Cose da sapere su Network Injector e le sue regole

Introduzione

Network Injector controlla tutte le connessioni HTTP e seguendo le regole di injection individua le connessioni del target e inserisce l'agent all'interno delle connessioni, agganciandolo a delle risorse che il target sta scaricando da internet.

Tipi di risorse infettabili

Le risorse infettabili da RCS sono file di qualsiasi tipo.

NOTA: Network Injector non è in grado di monitorare connessioni FTP o HTTPS.

Come creare una regola

Per creare la regola occorre:

  1. definire il metodo per identificare le connessioni del target. Per esempio, confrontando l'indirizzo IP o MAC del target. Oppure lasciar selezionare il dispositivo all'operatore del Tactical Network Injector.
  2. definire il metodo per infettare il target. Per esempio attraverso la sostituzione di un file che il target sta scaricando dalla rete oppure attraverso l'infezione di una pagina web che il target visita abitualmente.
Cosa succede quando si abilita/disabilita una regola

Abilitare una regola vuol dire renderla disponibile per il processo di infezione da parte di Network Injector. RCS regolarmente comunica con i Network Injector per trasmettere le regole e acquisire i log. Nel caso del Tactical Network Injector è l'operatore che deve abilitare tale sincronizzazione.

Una regola non abilitata non è applicabile, ovvero non può essere inviata ai Network Injector.

Regole identificazione automatica e da operatore

Se si conoscono già informazioni relative ai dispositivi target, è possibile creare numerose regole adattandole alle diverse abitudini del target, per poi abilitare la o le regole più efficaci a seconda dell'opportunità che si crea in un determinato momento dell'investigazione.

Se invece non si conosce nulla dei dispositivi target, occorre utilizzare il Tactical Network Injector che con la sua presenza sul campo permette agli operatori di osservare il target, identificare il dispositivo che sta usando e infettarlo.

Per questo tipo di gestione manuale è necessario specificare TACTICAL nel campo User patterns .

Avvio dell'infezione

Dopo che Network Injector ha ricevuto le regole di infezione è pronto per iniziare un attacco.

Nella fase di sniffing controlla se tra i dispositivi presenti in rete qualcuno soddisfa le regole di identificazione. In caso affermativo invia l'agent al dispositivo identificato e lo infetta.