- Os ataques
por monitoração são baseados em software de
monitoração de rede conhecido como
"sniffer", instalado surrepticiamente
pelos invasores.
- O sniffer
grava os primeiros 128 bytes de cada sessão
login, telnet e FTP session vista naquele
segmento de rede local, comprometendo TODO o
tráfego de/para qualquer máquina naquele
segmento, bem como o tráfego que passar por
aquele segmento.
- Os dados
capturados incluem o nome do host destino, o
username e a password.
- A
informação é gravada num arquivo
posteriormente recuperado pelo invasor para ter
acesso a outras máquinas.
- Em muitos
casos os invasores obtem acesso inicial aos
sistemas usando uma das seguintes
técnicas:
- Obtem o
arquivo de passwords via TFTP em sistemas
impropriamente configurados
- Obtem o
arquivo de password de sistemas rodando versões
inseguras do NIS
- Obtem
acesso ao sistema de arquivos locais via pontos
exportados para montagem com NFS, sem
restrições
- Usam um
nome de login e password capturada por um sniffer
rodando em outro sistema.
- Uma vez no
sistema, os invasores obtem privilegios de root
explorando vulnerabilidades conhecidas, tal como
rdist, Sun Sparc integer division, e arquivos
utmp passíveis de escrita por todo mundo ou
usando uma password de root capturada.
- Eles
então instalam o software sniffer, registrando a
informação capturada num arquivo
invisível.
- Adicionalemente,
eles instalam cavalos de Troia em substituição
e uma ou mais dentre os seguintes arquivos do
sistema, para ocultar sua presença:
- /bin/login
- /usr/etc/in.telnetd
- /usr/kvm/ps
- /usr/ucb/netstat
|