Qué debería saber acerca del Network Injector y sus reglas

Introducción

Network Injector monitorea todas las conexiones HTTP y, siguiendo las reglas de inyección, identifica las conexiones del target e inyecta el agent en las conexiones, vinculándolo a los recursos que el target está descargando de Internet.

Tipos de Network Injectors

Existen dos tipos de Network Injector:

Ambos Network Injectors le permiten identificar automáticamente los dispositivos del target e infectarlos de acuerdo con las reglas establecidas a través del software de control (Appliance Control Center o Tactical Control Center). Tactical Network Injectors también permite realizar una identificación manual. Consulte "Qué debería saber acerca de Appliance Control Center", "Qué debería saber acerca de Tactical Control Center".

Tipos de recursos que pueden ser infectados

Los recursos que RCS puede infectar son archivos de cualquier tipo.

NOTA: Network Injector no puede monitorear conexiones FTP o HTTPS.

Cómo crear una regla

Para crear una regla:

  1. defina la forma de identificar las conexiones del target. Por ejemplo, comparando la dirección IP o MAC del target. O deje que el operador de Tactical Network Injector seleccione el dispositivo.
  2. defina la forma de infectar al target. Por ejemplo, reemplazando un archivo que el target está descargando desde Internet o infectando un sitio web que el target usualmente visita.
Reglas de identificación automática o manual

Si se conoce alguna información de los dispositivos del target, se pueden crear varias reglas, adaptarlas a los diferentes hábitos del target, luego activar las reglas más eficientes de acuerdo con las situaciones que surjan durante un momento particular de la investigación.

Si no se conoce ninguna información sobre los dispositivos del target, use el Tactical Network Injector, el cual les permitirá a los operadores observar el target, identificar el dispositivo usado e infectarlo.

TACTICAL debe ser el valor en el campo Patrón de la regla de inyección para este tipo de control manual.

Qué sucede cuando una regla está activada/desactivada

RCS se comunica regularmente con el Network Injector para enviarle las reglas y obtener registros. Todas las reglas activadas en RCS Console se envían automáticamente a los Network Injectors. Las reglas desactivada se guardarán, pero no se enviarán ni estarán disponible en la siguiente sincronización.

Seleccione una de las reglas disponibles para activar una inyección específica en un Network Injector.

Inicio de la infección

Después de que Network Injector recibe las reglas de infección, está listo para iniciar un ataque.

Durante la fase de análisis de paquetes, verifica si alguno de los dispositivos en la red cumple con las reglas de identificación. En ese caso, envía al agent al dispositivo identificado y lo infecta.