محمد نصیری
بنیانگذار توسینسو ، هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و عاشق طبیعت

Covering Tracks چیست؟ آشنایی با اهمیت حذف آثار جرم در هک و نفوذ

خوب مسئله خیلی ساده است ! دزد خوب دزدیه که کسی نتونه اثری ازش پیدا کنه و پلیس دستگیرش کنه ! البته قطعا مثال دزد و پلیس برای هکرها چندان جالب نیست اما شما به عنوان کسیکه در حوزه امنیت اطلاعات فعالیت می کنید باید بدانید که انجام یک حمله هکری موفقیت آمیز به منزله کامل شدن فرآیند حمله نیست ! شما فقط وظیفه نفوذ کردن به سیستم ها را ندارید بلکه باید بعد از انجام نفوذ موفقیت آمیز کلیه آثار فنی که می تواند باعث شناسایی شما بشود را حذف کنید ، برای مثال شما باید قابلیت log برداری سیستم را غیرفعال کنید ، لاگ های فعلی سیستم را حذف کنید ، آثار جرم و فایل های مشکوکی که روی سیستم هدف ایجاد کرده اید را حذف کنید ، ابزارهای جدید مخفی بر روی سیستم هدف ایجاد کنید و البته راه را برای نفوذهای بعدی باز کنید .

در حقیقت زیبایی یک کار تست نفوذ و هک موفق این است که شما بدون اینکه شناسایی شوید بصورت همیشگی بتوانید از سیستم هک شده استفاده کنید ! اگر هکری اینقدر ساده است که فقط یک بار می خواهد از سیستم هک شده استفاده کند ، پس همان بهتر که شناسایی شود . یک هکر موفق کسی است که اجازه نمی دهد که یک مدیر سیستم یا مدیر امنیت به کارهایی که بر روی سیستم یا شبکه هدف انجام داده است مشکوک شود که تغییرات امنیتی اعمال کند. در عین حال یک هکر حرفه ای تر ، کلیه لاگ های روی سیستم که ایجاد شده اند را نیز حذف نمی کند بلکه فقط و فقط لاگ های حمله خودش را حذف می کند. مهمترین لاگ هایی که یک مهاجم در زمان خروج از سیستم باید حذف کند موارد زیر هستند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. دستکاری کردن لاگ های Security شامل لاگین های ناموفق و دسترسی های غیرمجاز از طریق SECEVENT.EVT
  2. دستکاری کردن لاگ های System شامل لاگ های خطاهای درایوری و مشکلات ناشی از درست کار نکردن سیستم
  3. دستکاری کردن لاگ های Application ها شامل خطاها و هشدارهای نرم افزاری ( حدود دسترسی و ... )


پاک کردن اثر جرم یک نیاز اساسی برای هر هکری است که می خواهد مبهم و مخفی بماند . راه بازگشت مجدد شما به سیستم هک شده همین درست مخفی کردن آثار جرم است . هر لاگ مربوط به لاگین به سیستم هدف ، خطاهای احتمالی که در سیستم ثبت شده اند و به دلیل انجام فرآیند هک بوده است از مواردی است که باید به درست و کامل با روش های دقیق از سیستم حذف شوند . شما هیچکاری نباید انجام بدهید که مدیر سیستم با نگاه کردن به آن به فرآیند هک شدن مجموعه خودش شک کند. در حقیقت اولین کاری که یک مدیر سیستم انجام می دهد بررسی کردن لاگ ها برای پیدا کردن رفتارهای غیرعادی بر روی سیستم است ( البته اگه مدیر سیستم ایرانی نباشه ! 99 درصد در ایران لاگ بردرای فقط یک جوک هست و بس ) .

در بسیار موارد خود Rootkit هایی که بر روی سیستم کاشته می شوند خودشان لاگ های خودشان را حذف می کنند . اینها تازه شروعی برای استفاده از Backdoor ها در آینده هستند . توجه کنید که درست است که شما می توانید این اطلاعات را از سیستم حذف کنید اما نکته اینجاست که حتی با حذف کردن این اطلاعات در سیستم عامل های خانواده ویندوز امکان بررسی تغییرات با بررسی Hash ها وجود دارد که قبلا در خصوص مکانیزم Signature Verification برای جلوگیری از Rootkit شدن صحبت کرده ایم اما شما شک نداشته باشید که در 99 درصد سازمان های ایرانی حتی در مورد الگوریتم های SIV اطلاعاتی در دسترس نیست چه برسد به پیاده سازی آن ...


محمد نصیری
محمد نصیری

بنیانگذار توسینسو ، هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و عاشق طبیعت

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

07 آذر 1397 این مطلب را ارسال کرده

نظرات