t Fragment). Некоторые типы ОС устанавливают в отправляемых IP-пакетах флаг DF в целях повышения производительности.
Метод анализа начального размера окна TCP. Данный метод позволяет идентифицировать тип ОС на основе значения размерности окна TCP, которое устанавливается различными ОС. Так, например, системы класса Windows используют значение «0х402Е», в то время как системы AIX - «0x3F25».
Метод анализа номеров подтверждения (Acknowledge Number) в полях TCP-пакетов. Метод базируется на том предположении, что различные типы ОС по-разному формируют значения номеров подтверждения.
Метод анализа частоты поступления ICMP-сообщений об ошибках. Согласно стандарту RFC 1812 операционные системы должны ограничивать частоту посылки ICMP-сообщений об ошибках. Некоторые ОС, такие как Linux, выполняют это требование, что делает возможным их идентификацию путем формирования большого количества UDP-пакетов на закрытый порт и анализа частоты поступления сообщений об ошибках.
Метод анализа текста сообщений об ошибках в ICMP-пакетах. Различные виды ОС отсылают разный объем информации для одних и тех же сообщений об ошибках. Эта особенность позволяет определить тип ОС путем анализа полученного текста сообщения.
Метод проверки целостности поступающих ICMP-сообщений об ошибках. Согласно спецификации протокола ICMP, все сообщения об ошибках должны также содержать копию исходного IP-пакета, в ответ на который и отсылается сообщение. Однако некоторые ОС модифицируют исходные поля IP-пакета в возвращаемых сообщениях, что дает возможность провести их идентификацию.
Метод анализа поля «Туре of Service», который основан на проверке поля «ToS» сообщений «ICMP port unreachable». В зависимости от типа ОС в этом поле будут содержаться различные числовые значения.
Метод сканирования на основе фрагментированных IP-дейтаграмм. Метод основан на том, что различные ОС по-разному обрабатывают некорректным образом фрагментированные пакеты данных. В зависимости от результатов этой обработки имеется возможность идентифицировать тип ОС.
Метод сканирования с использованием различных параметров TCP, который предполагает анализ реакции узла на TCP-пакеты с различными значениями в поле «Параметры» (Options).
Наиболее распространенной утилитой для идентификации типа ОС является «пгпар»4, в которой реализовано большинство из рассмотренных методов сканирования ОС.
Еще одним методом сбора информации о параметрах системы может являться сканирование прикладных сервисов, работающих в АС. В данном случае для проведения сканирования используются протоколы прикладного уровня стека TCP/IP, которые поддерживаются прикладными сервисами. В качестве примеров методов сканирования этой группы можно привести следующие:
Метод SNMP-сканирования. Протокол SNMP (Simple Network Management Protocol) предназначен для мониторинга и управления параметрами работы хостов АС. В основу данного протокола заложена модель взаимодействия между агентом и менеджером, в рамках которой в качестве агента выступает управляемый программный модуль, выполняющий функции сбора необходимой информации о работе АС, а также выполнения команд, полученных от менеджера. Агенты SNMP могут быть установлены на рабочих станциях пользователей, серверах, коммуникационном оборудовании и других узлах АС. При этом на стороне агентов информация хранится в специальных структурированных базах данных MIB (Management Information Base). Сканирование заключается в извлечении информации из MIB-баз агентов при помощи SNMP-запросов. Состав информации, которую можно получить при помощи SNMP-сканирования зависит от структуры баз данных MIB. Так, например, сканирование штатного SNMP-агента ОС Windows 2000 может позволить получить список зарегистрированных пользователей, перечень общедоступных файловых ресурсов, имя домена, сведения о запущенных службах и др.
Метод NetBIOS-сканирования, который позволяет использовать одноименный протокол для получения информации о параметрах ОС Windows. Данный метод сканирования позволяет получать информацию о зарегистрированных пользователях, общедоступных файловых ресурсах, списке доменов Windows и др. При этом для сбора этой информации могут использоваться штатные утилиты ОС Windows, такие как «net view» и «nbtstat». Метод NetBIOS-сканирования основан на возможности анонимного подключения к общедоступному ресурсу 1РС$, который по умолчанию присутствует в ОС Windows.
Сканирование при помощи сетевого сервиса finger. Служба finger используется в ОС класса UNIX для предоставления удаленным клиентам информации о пользователях, зарегистрированных в системе. Атакующий может сформировать запросы к данной службе с целью получения списка пользователей, работающих на сканируемом сервере.
