Transcript TRIPWIRE vs バックドア

バックドア(rootkit&rootshell)
vs
Tripwire
セキュリティグループINAS
環境情報学部４年 直江健介
バックドアとは
 rootやAdministrator等の管理権限を奪ったサー
バに対して、再度侵入や攻撃を仕掛けるときに
行いやすくするためのもの
 侵入や攻撃を行う側の立場からは、手間をかけ
てアカウント情報を入手し侵入したサーバに対し
て同じかまたはこれまで以上の手間をかけたく
はない
＞＞
一度侵入した後は、次回からも侵入しやすいよう
にバックドアを仕掛ける
言い換えるならば
 一度でも侵入や攻撃を受けた場合は、バッ
クドアを仕掛けられている可能性が高いた
め、OSの再インストールやユーザアカウン
トの初期化、アプリケーションの再インス
トールなどが必要になってきます。
どうやったらバックドアを検出で
きるの？？
 “ls”,“ps”,“find”等のコマンドを使うことが多
いがこれらがrootshellに置き換えられると
アウト！！
 有名なものであればパッチが配布されるが
たいていのものはごく簡単なコードで書か
れるため亜種がすぐにできる。
 Rootkitならchkrootkitというツールがある
– http://www.chkrootkit.org/
デモの手順（バックドア）
 Rootのパスワードを取るためのバックドア
を仕込む。
１．Tcpdump等を使って誰がsu使うか事前に調
べる。Rootのパスワードもゲットしておく。
２．簡単なrootshellを仕込む
３．少し細工をしたバックドアを仕込む
４．用心な人のためにsuTrojanを仕込む
Rootkitの機能
 ログワイパ
 バックドアツール
 トロイ化したコマンドバイナリ
 ネットワークスニファやパスクラッカ
コンピュータに侵入したあとにあると便利なツールを
パッケージ化したのがRootkitである
でも…
 TRIPWIREがあればこれらも検出可能！
Tripwireは最強ジャン！？
 LKMRootkitの出現によってその牙城は危
ういものとなった。
t0rnkit
 典型的なrootkitの機能を持つ
 コンパイル作業がいらない
 Lionwormにも含まれていた
 CERTのincident_notesでも紹介された
 バージョン８まで確認
Chkrootkit
 既知のrootkitがシステムに仕掛けられて
いるかを検出する
 各種OSに対応
– Linux2.0.x、Linux2.2.x、FreeBSD2.2.x、3.x、
4.x、Solaris2.5.1
– PerlとCで書かれている
 インストールがとても楽
LKM（LoadableKernelModule)





実行時にkernelに組みこまれて動作するmodule
主な用途はpcmciaなどのdevice driver
Kernelの肥大化、recompileの手間が省けるなどの利点
Load後は、kernel modeで動作
Kernel内部のsymbolを扱える
→
 カーネル自体を改竄できる
 精巧に作られたものは発見困難
LKMRootkit
正常なプロセス
システムコール
コマンドバイナリ
正常な情報
コマンドバイナリ
偽りな情報
ファイルシステム
Rootkitだと…
システムコール
ファイルシステム
改ざんした偽のコマンドバイナリ
LKMRootkitだと…
システムコール
コマンドバイナリ
ファイルシステム
Kernelレベルで乗っ取る
偽りな情報
結論
 バックドア（Rootkitやrootshell）って怖いね
 LKMRootkitってもっと怖いね
 でもバックドア仕込まれるような管理者の
ほうがもっと怖いね