バックドア (rootkit&rootshell) vs tripwire
DESCRIPTION
バックドア (rootkit&rootshell) vs Tripwire. セキュリティグループ INAS 環境情報学部4年 直江健介. バックドアとは. root や Administrator 等の管理権限を奪ったサーバに対して、再度侵入や攻撃を仕掛けるときに行いやすくするためのもの 侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはない >> 一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛ける. 言い換えるならば. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/1.jpg)
バックドア (rootkit&rootshell)vs
Tripwire
セキュリティグループ INAS
環境情報学部4年 直江健介
![Page 2: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/2.jpg)
バックドアとは rootや Administrator等の管理権限を奪ったサーバに対して、再度侵入や攻撃を仕掛けるときに行いやすくするためのもの
侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはない>>一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛ける
![Page 3: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/3.jpg)
言い換えるならば 一度でも侵入や攻撃を受けた場合は、バックドアを仕掛けられている可能性が高いため、 OSの再インストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきます。
![Page 4: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/4.jpg)
どうやったらバックドアを検出できるの?? “ls”,“ps”,“find”等のコマンドを使うことが多いがこれらが rootshellに置き換えられるとアウト!!
有名なものであればパッチが配布されるがたいていのものはごく簡単なコードで書かれるため亜種がすぐにできる。
Rootkitなら chkrootkitというツールがある– http://www.chkrootkit.org/
![Page 5: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/5.jpg)
デモの手順(バックドア) Rootのパスワードを取るためのバックドアを仕込む。1. Tcpdump等を使って誰が su使うか事前に調べる。 Rootのパスワードもゲットしておく。2.簡単な rootshellを仕込む3.少し細工をしたバックドアを仕込む4.用心な人のために suTrojanを仕込む
![Page 6: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/6.jpg)
Rootkitの機能 ログワイパ バックドアツール トロイ化したコマンドバイナリ ネットワークスニファやパスクラッカ
コンピュータに侵入したあとにあると便利なツールをパッケージ化したのが Rootkitである
![Page 7: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/7.jpg)
でも… TRIPWIREがあればこれらも検出可能!
![Page 8: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/8.jpg)
Tripwireは最強ジャン!? LKMRootkitの出現によってその牙城は危ういものとなった。
![Page 9: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/9.jpg)
![Page 10: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/10.jpg)
t0rnkit
典型的な rootkitの機能を持つ コンパイル作業がいらない Lionwormにも含まれていた CERTの incident_notesでも紹介された バージョン8まで確認
![Page 11: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/11.jpg)
![Page 12: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/12.jpg)
![Page 13: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/13.jpg)
![Page 14: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/14.jpg)
Chkrootkit
既知の rootkitがシステムに仕掛けられているかを検出する
各種 OSに対応– Linux2.0.x、 Linux2.2.x、 FreeBSD2.2.x、
3.x、 4.x、 Solaris2.5.1– Perlと Cで書かれている
インストールがとても楽
![Page 15: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/15.jpg)
LKM( LoadableKernelModule) 実行時に kernelに組みこまれて動作する module 主な用途は pcmciaなどの device driver Kernelの肥大化、 recompileの手間が省けるなどの利点
Load後は、 kernel modeで動作 Kernel内部の symbolを扱える
→ カーネル自体を改竄できる 精巧に作られたものは発見困難
![Page 16: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/16.jpg)
ファイルシステム
システムコール コマンドバイナリ 正常な情報
正常なプロセス
ファイルシステム
システムコール コマンドバイナリ 偽りな情報
Rootkitだと…
改ざんした偽のコマンドバイナリ
ファイルシステム
システムコール コマンドバイナリ 偽りな情報
Kernelレベルで乗っ取る
LKMRootkitだと…
LKMRootkit
![Page 17: バックドア (rootkit&rootshell) vs Tripwire](https://reader036.vdocuments.pub/reader036/viewer/2022062301/568135f2550346895d9d63a8/html5/thumbnails/17.jpg)
結論 バックドア( Rootkitや rootshell)って怖いね
LKMRootkitってもっと怖いね でもバックドア仕込まれるような管理者のほうがもっと怖いね