Сканирование на основе протокола RPC. Протокол RPC (Remote Procedure Call) обеспечивает возможность взаимодействия распределенных приложений посредством удаленного вызова и исполнения процедур на стороне сервера. Согласно данному протоколу для получения доступа к приложению все клиенты сначала должны подключиться к так называемому картографу портов (RPC portmapper), который предоставляет возможность получения списка приложений, запущенных на сервере, а также номеров портов, по которым они доступны. Эта функциональная особенность протокола RPC может быть использована потенциальным атакующийом для сбора информации о приложениях, присутствующих в АС.
Кроме рассмотренных выше методов сканирования существуют также и другие способы сбора информации, которые могут применяться нарушителем для получения необходимых данных. К таким способам можно отнести следующие:
Анализ сетевого трафика посредством перехвата передаваемых пакетов данных. Для этого атакующий может использовать специальные программные анализаторы трафика, при помощи которых можно определить существующие информационные потоки АС, схему адресации узлов, а также типы сетевых сервисов, используемых в АС;
Анализ информации, опубликованной в общедоступных источниках сети Интернет. Например, такие данные об особенностях АС организации могут присутствовать на ее DNS-серверах или Web-сайтах. Подобная информация также может быть найдена в сообщениях Интернет- форумов, которые публикуются сотрудниками компании;
Использование методов «социальной инженерии» для сбора необходимой информации у сотрудников компании. Методы этого типа предполагают использование обмана и мошенничества для получения нужных данных.
Основная задача сбора информации на этапе рекогносцировки заключается в поиске уязвимых мест АС, которые могут быть использованы при проведении дальнейших стадий атаки.
Итак: Применяем снифферы и сканеры: Xspider 7.5, Nmap, Nessus.
Стадия вторжения и атакующего воздействия
Методы реализации этапов вторжения и атакующего воздействия зависят от большого количества факторов, а именно: откуда проводится атака, что является ее целью, какими средствами защищена система, какие уязвимости используются во время атаки и др. С учетом этого, для иллюстрации возможных действий нарушителя на этих этапах лучше всего рассмотреть несколько примеров различных моделей информационных атак.
Модель информационной атаки на общедоступный Web-портал. Web- порталы представляют собой автоматизированные системы, предназначенные для предоставления различных услуг и сервисов через сеть Интернет. Порталы этого типа могут применяться для решения самых разнообразных задач, таких, например, как реклама в сети Интернет характера деятельности компании, организация Интернет-торговли или же обеспечение работы системы «Клиент-Банк». Этому способствует тот факт, что на сегодняшний день на отечественном рынке информационных технологий представлено несколько готовых промышленных решений, на основе которых возможно построение полнофункциональных Web- порталов. К таким решениям относится семейство продуктов «Internet Information Services» компании Microsoft, «Sun ONE Portal» компании Sun Microsystems и «WebSphere» компании IBM.
Типовая архитектура Web-портала, как правило, включает в себя следующие основные компоненты:
публичные Web-серверы, которые обеспечивают доступ пользователей сети Интернет к информационным ресурсам портала;
кэш-серверы, обеспечивающие временное хранение копии ресурсов, к которым получали доступ Интернет-пользователи. При обращении к ресурсам Web-портала первоначально производится попытка извлечения ресурса из памяти кэш-серверов, и только, если ресурс там отсутствует, запрос передается публичным Web-серверам. Использование кэш-серверов позволяет снизить нагрузку на основные публичные серверы, а также уменьшить время доступа пользователей к кэшированным ресурсам;серверы, обеспечивающие возможность преобразования символьных имен серверов Web-портала в соответствующие им 1Р-адреса;
серверы приложений, на которых установлено специализированное программное обеспечение, предназначенное для управления информационным содержимым Web-портала;
серверы баз данных, которые обеспечивают централизованное хранение информационных ресурсов Web-портала;
коммуникационное оборудование, обеспечивающее взаимодействие между различными серверами Web-портала.
