Изменение стандартного сценария атаки

Многие механизмы обнаружения атак работают по принципу сопоставления с образцом (шаблоном). Использование баз данных известных атак позволя­ет обнаруживать атаки с высокой степенью достоверности. Однако от таких систем можно очень легко уклониться, немного изменяя шаблон. Пример — замена символа пробела в действиях, реализующих ко­манду, на символ табуляции.

Замедление атаки

Из-за большого объема регистрируемых данных механизмы обнаружения атак неэффективно отслеживают атаки, растянутые во времени. Таким обра­зом, трудно обнаруживать "распределенное по времени сканирование", при котором нарушители проверяют один порт/адрес каждые 5 минут или даже каждый час.

Чистка журналов регистрации

Достаточно распространенный способ, заключающийся в удалении всех за­писей журнала регистрации, фиксирующих произведенные несанкциониро­ванные действия. Это позволяет скрыть от администратора атакованной системы все следы подозрительной деятельности.

Скрытые файлы и данные

Скрытие файлов и данных очень часто используется для того, чтобы замаски­ровать несанкционированную деятельность злоумышленника. При этом могут быть применены совершенно различные методики, различающиеся по слож­ности реализации. Например, установка атрибута Hiddenна файл, внедрение вредоносного кода в ядро операционной системы (дляUnix-подобных систем) или присоединение такого кода к какому-либо исполняемому файлу или биб­лиотеке.

Скрытие процессов

Аналогично предыдущему примеру, данный метод используется для скрытия деятельности злоумышленника на атакуемом узле. Для этого может быть также проведено изменение ядра операционной системы или специальных утилит, отвечающих за работу с процессами (например, утилиты psвUnix). Самым простым методом сокрытия несанкционированной деятельности процесса является изменение его имени на "стандартное" или похожее на стандартное. Например, враждебный процесс может иметь имяinternetd, iexplorer. exe.

 
Оригинал текста доступен для загрузки на странице содержания
< Пред   СОДЕРЖАНИЕ   Скачать   След >