@烟雨
3年前 提问
1个回答
攻击者清除攻击痕迹的方法有哪些
一颗小胡椒
3年前
官方采纳
日志是攻击者获得系统权限后首先要清除的对象,通常清除的方式是删除日志。由于删除日志会导致日志的缺少,在审计时会被发现,因此部分高明的攻击者可能会伪造日志,以避免被审计发现。例如,篡改日志文件中的审计信息、改变系统时间造成日志文件数据紊乱、删除或停止审计服务进程、修改完整性检测标签等。
一般攻击者需要清除操作系统、安全防护设备(如防火墙、IDS等),以及重要系统服务(如WWW服务等)中记录的日志文件。以UNIX操作系统为例,它包含wtmp/wtmpx、utmp/utmpx和lastlog三个主要日志文件,攻击者何时进行攻击、从哪个站点进入、在线时长等信息都会记录在上述文件中。这些日志文件在不同UNIX操作系统中存放在不同的缺省目录下,通常只有root权限用户才有权修改。攻击者往往先定位攻击活动相关记录,再进行修改或删除,也可以利用特定工具来完成。
防火墙、入侵检测等安全防护设备都具有审计功能,攻击者采用欺骗、干扰等手段影响日志审计系统的正常工作,以达到无法记录攻击行为的目的。例如,攻击者可以利用防火墙中的漏洞,暂停其审计功能的运行。对于IDS,攻击者要避免IDS的发现,通常采用的方法有:伪装IP地址发起攻击;改变攻击方法,使得IDS缺少新的攻击模式特征,无法发现新的攻击行为;干扰IDS的运行,使IDS无法辨认真实的攻击,比如对IDS进行DoS攻击,使其处于报警状态,无法判断真正的攻击行为。
攻击者对于攻击时产生的临时文件通常也是采取删除的做法,删除的临时文件在系统上标识其硬盘空间已经被释放,可以用于存储其他数据,但在其他数据未覆盖前,这部分数据始终存在硬盘上,可被数据恢复软件恢复。部分攻击者会采取向硬盘上反复写入、擦除数据来确保临时文件无法被恢复出来。