Таблица1Варианты реализации атак на эти компоненты Web-портала
№Компонент Web-порталаОписание возможных атак на Web-портал1Пограничный маршрутизаторАтаки, направленные на нарушение работоспособности маршрутизатора посредством использования уязвимостей реализации стека TCP/IP. В результате реализации атак данного типа блокируется доступ пользователей к ресурсам Web-портала; атаки, направленные на несанкциониров. изменение таблиц маршрутизации с целью блокирования корректного перенаправления пакетов данных Web-cepBepy портала2DNS-серверАтаки, направленные на нарушение целостности таблиц соответствия символьных имен и IP-адресов Web-cepBepa (в случае успешного проведения атаки пользователи будут перенаправляться на ложный сервер и не смогут получить доступ к ресурсам портала); атаки, направленные на нарушение работоспособности DNS-сервера посредством использования уязвимостей типа «buffer overflow»3Web-cepвepРаспределенные атаки типа «отказ в обслуживании», направленные на блокирование доступа к серверу посредством формирования большого количества запросов на установление TCP-соединения из различных источников; атаки, направленные на искажение документов, хранящихся на сервере при помощи вредоносного кода, запущенного посредством использования уязвимостей типа «format string»4Сервер СУБДАтаки, направленные на искажение содержимого баз данных портала посредством использования уязвимостей типа «SQL Injection»; атаки, направленные на нарушение работоспособности сервера СУБД посредством использования уязвимостей типа «buffer overflow»
Исходя из приведенной выше структуры Web-портала, атаки нарушителей могут быть направлены на пограничные маршрутизаторы, публичные Web-серверы, серверы приложений и баз данных, а также DNS-серверы. Различные варианты реализации атак на эти компоненты Web-портала рассмотрены в табл. 1.
Модель атаки, направленной на утечку конфиденциальной информации.
Информационные атаки, направленные на утечку конфиденциальной информации, могут быть разделены на два типа - внешние и внутренние. Источник внешних информационных атак находится за пределами АС, поэтому для их реализации атакующий должен сначала получить несанкционированный доступ к одному из внутренних ресурсов системы. Для этого, как правило, первоначально проводится атака на сетевые службы, доступные из сети Интернет, такие как Web-сервисы, почтовые службы, файловые сервисы и др. В случае успешной атаки на эти ресурсы они могут быть использованы в качестве плацдарма для проведения атаки изнутри АС.
Однако наиболее опасными являются внутренние атаки, в которых в качестве потенциальных атакующийов часто выступают сотрудники компании. При этом такие сотрудники имеют легальный доступ к конфиденциальной информации, который им необходим для выполнения своих функциональных обязанностей. Целью такого рода нарушителей является передача информации за пределы АС с целью ее последующего несанкционированного использования - продажи, опубликования ее в открытом доступе и т. д. В этом случае можно выделить следующие возможные каналы утечки конфиденциальной информации:
Несанкционированное копирование конфиденциальной информации на внешние носители и вынос ее за пределы контролируемой территории предприятия. Примерами таких носителей являются флоппи-диски, компакт-диски CD-ROM, Rash-диски и др.
Вывод на печать конфиденциальной информации и вынос распечатанных документов за пределы контролируемой территории. Необходимо отметить, что в данном случае могут использоваться как локальные принтеры, которые непосредственно подключены к компьютеру атакующего, так и удаленные, взаимодействие с которыми осуществляется по сети.
Несанкционированная передача конфиденциальной информации по сети на внешние серверы, расположенные вне контролируемой территории предприятия. Так, например, атакующий может передать конфиденциальную информацию на внешние почтовые или файловые серверы сети Интернет, а затем загрузить ее оттуда, находясь дома или в любом другом месте. Для передачи информации нарушитель может использовать протоколы SMTP, HTTP, FTP или любой другой протокол в зависимости от настроек фильтрации исходящих пакетов данных, применяемых в АС. При этом с целью маскирования своих действий нарушитель может предварительно зашифровать отправляемую информацию или передать ее под видом стандартных графических или видео-файлов при помощи методов стеганографии.
Хищение носителей, содержащих конфиденциальную информацию - жестких дисков, магнитных лент, компакт-дисков CD-ROM и др.
Модель вирусной сетевой атаки на внутренние информационные ресурсы АС. Информационный вирус представляет собой специально созданный программный код, способный самостоятельно распространяться в компьютерной среде. В настоящее время можно выделить следующие типы вирусов: файловые и загрузочные вирусы, «сетевые черви», бестелесные вирусы, а также комбинированный тип вирусов. В данном разделе рассматривается лишь одна из разновидностей вирусов - «сетевые черви», которые распространяются в системе посредством использования имеющихся уязвимостей программного обеспечения. Вот лишь несколько примеров компьютерных вирусов данного типа, которые основываются на уязвимостях типа «buffer overflow»:
«W32. Blaster.Worm», который базируется на уязвимости «buffer overflow» в службе DCOM RPC ОС Windows 2000/ХР;
«W32.Slammer.Worm», распространение которого по сети осуществляется на основе переполнения буфера в одной из подпрограмм сервера СУБД Microsoft SQL Server 2000;
«W32.Sasser.Worm», который инфицирует хосты путем использования уязвимости «buffer overflow», содержащейся в системной службе LSASS.
