Voi siete qui: Funzioni del Tecnico > I Network Injector > Cose da sapere su Network Injector e le sue regole

Cose da sapere su Network Injector e le sue regole

Introduzione

Network Injector controlla tutte le connessioni HTTP e seguendo le regole di infezione individua le connessioni del target e inserisce l'agent all'interno delle connessioni, agganciandolo a delle risorse che il target sta scaricando da Internet.

Tipi di Network Injector

Esistono due tipi di Network Injector:

Entrambi i Network Injector permettono, tramite il loro software di gestione (Appliance Control Center o Tactical Control Center) di identificare automaticamente i dispositivi target e infettarli secondo le regole definite. I Tactical Network Injector permettono anche di effettuare l'identificazione manualmente. Vedi "Cose da sapere su Appliance Control Center", "Cose da sapere su Tactical Control Center".

Tipi di risorse infettabili

Le risorse infettabili da RCS sono file di qualsiasi tipo.

NOTA: Network Injector non è in grado di monitorare connessioni FTP o HTTPS.

Come creare una regola

Per creare la regola occorre:

  1. definire il metodo per identificare le connessioni del target. Per esempio, confrontando l'indirizzo IP o MAC del target. Oppure lasciare selezionare il dispositivo all'operatore del Tactical Network Injector.
  2. definire il metodo per infettare il target. Per esempio attraverso la sostituzione di un file che il target sta scaricando dalla rete, oppure attraverso l'infezione di una pagina web che il target visita abitualmente.
Regole di identificazione automatica e da operatore

Se si conoscono già informazioni relative ai dispositivi target, è possibile creare numerose regole adattandole alle diverse abitudini del target, per poi abilitare la/le regole più efficaci a seconda dell'opportunità che si crea in un determinato momento dell'investigazione.

Se invece non si conosce nulla dei dispositivi target, occorre utilizzare il Tactical Network Injector che - con la sua presenza sul campo - permette agli operatori di osservare il target, identificare il dispositivo che sta usando e infettarlo.

Per questo tipo di gestione manuale è necessario specificare TACTICAL nel campo Pattern della regola di infezione.

Cosa succede quando si abilita/disabilita una regola

RCS comunica regolarmente con i Network Injector per trasmettere le regole e acquisire i log. Tutte le regole abilitate in RCS Console sono inviate automaticamente ai Network Injector. Una regola disabilitata viene invece salvata, ma non sarà né inviata né più resa disponibile alla successiva sincronizzazione.

Sul Network Injector è necessario scegliere tra le regole a disposizione quali abilitare per una specifica infezione.

Avvio dell'infezione

Dopo che Network Injector ha ricevuto le regole di infezione è pronto per iniziare un attacco.

Nella fase di sniffing controlla se tra i dispositivi presenti in rete qualcuno soddisfa le regole di identificazione. In caso affermativo invia l'agent al dispositivo identificato e lo infetta.

RCS9.3 | Manuale di installazione e uso | © COPYRIGHT 2013