Linuxでハッカーがファイルを非表示にする最善の方法は?
ハッカーが私のLinuxホストでシェルを取得し、ファイルを非表示にしたいとします。彼がこれを行うための最良の方法は何ですか?非特権アクセスまたはrootアクセスを想定できます。
私の考えは
- .fileファイル名を使用します(もちろんこれらを見つけるのはかなり簡単です)
- 不明なディレクトリにファイルを書き込みます(tripwireなどで見つかるかもしれません)。
- ログファイルに追加します(ファイルが大きくなっていることを疑わないようにするため)。
- ある種のステゴを使用します(これを行う方法がわかりません)
- ディスクの未加工部分に書き込みます(これを行う方法もわかりません)
セキュリティの専門家がよく知っているトリックを知っていると思いますか?!
システムにルートがあり、本当にファイルを非表示にしたい場合、明白な答えはルートキットです。これにより、ファイルシステムの読み取りなどをフックすることにより、ほとんどすべての検出から必要なファイルを非表示にできます。通常の作業では、ルートキットを見つけるのは非常に困難ですOSレポートが信頼できないためです。システムにTripwireがあり、ファイルシステム全体を正常に監視している場合、ルートキットのインストールが検出されます。ただし、攻撃者がrootになり、Tripwireシステムにアクセスできる場合、すべての賭けは無効になります。
ただし、実際にははるかに可能性が高いのは、ファイルがファイルシステムの奥、おそらくの下に隠されることです。それらが通常のlsに表示されないように、またはおそらく無害な名前のファイルとして表示されないように、ディレクトリ。良い点は、多くのLinux管理者がWindows管理者よりもどのファイルが存在する必要があるかを知っているように見えることです。おそらくWindowsは通常GUIを介して管理されるという事実によりますが、Powershellの使用が増えるにつれて、これは変化します。
ディスクの未使用部分へのファイルの書き込みは機能しますが、エンタープライズ環境ではディスクが完全に使用されていることが多いため、攻撃者はまずパーティションを変更するか、既存のファイルシステムのセクションの使用を隠す方法を見つける必要があります。 。それは起こりますが、あなたが思うほど頻繁ではありません。
ステガノグラフィーはあまり使われていません。悪意のある実行可能ファイルは無害に見えるファイルにありますが、通常はストレージではなく、ベクトルとして存在します。
要約すると、防御側の観点から、ルートを保護し、定期的にパッチを適用し、Tripwireまたは同等のものを使用します。
「ファイル」をどうするかわからない?あなたの例のいくつかは、あなたがいくつかのスクラッチスペースに読み書きしたいように見えます。ボックスをすでにルート化している場合、これらのファイル操作を処理するのは難しくありません。たとえば、extファイルシステムのルート予約スペースに書き込むことができます。
安っぽいsetuidバイナリを難読化された方法で置いておきたい場合は、ファイルシステムマウントの下に投げて、ありふれた 'gnufind'ユーティリティがアクセスできないようにすることができます。