Источники вирусных угроз безопасности могут находиться как внутри, так и вовне АС. Внутренние угрозы связаны с действиями пользователей и персонала, обслуживающего АС. Внешние угрозы связаны с вирусными атаками из сети Интернет или других сетей связи общего пользования, к которым подключена АС.
Инфицирование АС вирусами может осуществляться посредством локального или сетевого взаимодействия с узлами АС. Локальное взаимодействие предполагает использование съемных носителей, таких как диски CD-ROM или DVD-ROM, floppy- и zip-диски, USB-диски, а также карты дополнительной памяти, которые применяются в мобильных устройствах, таких как PDA, смартфоны, фотоаппараты и т. д. Инфицирование АС в этом случае может осуществляться посредством загрузки хоста с зараженного носителя или запуска зараженного файла. При этом съемные носители могут подключаться к хостам АС при помощи внешних портов типа USB, FireWire, COM, LPT и др.
Для инфицирования АС через сетевое взаимодействие может быть использован один из следующих базовых методов:
Электронная почта. В соответствии с результатами последних исследований ассоциации ICSA электронная почта является основным каналом проникновения вирусов в АС. В большинстве случае рассылка вируса осуществляется по тем адресам, которые входят в состав адресных книг, хранящихся на зараженных хостах. При этом для передачи инфицированных почтовых сообщений вирусы могут использовать как штатные почтовые клиенты, установленные на хостах, так и собственное клиентское ПО, интегрированное в код вируса.
Инфицирование вирусами может осуществляться по любым протоколам, обеспечивающим возможность передачи почтовых сообщений - SMTP, POP3, IMAP и др.
Пиринговые сети P2P (Peer-To-Peer), которые представляют собой файлообменные сети, для подключения к которым должно использоваться специализированное ПО. Примерами таких сетей являются «eDonkey», «DirectConnet», «BitTorrent» и «Kazaa». За последние несколько лет было зафиксировано несколько видов вирусов, которые распространяли инфицированные файлы через сети данного типа.
Сетевые каталоги и файлы, в которых хранится информация общего доступа. Данный метод инфицирования АС предполагает удаленное заражение файлов, расположенных в общедоступных каталогах. Такие каталоги также могут быть использованы для копирования в них инфицированных файлов. Доступ вирусов к сетевым каталогам и файлам может осуществляться по таким протоколам как SMB, NFS, FTP и др.
Система обмена мгновенными сообщениями (instant messaging). На сегодняшний день большинство систем данного типа, такие как ICQ и Windows Messenger позволяют обмениваться не только текстовыми сообщениями, но и файлами. Эта функциональная возможность может быть использована вирусами для своего распространения среди пользователей, которые применяют на своих рабочих станциях системы обмена сообщениями.
Протоколы доступа к Интернет-ресурсам. Инфицированные файлы могут попасть в АС из сети Интернет по таким протоколам как HTTP, FTP, NNTP и др. При этом заражение хоста через протокол HTTP может осуществляться не только посредством передачи инфицированных файлов, но и ActiveX-объектов, Java-апплетов, а также JavaScript/VBScript-сценариев.
Протоколы доступа к внутренним корпоративным информационным ресурсам, такие как DCOM, CORBA, TDS, RPC и др.
Вирусные атаки могут быть направлены на рабочие станции пользователей, серверы, коммуникационное оборудование и каналы связи. Как правило, сетевые вирусные атаки приводят к следующим последствиям:
нарушение работоспособности инфицированных хостов;
нарушение работоспособности определенных сетевых сервисов, запущенных на инфицированных хостах;
нарушение работоспособности каналов связи в результате генерации большого объема трафика.
