Network Injector controlla tutte le connessioni HTTP e seguendo le regole di injection individua le connessioni del target e inserisce l'agent all'interno delle connessioni, agganciandolo a delle risorse che il target sta scaricando da internet.
Le risorse infettabili da RCS sono file di qualsiasi tipo.
NOTA: Network Injector non è in grado di monitorare connessioni FTP o HTTPS.
Per creare la regola occorre:
Abilitare una regola vuol dire renderla disponibile per il processo di infezione da parte di Network Injector. RCS regolarmente comunica con i Network Injector per trasmettere le regole e acquisire i log. Nel caso del Tactical Network Injector è l'operatore che deve abilitare tale sincronizzazione.
Una regola non abilitata non è applicabile, ovvero non può essere inviata ai Network Injector.
Se si conoscono già informazioni relative ai dispositivi target, è possibile creare numerose regole adattandole alle diverse abitudini del target, per poi abilitare la o le regole più efficaci a seconda dell'opportunità che si crea in un determinato momento dell'investigazione.
Se invece non si conosce nulla dei dispositivi target, occorre utilizzare il Tactical Network Injector che con la sua presenza sul campo permette agli operatori di osservare il target, identificare il dispositivo che sta usando e infettarlo.
Per questo tipo di gestione manuale è necessario specificare TACTICAL nel campo User patterns .
Dopo che Network Injector ha ricevuto le regole di infezione è pronto per iniziare un attacco.
Nella fase di sniffing controlla se tra i dispositivi presenti in rete qualcuno soddisfa le regole di identificazione. In caso affermativo invia l'agent al dispositivo identificato e lo infetta.
RCS8.2 | Manuale di installazione e uso | © COPYRIGHT 2012