В этих случаях злоумышленники обычно используют так называемые симметричные методы шифрования AES. Sarpent — один из таких распространенных методов, который используется с помощью закладок. Хотя Sarpent очень мощный, по прежнему он может 586

быть отражен с помощью атаки XSL, но он значительно мощнее, чем другие методы AES и злоумышленники используют это, так как они верят, что XSL пригоден для разрушения эффективного алгоритма типа Serpent.

Другие алгоритмы — SSH или VPN является стандартными методами, которые злоумышленники используют для шифрования трафика. Отправка пакетов с использованием VPN или SSH не обнаруживаема с помощью брандмауэра и администратора и злоумышленник может использовать стандартные сервисы, которые уже инсталлированы в сети для шифрования пакетов под управлением закладки.

8.3.1.5. Использование корневых комплектов

Хотя программные закладки могут быть очень опасными, но посколку они работают, как обычное приложение, они могут легко обнаруживаться. Взглянув на список задач системы с помощью сервисов или системного реестра можно увидеть закладку. Опытный злоумышленник использует более мощные закладки, называемые «корневые комплекты». Корневые комплекты работают, как часть операционной системы и не позволяют пользователю увидеть реальные задачи или сервисы. Операционная система будет под полным управлением злоумышленника и может спрятать любое, что угодно, в системе. Корневые комплекты, в свою очередь разделяются на две основные группы с различной архитектурой, «Классические корневые комплекты» и «Корневые комплекты Кернеля».

Классические корневые комплекты

Классические корневые комплекты сосредотачиваются на операционных системах на основе UNIX, таких, как Linux и SunOS. Обычно, в этих Корневых комплектах злоумышленники заменяют файл /bin/login другой версией, которая позволяет злоумышленнику использовать свое собственное имя и пароль для входа в систему. В этой ситуации если системный администратор меняет корневой пароль или ограничивает доступ корневого пользователя для дистанционной регистрации в системе, злоумышленник может регистрироваться с помощью своего собственного пароля. Он может также использовать для сохранения паролей других пользователей в базе данных злоумышленника.

Иногда классические корневые комплексы меняют команду ifconfig чтобы скрыть флаги карты сети от глаз администратора. Если они не меняют классический файл ifconfig во время пассивного прослушивания сети злоумышленником, администратор может увидеть флаг PROMISC и он может понять, что работает программа пассивного прослушивания сети.

Можно указать другие команды UNIX, которые обычно меняют под воздействие классических корневых комплектов для скрытия — du, find, is, netstat и ps.

Корневые комплекты Кернеля

Корневые комплекты Кернеля заменяют сами себя на так называемый «кернель» (ядро) операционной системы. В этом случае после запуска приложения операционная система сообщает результаты, которые желает злоумышленник. С корневыми комплектами Кернеля все процессы, задачи, конфигурации сети, номера портов, содержимое файлов и любое другое, могут представиться самим себе иным образом и злоумышленник может понудить операционную систему «лгать» относительно всего, что бы не захотел знать пользователь или администратор.

В случае применения корневых комплектов Кернеля обнаружение и отслеживание закладок очень сложно, поскольку и они даже могут останавливать антивирус или мониторы системы. Это самый мощный способ внедрения закладок.

Использование различных протоколов и номеров портов

Злоумышленник может использовать случайный номер порта вместо стандартных портов для работы сервисных программ и машины жертвы. Неожиданная работа сервиса SSH по порту 22, который всегда контролируется администратором, может вызвать отслеживание атаки системным администратором. Поэтому большинство злоумышленников использует другие номера портов для усложнения обнаружения работающих сервисов злоумышленника.

Некоторые закладки работают более профессионально. Они меняют номера портов используя протокол во время атаки. Например, «умная» закладка может изменить протокол связи от TCP на UDP и даже ICMP. Если системный администратор блокирует порт или протокол на шлюзе, закладка может автоматически переключиться на другой протокол или номер порта и позволить злоумышленнику подключиться к системе.

Реверсное управление

Большинство брандмауэров или администраторов блокируют некоторые соединения с внешним миром. Они могут позволить локальному пользователю только просматривать сайты и не более. Это может быть даже жестче с системой NAT и давая приватные адреса IP, становится невозможным для злоумышленника соединиться с системой, которая существует на приватной LAN.