Rate this post

Bao gồm các theo dõi, chúng tôi đã biết được cách kẻ tấn công ẩn các tệp độc hại trên máy tính mục tiêu bằng cách sử dụng các kỹ thuật ẩn chữ khác nhau, các luồng NTFS, trong số các kỹ thuật khác, để tiếp tục truy cập vào mục tiêu trong tương lai. Bây giờ kẻ tấn công đã thành công trong việc thực hiện hoạt động độc hại này, bước tiếp theo là loại bỏ bất kỳ dấu vết / dấu vết kết quả nào trong hệ thống, Che dấu vết là một trong tất cả các giai đoạn trong quá trình hack hệ thống. trong giai đoạn này, kẻ tấn công cố gắng che đậy và tránh bị phát hiện hoặc “lần ra” bằng cách che tất cả các “bản nhạc” hoặc nhật ký, được tạo trong khi giành quyền truy cập vào mạng hoặc máy tính mục tiêu. hãy xem cách kẻ tấn công xóa dấu vết của một cuộc tấn công trong máy tính mục tiêu.

Các bài viết liên quan:

Xóa bằng chứng có thể là một yêu cầu đối với kẻ tấn công, những người muốn giữ bí mật. đây có thể là một trong những phương pháp để tránh bị truy ngược. Điều này bắt đầu bằng việc xóa các nhật ký bị ô nhiễm và các thông báo lỗi có thể được tạo ra trong quá trình tấn công. Sau đó, những kẻ tấn công thực hiện các thay đổi trong cấu hình hệ thống để nó thực hiện các hoạt động bạo loạn trong tương lai. Bằng cách thao túng và chỉnh sửa nhật ký sự kiện, những kẻ tấn công lừa người giám sát tin rằng không có hoạt động độc hại nào trong hệ thống, mà không có sự xâm nhập hoặc thỏa hiệp nào thực sự xảy ra địa điểm.

Bởi vì điều chính mà người giám sát làm trong việc giám sát hoạt động bất thường là xem các tệp nhật ký hệ thống, nên những kẻ xâm nhập thường sử dụng tiện ích để thay đổi các nhật ký này. trong một số trường hợp, rootkit có thể vô hiệu hóa và loại bỏ tất cả các thảm hiện có. Những kẻ tấn công chỉ xóa những phần nhật ký có thể tiết lộ sự hiện diện của chúng nếu chúng sử dụng hệ thống trong một thời gian dài làm cơ sở khởi động cho việc khai thác lâu dài hơn.

Những kẻ tấn công bắt buộc phải hình thành hệ thống xuất hiện bởi vì nó đã làm trước khi có được quyền truy cập và một cửa hậu được thiết lập. điều này cho phép họ thay đổi bất kỳ thuộc tính tệp nào trở lại trạng thái ban đầu. Thông tin được liệt kê, như kích thước và ngày tháng của tệp, chỉ đơn giản là thuộc tính thông tin có trong tệp.

Việc bảo vệ chống lại những kẻ tấn công cố gắng che giấu dấu vết của chúng bằng cách thay đổi thông tin tệp thường rất khó. Tuy nhiên, có thể phát hiện xem kẻ tấn công có làm như vậy hay không bằng cách tính toán hàm băm mật mã của bộ lọc, loại băm này có thể là phép tính của toàn bộ tệp trước khi mã hóa.

Những kẻ tấn công có thể không muốn xóa toàn bộ nhật ký để ẩn dấu vết của chúng, vì làm như vậy có thể yêu cầu đặc quyền quản trị viên. Nếu những kẻ tấn công sẵn sàng chỉ xóa nhật ký sự kiện tấn công, chúng vẫn có thể thoát khỏi sự phát hiện.

