Lite intressant läsning om hur hackers undgår upptäckt när de attackerar system.

Nedan finns en presentation från Metasploit.org handlar om deras senate metoder och verktyg för antiforensics.

Dels handlar det om att manipulera tidsstämplar med deras verktyg Timestomp. (http://www.metasploit.com/projects/antiforensics/timestomp.exe)

(Man letar ju efter filer som förändrats, skapats, accessats under tiden för attacken/intrånget.. ;)  )

Dessutom handlar det om att kringgå system som White/Blacklistar applikationen utifrån hashar. (Typ flippa en byte med en editor för att undvika blacklist, hashcollisions för att komma på en whitelist)

Vidare visar dom en avancerad metod för att gömma filer i NTFS slackspace med vertyget Slacker (http://www.metasploit.com/projects/antiforensics/slacker.exe)

En NTFS formattering skapar ju cluster med en viss storlek. Verktyget kan lagra filer på outnyttjad plats i redan använda clusters. En ännu inte speciellt känd metod för att gömma filer, och faktiskt ganska sneaky!

Sist men inte minst så pratar man om det uppenbara, men ändå myclet intressanta. Om man verkligen vill undgå upptäckt så är det ju bäst att inte nudda filsystemet, inte modda registret, inte starta processer och inte öppna portar.

Detta är möjligt vid exploatering av en tjänst under förutsättning att man använder rätt verktyg. Personligen brukar jag jobba med ett kommerciellt verktyg som heter Core Impact (Dyrt...). Metasploits variant heter Meterpreter och är en del av metasploit framework. Den fungerar som en agent och kan existera i minnesrumden för en exploaterad process. Meterpreter kan byggas ut med moduler för den funktionalitet man behöver, ett exempel på en sådan modul är Sam Juicer (http://www.metasploit.com/projects/antiforensics/SamJuicer.zip). Sam Juicer kan extrahera lösenordshasharna från SAM-databasen ur ett system utan att ens nudda disken.

Nog pratat, här är presentationen: http://www.metasploit.com/projects/antiforensics/CEIC2006-Defeating_Forensic_Analysis.pdf