TRIPWIRE vs バックドア
Download
Report
Transcript TRIPWIRE vs バックドア
バックドア(rootkit&rootshell)
vs
Tripwire
セキュリティグループINAS
環境情報学部4年 直江健介
バックドアとは
rootやAdministrator等の管理権限を奪ったサー
バに対して、再度侵入や攻撃を仕掛けるときに
行いやすくするためのもの
侵入や攻撃を行う側の立場からは、手間をかけ
てアカウント情報を入手し侵入したサーバに対し
て同じかまたはこれまで以上の手間をかけたく
はない
>>
一度侵入した後は、次回からも侵入しやすいよう
にバックドアを仕掛ける
言い換えるならば
一度でも侵入や攻撃を受けた場合は、バッ
クドアを仕掛けられている可能性が高いた
め、OSの再インストールやユーザアカウン
トの初期化、アプリケーションの再インス
トールなどが必要になってきます。
どうやったらバックドアを検出で
きるの??
“ls”,“ps”,“find”等のコマンドを使うことが多
いがこれらがrootshellに置き換えられると
アウト!!
有名なものであればパッチが配布されるが
たいていのものはごく簡単なコードで書か
れるため亜種がすぐにできる。
Rootkitならchkrootkitというツールがある
– http://www.chkrootkit.org/
デモの手順(バックドア)
Rootのパスワードを取るためのバックドア
を仕込む。
1.Tcpdump等を使って誰がsu使うか事前に調
べる。Rootのパスワードもゲットしておく。
2.簡単なrootshellを仕込む
3.少し細工をしたバックドアを仕込む
4.用心な人のためにsuTrojanを仕込む
Rootkitの機能
ログワイパ
バックドアツール
トロイ化したコマンドバイナリ
ネットワークスニファやパスクラッカ
コンピュータに侵入したあとにあると便利なツールを
パッケージ化したのがRootkitである
でも…
TRIPWIREがあればこれらも検出可能!
Tripwireは最強ジャン!?
LKMRootkitの出現によってその牙城は危
ういものとなった。
t0rnkit
典型的なrootkitの機能を持つ
コンパイル作業がいらない
Lionwormにも含まれていた
CERTのincident_notesでも紹介された
バージョン8まで確認
Chkrootkit
既知のrootkitがシステムに仕掛けられて
いるかを検出する
各種OSに対応
– Linux2.0.x、Linux2.2.x、FreeBSD2.2.x、3.x、
4.x、Solaris2.5.1
– PerlとCで書かれている
インストールがとても楽
LKM(LoadableKernelModule)
実行時にkernelに組みこまれて動作するmodule
主な用途はpcmciaなどのdevice driver
Kernelの肥大化、recompileの手間が省けるなどの利点
Load後は、kernel modeで動作
Kernel内部のsymbolを扱える
→
カーネル自体を改竄できる
精巧に作られたものは発見困難
LKMRootkit
正常なプロセス
システムコール
コマンドバイナリ
正常な情報
コマンドバイナリ
偽りな情報
ファイルシステム
Rootkitだと…
システムコール
ファイルシステム
改ざんした偽のコマンドバイナリ
LKMRootkitだと…
システムコール
コマンドバイナリ
ファイルシステム
Kernelレベルで乗っ取る
偽りな情報
結論
バックドア(Rootkitやrootshell)って怖いね
LKMRootkitってもっと怖いね
でもバックドア仕込まれるような管理者の
ほうがもっと怖いね