreo, copias de seguridad de correo electrónico, código sin formato y más. A veces, para evitar que los administradores descubran archivos tan grandes, los intrusos necesitan aplicar parches "ls", "du" y "fsck" para ocultar directorios y archivos específicos. En un nivel muy bajo, los intrusos aprovechan esta vulnerabilidad cortando una parte del disco duro en un formato propietario y representándolo como sectores defectuosos. Por lo tanto, los intrusos sólo pueden acceder a estos archivos ocultos utilizando herramientas especiales, y es difícil para los administradores comunes encontrar la existencia real del sistema de archivos en estos "sectores defectuosos".
Puerta trasera de bloqueo de arranque
En el mundo de las PC, muchos virus están ocultos en el sector raíz y el software antivirus comprobará si el sector raíz ha sido manipulado. Bajo Unix, la mayoría de los administradores no tienen software para verificar el sector raíz, por lo que algunos intrusos dejan algunas puertas traseras en el sector raíz.
Puertas traseras de procesos ocultos
Los intrusos a menudo desean ocultar los programas que están ejecutando, que normalmente son descifradores de contraseñas y programas de escucha (sniffers): escriba un programa que se modifique a sí mismo argv[] para haga que se parezca a cualquier otro nombre de proceso. Puede cambiar el nombre del programa rastreador a algo como in.syslog y ejecutarlo de modo que cuando un administrador use "ps" para inspeccionar un proceso en ejecución, aparecerá como el nombre de servicio completo. Las funciones de la biblioteca se pueden modificar para que "ps" no muestre todos los procesos, o se puede incrustar una puerta trasera o un programa en el controlador de interrupciones para que no aparezca en la tabla de procesos.
amod.tar.gz es un ejemplo de puerta trasera que utiliza esta técnica:
Acceso a red. Estas puertas traseras de acceso a la red a veces permiten a los intrusos obtener acceso a través de firewalls. Hay muchas puertas traseras de red que permiten a los intrusos establecer números de puerto específicos y obtener acceso sin pasar por los servicios regulares. Dado que esto se realiza a través de un puerto de red no estándar, los administradores pueden pasar por alto las huellas del intruso. Estas puertas traseras suelen utilizar TCP, UDP e ICMP, pero también se pueden utilizar otros tipos de mensajes.
Puertas traseras de TCP Shell
Los intrusos pueden establecer estas puertas traseras de TCP Shell en puertos con un alto nivel de TCP que no están bloqueados por firewalls. En muchos casos, estas puertas traseras están protegidas con contraseña para evitar que los administradores vean el acceso al shell inmediatamente después de conectarse. Los administradores pueden usar el comando netstat para ver el estado de la conexión actual, el puerto que se escucha y los entresijos de la conexión actual. Estas puertas traseras a menudo permiten a los intrusos escapar de las técnicas de encapsulación TCP. Estas puertas traseras se pueden colocar en puertos SMTP por los que muchos firewalls permiten el paso del correo electrónico.
Puerta trasera UDP Shell
Los administradores normalmente vigilan las conexiones TCP y notan rarezas en ellas, pero la puerta trasera UDP Shell no tiene tales conexiones, por lo que netstat no puede mostrar los rastros de visitas del intruso. Muchos firewalls están configurados para permitir el paso de mensajes UDP como DNS, y los intrusos a menudo colocan un shell UDP en ese puerto para permitir atravesar el firewall.
ICMP Shell Backdoor
Ping es una de las formas comunes de detectar la actividad de la computadora mediante el envío y la recepción de paquetes ICMP. Muchos firewalls permiten a personas externas hacer ping a las máquinas dentro de la pared. Un intruso puede incluir datos en los paquetes ICMP de ping, formando un túnel de shell entre las máquinas que hacen ping. Los administradores pueden notar que están llegando paquetes de ping, pero el intruso no queda expuesto más allá de mirar los datos del paquete.
Conexión cifrada
El administrador puede crear un rastreador para intentar acceder a los datos, pero cuando un intruso abre una puerta trasera al canal de red y lo cifra, no hay manera de determinar si los dos Las máquinas están conectadas entre sí.