Loki: тайные каналы посредством ICMP

Многие сети позволяют получать ICMP-пакеты, чтобы пользователи могли применять ping или tracerout к Web-сайтам при поиске неисправностей. Предположим, что атакующий захватывает такой Web-сервер, устанавливает слушателя черного хода и хочет поддерживать с ним связь. Конечно, этот нехороший парень может установить слушателя черного хода на определенном порте, но это легко обнаружить. Более незаметный подход состоял бы в применении протокола ICMP как туннеля для переноса интерактивной связи со слушателем черного хода. Хотя существует много инструментов, использующих туннели над ICMP для образования тайного канала, одним из наиболее популярных является Loki (произносится «лоу-ки»),

Loki был создан daemon9 для обеспечения доступа в терминальном режиме по протоколу ICMP, что обнаружить гораздо труднее, чем другие черные ходы, основанные на TCP или UDP. Loki описывается в 49-м номере сетевого журнала Phrack, его исходный текст доступен в 51-м номере того же журнала (оба на www.phrack.comL Инструмент часто используется в системах с Linux, FreeBSD, OpenBSD и Solaris и, похоже, был также перенесен на другие платформы. Атакующий вводит команды после приглашения в клиенте Loki. Клиент Loki заворачивает эти команды в ICMP и передает серверу Loki, известному как lokid (произносится «лоу-ки-ди»), Lokid разворачивает команды, выполняет их и заворачивает ответы в ICMP-пакеты. Весь трафик переносится в поле полезного груза (payload) ICMP. Ответы Lokid передаются клиенту, снова при помощи ICMP. Lokid выполняет эти команды как root и должен быть запущен с привилегиями супервизора вследствие способа обработки ICMP операционной системой.

Скучаете? Заходите на joycasino com официальный сайт. Увлекательные слоты поднимут настроение.

С сетевой точки зрения ряд ICMP-пакетов пересылается взад-вперед: ping, ping-response, ping, ping-response. С точки зрения атакующего, в клиенте Loki можно вводить команды, которые исполняются на машине сервера, образуя очень эффективный тайный сеанс связи.