در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

چرا پاک کردن اثر جرم در هک (Covering Tracks) مهم است؟

خوب مسئله خیلی ساده است ! دزد خوب دزدیه که کسی نتونه اثری ازش پیدا کنه و پلیس دستگیرش کنه ! البته قطعا مثال دزد و پلیس برای هکرها چندان جالب نیست اما شما به عنوان کسیکه در حوزه امنیت اطلاعات فعالیت می کنید باید بدانید که انجام یک حمله هکری موفقیت آمیز به منزله کامل شدن فرآیند حمله نیست ! شما فقط وظیفه نفوذ کردن به سیستم ها را ندارید بلکه باید بعد از انجام نفوذ موفقیت آمیز کلیه آثار فنی که می تواند باعث شناسایی شما بشود را حذف کنید ، برای مثال شما باید قابلیت log برداری سیستم را غیرفعال کنید ، لاگ های فعلی سیستم را حذف کنید ، آثار جرم و فایل های مشکوکی که روی سیستم هدف ایجاد کرده اید را حذف کنید ، ابزارهای جدید مخفی بر روی سیستم هدف ایجاد کنید و البته راه را برای نفوذهای بعدی باز کنید .

در حقیقت زیبایی یک کار تست نفوذ و هک موفق این است که شما بدون اینکه شناسایی شوید بصورت همیشگی بتوانید از سیستم هک شده استفاده کنید ! اگر هکری اینقدر ساده است که فقط یک بار می خواهد از سیستم هک شده استفاده کند ، پس همان بهتر که شناسایی شود . یک هکر موفق کسی است که اجازه نمی دهد که یک مدیر سیستم یا مدیر امنیت به کارهایی که بر روی سیستم یا شبکه هدف انجام داده است مشکوک شود که تغییرات امنیتی اعمال کند. در عین حال یک هکر حرفه ای تر ، کلیه لاگ های روی سیستم که ایجاد شده اند را نیز حذف نمی کند بلکه فقط و فقط لاگ های حمله خودش را حذف می کند. مهمترین لاگ هایی که یک مهاجم در زمان خروج از سیستم باید حذف کند موارد زیر هستند :

  1. دستکاری کردن لاگ های Security شامل لاگین های ناموفق و دسترسی های غیرمجاز از طریق SECEVENT.EVT
  2. دستکاری کردن لاگ های System شامل لاگ های خطاهای درایوری و مشکلات ناشی از درست کار نکردن سیستم
  3. دستکاری کردن لاگ های Application ها شامل خطاها و هشدارهای نرم افزاری ( حدود دسترسی و ... )

پاک کردن اثر جرم یک نیاز اساسی برای هر هکری است که می خواهد مبهم و مخفی بماند . راه بازگشت مجدد شما به سیستم هک شده همین درست مخفی کردن آثار جرم است . هر لاگ مربوط به لاگین به سیستم هدف ، خطاهای احتمالی که در سیستم ثبت شده اند و به دلیل انجام فرآیند هک بوده است از مواردی است که باید به درست و کامل با روش های دقیق از سیستم حذف شوند . شما هیچکاری نباید انجام بدهید که مدیر سیستم با نگاه کردن به آن به فرآیند هک شدن مجموعه خودش شک کند. در حقیقت اولین کاری که یک مدیر سیستم انجام می دهد بررسی کردن لاگ ها برای پیدا کردن رفتارهای غیرعادی بر روی سیستم است ( البته اگه مدیر سیستم ایرانی نباشه ! 99 درصد در ایران لاگ بردرای فقط یک جوک هست و بس ) .

در بسیار موارد خود Rootkit هایی که بر روی سیستم کاشته می شوند خودشان لاگ های خودشان را حذف می کنند . اینها تازه شروعی برای استفاده از Backdoor ها در آینده هستند . توجه کنید که درست است که شما می توانید این اطلاعات را از سیستم حذف کنید اما نکته اینجاست که حتی با حذف کردن این اطلاعات در سیستم عامل های خانواده ویندوز امکان بررسی تغییرات با بررسی Hash ها وجود دارد که قبلا در خصوص مکانیزم Signature Verification برای جلوگیری از Rootkit شدن صحبت کرده ایم اما شما شک نداشته باشید که در 99 درصد سازمان های ایرانی حتی در مورد الگوریتم های SIV اطلاعاتی در دسترس نیست چه برسد به پیاده سازی آن ...

نویسنده : محمد نصیری
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#covering_tracks_چیست #حذف_آثار_جرم_در_هک #cover_track_در_تست_نفوذ #مراحل_انجام_یک_حمله_هکری #مراحل_انجام_تست_نفوذ_سنجی #مراحل_انجام_حمله_هکری
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....