Network Injector controlla tutte le connessioni HTTP e seguendo le regole di infezione individua le connessioni del target e inserisce l'agent all'interno delle connessioni, agganciandolo a delle risorse che il target sta scaricando da Internet.
Esistono due tipi di Network Injector:
Entrambi i Network Injector permettono, tramite il loro software di gestione (Appliance Control Center o Tactical Control Center) di identificare automaticamente i dispositivi target e infettarli secondo le regole definite. I Tactical Network Injector permettono anche di effettuare l'identificazione manualmente. Vedi "Cose da sapere su Appliance Control Center", "Cose da sapere su Tactical Control Center".
Le risorse infettabili da RCS sono file di qualsiasi tipo.
NOTA: Network Injector non è in grado di monitorare connessioni FTP o HTTPS.
Per creare la regola occorre:
Se si conoscono già informazioni relative ai dispositivi target, è possibile creare numerose regole adattandole alle diverse abitudini del target, per poi abilitare la/le regole più efficaci a seconda dell'opportunità che si crea in un determinato momento dell'investigazione.
Se invece non si conosce nulla dei dispositivi target, occorre utilizzare il Tactical Network Injector che - con la sua presenza sul campo - permette agli operatori di osservare il target, identificare il dispositivo che sta usando e infettarlo.
Per questo tipo di gestione manuale è necessario specificare TACTICAL nel campo Pattern della regola di infezione.
RCS comunica regolarmente con i Network Injector per trasmettere le regole e acquisire i log. Tutte le regole abilitate in RCS Console sono inviate automaticamente ai Network Injector. Una regola disabilitata viene invece salvata, ma non sarà né inviata né più resa disponibile alla successiva sincronizzazione.
Sul Network Injector è necessario scegliere tra le regole a disposizione quali abilitare per una specifica infezione.
Dopo che Network Injector ha ricevuto le regole di infezione è pronto per iniziare un attacco.
Nella fase di sniffing controlla se tra i dispositivi presenti in rete qualcuno soddisfa le regole di identificazione. In caso affermativo invia l'agent al dispositivo identificato e lo infetta.
RCS9.5 | Manuale utente | © COPYRIGHT 2014