Kẻ tấn công có thể thao tác các tệp nhật ký với sự hỗ trợ của:

  • SECEVENT.EVT (bảo mật): đăng nhập không thành công, truy cập tệp mà không có đặc quyền
  • SYSEVENT.EVT (hệ thống): Lỗi trình điều khiển, mọi thứ hoạt động không chính xác
  • APPEVENT.EVT (ứng dụng)

Các hoạt động chính mà kẻ tấn công thực hiện để xóa dấu vết của mình trên máy tính là:

  • Disable auditing: Kẻ tấn công vô hiệu hóa các tính năng kiểm tra của hệ thống đích
  • Clearing logs: Kẻ tấn công xóa / xóa các mục nhật ký hệ thống như các hoạt động của anh ta / cô ta
  • Manipulating logs: Kẻ tấn công thao túng nhật ký theo một cách nào đó để không bị bắt trong các hành động pháp lý

Do đó, toàn bộ công việc của kẻ tấn công không chỉ liên quan đến việc xâm nhập thành công hệ thống mà còn vô hiệu hóa việc ghi nhật ký, xóa các tệp Nhật ký, loại bỏ bằng chứng, trồng các công cụ bổ sung và che dấu vết của chúng.

Auditpol:

Một trong những bước đầu tiên đối với kẻ tấn công có khả năng dòng lệnh là xem trạng thái kiểm tra của hệ thống đích, xác định vị trí các tệp nhạy cảm (chẳng hạn như tệp mật khẩu) và cấy ghép các công cụ thu thập thông tin tự động (chẳng hạn như trình ghi nhật ký tổ hợp phím hoặc mạng người đánh hơi).

Windows ghi lại một số sự kiện nhất định vào Nhật ký sự kiện (hoặc Syslog liên quan). Nhật ký thường được thiết lập để gửi cảnh báo (email, máy nhắn tin, sau đó bật) cho người dùng máy tính. Do đó, kẻ tấn công sẽ muốn biết tình trạng kiểm toán của hệ thống mà hắn / cô ta đang cố gắng xâm nhập trước khi tiến hành các kế hoạch của mình.

Auditpol.exe là công cụ tiện ích hướng dẫn để thay đổi cài đặt Bảo mật Kiểm toán ở cấp danh mục và tiểu mục. Những kẻ tấn công có thể sử dụng Auditpol để bật hoặc tắt kiểm tra bảo mật trên các hệ thống cục bộ hoặc từ xa và để điều chỉnh các tiêu chí kiểm tra cho các loại sự kiện bảo mật khác nhau.

Kẻ tấn công sẽ thiết lập một phiên rỗng cho máy mục tiêu và chạy lệnh:

C:> Auditpol \

Điều này sẽ tiết lộ trạng thái kiểm tra này của hệ thống. Người đó có thể muốn vô hiệu hóa kiểm tra bằng cách:

C:>auditpol \/disable

Điều này sẽ thực hiện các thay đổi trong các nhật ký khác nhau có thể ghi lại hành động của kẻ tấn công. Anh ấy / cô ấy có thể ưu tiên ẩn các khóa đăng ký đã thay đổi sau đó.

Thời điểm mà những kẻ xâm nhập có được đặc quyền quản trị, chúng sẽ vô hiệu hóa việc kiểm tra với sự hỗ trợ của Auditpol.exe. Khi họ hoàn thành nhiệm vụ của mình, họ lại kích hoạt kiểm tra bằng cách sử dụng công cụ giống hệt nhau (Audit.exe).

auditpol /get /catagory:*

Những kẻ tấn công có thể sử dụng AuditPol để xem các cài đặt kiểm tra đã xác định trên máy tính đích, chạy lệnh tiếp theo tại dấu nhắc lệnh.

Trong nội dung này, hacker cố gắng che dấu vết ở đó, anh ta đã sử dụng luồng NTF để che dấu vết hoặc ẩn tệp để có thể sử dụng lại hệ thống xâm phạm, sau đó anh ta phải xóa tất cả tệp và nhật ký khỏi máy tính bị xâm phạm.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now