Пакет ICMP выглядит как ping и ping-response

28.02.2020

Системные администраторы часто применяют знакомую команду net stat-па, чтобы просмотреть процессы, слушающие TCP- и UDP-порты. Флаг -п указывает, что следует напечатать номера портов и системные адреса (вместо названий сервисов и имен машин), в то время как флаг а говорит, что должны быть перечислены все слушающие порты. В дополнение к запуску nets tat системные администраторы могут периодически сканировать порты своих систем для обнаружения слушателей черного хода, пользующихся инструментом типа Nmap. Однако ICMP не применяет концепцию порта, поэтому не связан с nets tat и не выявляется при сканировании портов. Таким образом, Loki сбивает приемы обнаружения со следа, пролетая под радарными заслонами этих обычных методов системного администратора. Заметить работу демона Loki во внутренней системе можно лишь по выполняющемуся в ней процессу с привилегиями супервизора и снующим взад и вперед пакетам ICMP.

Loki также способен действовать через UDP-порт 53, маскируя свои пакеты под запросы и ответы DNS. Он поддерживает переключение протоколов «на лету» вводом слова /swapt в ответ на приглашение оболочки клиента, переключаясь между ICMP и UDP-портом 53. В режиме UDP Loki обнаруживается в выводе команды net stat -па и может быть идентифицирован при сканировании портов. Кроме того, для дальнейшего снижения заметности соединения Loki поддерживает шифрование информации в поле полезного груза ICMP, используя алгоритмы: Blowfish для шифрования и Diffie-Hellman для обмена ключами.

Любите азарт? Играйте в казино вулкан ставка онлайн и выигрывайте.

Описанный прием транспортировки тайных сообщений через ICMP ни в коем случае не ограничивается Loki. Некоторые другие инструменты, в том числе подключаемая программа BOSOCK32 для Back Orifice 2000, применяют указанный подход. После установки BOSOCK32 все данные между клиентом и сервером В02К зашифровываются и передаются через ICMP. Инструмент BOSOCK32 обычно был доступен на домашней странице В02К, но потом загадочно исчез. Однако и этот инструмент, и подобные ему распространяются в среде андеграунда.

«Loki интересен», - скажете вы, но вы-то слишком умны, чтобы разрешить входящий и/или исходящий трафик ICMP в своей сети. Конечно, блокировка ping - неудобство для пользователей, однако безопасность превыше всего. Так что вы спокойны в отношении тайных каналов, верно? Но, к сожалению, Loki и ICMP-туннелирование - всего лишь маленькая область в огромном мире возможных тайных каналов для атакующего. Другой особенно коварный прием состоит в переносе команд оболочки посредством HTTP, что было реализовано в инструменте, метко названном Reverse WWW Shell1.








Нас выбрали

partners3