Ataque Por Monitoração

os ataques por monitoração são baseados em software de monitoração de rede conhecido como ''sniffer'',instalado surreptamente pelos invasores.
o snifer grava os primeiros 128 bytes de cada sessão login,telnet e FTP session vista naquele segmento de rede local,comprometendo todo o trafego de/para qualquer máquina naquele segmento,bem como o trafego que passar por aquele segmento.os dados capturados incluem o nome do host destino,o username e a password.a informação é gravada num arquivo posteriormente recuperado pelo invasor para ter acesso a outras máquinas.
em muitos casos os invasores obtem acesso inicial aos sistemas usando uma das seguintes técnicas:

obtem o arquivo de passwords via FTP em sistemas impropiamente configurados.

obtem o arquivo de password de sistemas rodando versões inseguras do NIS
obtem acesso ao sistema de arquivos locais via pontos exportados para monatagem com
NFS,sem resrições.usam um nome de login e password caprturada por um sniffer rodando em
outro sistema.
uma vez no sistema,os invasores obtem privilegios de root explorando vulneravelmente
conhecidas,tal como rdist,sun sparc integer division,e arquivos utmp passiveis de escrita por todo mundo ou usando uma password de root capturada.
eles então instalam o software sniffer,registrando a informação capturada num
arquivo invisivel.adicionalmente,ele instalam cavalos de troia em substituição e uma ou mais dentre os seguintes arquivos do sistema,para ocultar sua presença:
/bin/login/usr/etc/kvm
/ps/usr/ucb/netstat

Posted in: Hacking