Модель атаки на рабочие станции пользователей, работающих с Интернет-ресурсами. Информационные атаки на рабочие станции пользователей, как правило, направлены на получение несанкционированного доступа к информации, хранящейся на этих станциях. Другой распространенной целью атакующийов является получение полного контроля над компьютером пользователя с целью его последующего использования для выполнения несанкционированных действий от имени пользователей. Для реализации этих атак атакующийи могут использовать имеющиеся уязвимости клиентского ПО, установленного на рабочих станциях пользователей. Примером программных продуктов, которые могут быть подвержены атакам, являются Интернет-браузеры, почтовые клиенты, FTP-клиенты для загрузки файлов и др. Для успешного проведения атаки к клиентской программе должен поступить вредоносный код, предназначенный для использования имеющейся в ней уязвимости. Для этого нарушитель может сделать так, чтобы пользователь при помощи Интернет-браузера обратился к ресурсу определенного Web-сайта, с которого автоматически на компьютер пользователя будет загружен вредоносный код. Еще одним способом проведения атаки является посылка пользователю электронного письма, содержащего вредоносный код, который автоматически будет запущен при просмотре почтового сообщения.
Наиболее распространенные уязвимости Интернет-браузеров, на основе которых атакующийи могут реализовывать информационные атаки, приведены ниже.
Уязвимости типа «buffer overflow», при помощи которых нарушитель может запустить на стороне рабочей станции произвольный вредоносный код.
Неправильная конфигурация Интернет-браузера, позволяющая загружать вредоносные объекты ActiveX. ActiveX-объекты представляют собой полноценные программные приложения, имеющие высокие привилегии работы в ОС.
Уязвимости в реализации виртуальной машины Java, интегрированной в Интернет-браузеры. Данную уязвимость могут использовать Java- апплеты, являющиеся специальными программами, которые выполняются в среде браузера. В результате использования уязвимости такого типа может быть нарушена работоспособность браузера или собрана информация о компьютере, на котором запущен Java-апплет.
Ошибки в ПО браузера, позволяющие получать несанкционированный доступ к файловым ресурсам рабочих станций. Уязвимости данного типа могут быть использованы при помощи сценариев JavaScript/VBScript, запускаемых при доступе пользователя к ресурсам Web-сайта атакующего.
Ошибки в ПО браузера, которые могут использоваться атакующегоми для подделки Web-сайтов. На основе уязвимости данного типа может быть проведена атака, в результате которой пользователь будет перенаправлен на Web-сайт нарушителя, в то время как в адресной строке браузера будет отображаться имя легального информационного ресурса.
Рассмотренные уязвимости характерны для большинства современных Интернет-браузеров, включая Internet Explorer, Mozilla FireFox и Opera, для которых не установлены соответствующие модули обновления программного обеспечения.
На этой стадии работаем с программами по взлому.
Наиболее распространенные и востребованные программы от журнала «Хакер»: 1. Back Orifice #"justify">.Flood Bot Front End #"justify">4.ICQ Flooder #"justify">у в ICQ сети. Очень проста в обращении. Приятный интерфейс. 6.WinNuke #"justify">.MultiLate #"justify">.Essential Net Tools #"justify">.Legion.NetBiosTool #"justify">а. Сама подключает сетевые диски.
.Ident IRC crasher #"justify">.IRC Killer #"justify">.Icq Shut Down #"justify">.PortScan 7 Phere #"justify">.PortFuck #"justify">.KaBoom #"justify">.NetBus Version2.0 Pro #"justify">21.Multi Trojan Cleaner #"justify">.PGP http:/www.pgpi.com Самая популярная программа шифрования с открытым ключом. Широко используется в электронной почте (e-mail).
Применение некоторых из перечисленных программ в целях совершения неправомерных действий может привести к уголовной ответственности (как, впрочем, и использование в тех же целях кухонного ножа, топора, ксерокса или, например, монтировки).
Стадия дальнейшего развития атаки
На последней стадии проведения информационной атаки атакующий может совершать следующие основные группы действий:
установка вредоносного ПО на атакованный узел с целью получения удаленного канала управления;
использование атакованного узла в качестве плацдарма для проведения атаки на другие узлы АС;
скрытие следов своего присутствия в системе.
После того, как атакующий смог получить несанкционированный доступ к ресурсам узла АС посредством использования различных уязвимостей, он может установить на этот узел вредоносное программное обеспечение типа «троянский конь» (Trojan Horses). В настоящее время можно выделить два основных вида программ типа «Троянский конь»:
программы типа RAT (Remote Access Trojans) или «Backdoor», предоставляющие атакующийу возможность удаленного несанкционированного доступа к хостам АС. Примерами таких программ являются «BackOrifice», «SubSeven», «Cafeene» и др.
программы типа «Rootkits», которые представляют собой набор специализированных программных средств, позволяющих нарушителю получить удаленный доступ к хостам АС, а также выполнять действия по перехвату клавиатурного ввода, изменению журналов регистрации, подмены установленных приложений и т. д.
