LogWiper: falsificare il log degli accessi

neverloggedinTra gli obiettivi principali di un Hacker, c’è quello di poter accedere in maniera arbitraria in un sistema precedentemente attaccato.

La sua presenza però, viene generalmente rivelata dalla modifica di file, librerie di funzioni, o più semplicemente dall’installazione di backdoor.

In questo scenario, il modo più furtivo per collegarsi al server, è quello di utilizzare le credenziali di autenticazione di un utente privilegiato. A seguito del primo accesso e della conseguente scalata ad utente amministratore, un Hacker, senza alterare il sistema con sniffer e keylogger o avvalendosi di particolari escamotage, può ottenere la password craccando il file “shadow”.

Oggigiorno, esistono servizi di “cloud cracking” che mettono a disposizione migliaia di macchine per il calcolo distribuito, e consentono di fare un brute force di chiavi a 9 caratteri in meno di 2 settimane. L’immediato problema di questa tecnica, e quindi la questione che approfondiremo nell’articolo, è che tale tipo di accesso venga tracciato.

In qualunque momento, infatti, è possibile conoscere la lista degli utenti collegati al server.

logclean1

Il bersaglio dell’Hacker a questo punto, è quello di falsificare le informazioni contenute nei registri dei login, come ad esempio:

  • utmp: dove sono memorizzate informazioni su chi sta usando attualmente il sistema;
  • wtmp: registro dei login e logout degli utenti che hanno utilizzato il sistema.

Entrambi i file sono in formato binario, e non possono essere modificati con un semplice editor di testo, in quanto il loro contenuto risulterebbe illegibile:

logclean2

Per editarli, utilizzeremo la struttura “utmp”:

Ecco un esempio di codice che può essere usato per falsificare il log degli utenti connessi al sistema, correlato da uno screenshot dimostrativo:

logclean3

Con questa funzione, che ingloba una routine che gestisce la data di login e logout utente, potremo editare anche “wtmp”:

logclean4

Il codice sorgente completo, fornito a scopo didattico e rilasciato con licenza GNU GPLv3, è disponibile qui:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Accedi

Registrati | Password dimenticata?