Как правило, троянские программы маскируются под штатное ПО операционной системы, что осложняет процесс их выявления и удаления из АС. Программы данного класса предполагают наличие удаленного канала управления, при помощи которого нарушитель может выполнять команды на хостах. Каналы управления троянскими программами могут быть двух типов.
Канал, в котором инициатором соединения является узел атакующего. Такой метод управления предполагает запуск на инфицированном компьютере сетевой службы, прослушивающей определенный TCP- или UDP-порт. При возникновении необходимости в передаче команды управления программа нарушителя устанавливает соединение с хостом и посылает заданную информацию. Характерной особенностью каналов управления данного типа является использование нестандартных номеров портов и протоколов, по которым передаются команды программам типа «Троянский конь».
Канал, в рамках которого команды передаются по инициативе троянской программы. При использовании такого метода управления троянская программа с заданной периодичностью подключается к внешнему ресурсу и получает от него определенные команды. Как правило, передача команд управления в этом случае осуществляется по стандартным протоколам сети Интернет, таким как SMTP, POP3 или HTTP. Обнаружение несанкционированных каналов управления данного типа осложнено тем, что в процессе их работы не используется специфических протоколов или номеров портов.
Кроме троянских программ нарушитель может также установить на рабочую станцию пользователя другой вид вредоносного ПО - «spy- ware» или «adware». Программы типа «spyware» предназначены для сбора определенной информации о работе пользователя. Примером таких данных может служить: список Web-сайтов, посещаемых пользователем, список программ, установленных на рабочей станции пользователя, содержимое сообщений электронной почты и др. Собранная информация перенаправляется программами «spyware» на заранее определенные адреса в сети Интернет. Вредоносное ПО данного типа может являться потенциальным каналом утечки конфиденциальной информации из АС.
Основная функциональная задача вредоносных программ класса «adware» заключается в отображении рекламной информации на рабочих станциях пользователей. Для этого, как правило, эти программы показывают на экране пользователя рекламные баннеры, содержащие информацию о тех или иных товарах и услугах. В большинстве случаев программы «adware» распространяются вместе с другим ПО, которое устанавливается на узлы АС. Несмотря на то, что программы типа «adware» не представляют непосредственную угрозу для конфиденциальности или целостности информационных ресурсов АС, их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций. Кроме того, программы «adware» могут отвлекать пользователей от выполнения своих служебных обязанностей из-за необходимости выполнять действия, связанные с закрытием диалоговых окон с рекламной информацией.
На основе удаленного канала управления, установленного при помощи программ типа «троянский конь», атакующийи могут использовать скомпрометированные узлы в качестве стартовой площадки для проведения других атак. При этом обеспечивается анонимность атаки, поскольку реализуется она фактически от имени чужих узлов. Вот лишь некоторые примеры действий, которые может совершать нарушитель при помощи узлов:
Рассылка спама. Для этого на контролируемые атакующийом узлы устанавливается ПО почтового сервера, при помощи которого осуществляется массовая рассылка почтовой корреспонденции.
Проведение распределенных атак типа «отказ в обслуживании». В этом случае по команде атакующего узлы, находящиеся под его контролем, могут начать одновременную атаку на указанный хост. Примером такой атаки может являться генерация большого количества запросов на установление соединения, в результате которых может быть заблокирован доступ к атакованному хосту.
Проведение сканирования подсети, в которой расположен скомпрометированный узел. Для этого выполняются действия, относящиеся к стадии рекогносцировки жизненного цикла атаки.
Для снижения риска обнаружения информационной атаки атакующий может применять различные методы скрытия следов своего присутствия в АС. Для этого, в первую очередь, осуществляется удаление записей журналов регистрации, которые могут указывать на признаки проведения атаки. При этом удаляется информация не только из системных журналов, таких как SysLog или EventLog, но и журналов прикладного ПО, на которое совершалась атака. Так, например, если была проведена атака на WеЬ-сервер Microsoft IIS, то данные о действиях нарушителя могут быть сохранены в журнале этого сервера.
Помимо очистки журналов аудита нарушителем могут совершаться действия и по маскированию вредоносного ПО, которое было установлено в системе. Для этого файлы вредоносных программ могут заменять собой файлы компонентов ОС. В данном случае можно не заметить изменений, поскольку не изменится состав файлов, хранящихся на компьютере.
программа вычислительный сеть портал