1 / 17

バックドア (rootkit&rootshell) vs Tripwire

バックドア (rootkit&rootshell) vs Tripwire. セキュリティグループ INAS 環境情報学部4年  直江健介. バックドアとは. root や Administrator 等の管理権限を奪ったサーバに対して、再度侵入や攻撃を仕掛けるときに行いやすくするためのもの 侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはない >> 一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛ける. 言い換えるならば.

Download Presentation

バックドア (rootkit&rootshell) vs Tripwire

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. バックドア(rootkit&rootshell)vsTripwire セキュリティグループINAS 環境情報学部4年  直江健介

  2. バックドアとは • rootやAdministrator等の管理権限を奪ったサーバに対して、再度侵入や攻撃を仕掛けるときに行いやすくするためのもの • 侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはない >>一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛ける

  3. 言い換えるならば • 一度でも侵入や攻撃を受けた場合は、バックドアを仕掛けられている可能性が高いため、OSの再インストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきます。

  4. どうやったらバックドアを検出できるの?? • “ls”,“ps”,“find”等のコマンドを使うことが多いがこれらがrootshellに置き換えられるとアウト!! • 有名なものであればパッチが配布されるがたいていのものはごく簡単なコードで書かれるため亜種がすぐにできる。 • Rootkitならchkrootkitというツールがある • http://www.chkrootkit.org/

  5. デモの手順(バックドア) • Rootのパスワードを取るためのバックドアを仕込む。 1.Tcpdump等を使って誰がsu使うか事前に調べる。Rootのパスワードもゲットしておく。 2.簡単なrootshellを仕込む 3.少し細工をしたバックドアを仕込む 4.用心な人のためにsuTrojanを仕込む

  6. Rootkitの機能 • ログワイパ • バックドアツール • トロイ化したコマンドバイナリ • ネットワークスニファやパスクラッカ コンピュータに侵入したあとにあると便利なツールを パッケージ化したのがRootkitである

  7. でも… • TRIPWIREがあればこれらも検出可能!

  8. Tripwireは最強ジャン!? • LKMRootkitの出現によってその牙城は危ういものとなった。

  9. t0rnkit • 典型的なrootkitの機能を持つ • コンパイル作業がいらない • Lionwormにも含まれていた • CERTのincident_notesでも紹介された • バージョン8まで確認

  10. Chkrootkit • 既知のrootkitがシステムに仕掛けられているかを検出する • 各種OSに対応 • Linux2.0.x、Linux2.2.x、FreeBSD2.2.x、3.x、4.x、Solaris2.5.1 • PerlとCで書かれている • インストールがとても楽

  11. LKM(LoadableKernelModule) • 実行時にkernelに組みこまれて動作するmodule • 主な用途はpcmciaなどのdevice driver • Kernelの肥大化、recompileの手間が省けるなどの利点 • Load後は、kernel modeで動作 • Kernel内部のsymbolを扱える → • カーネル自体を改竄できる • 精巧に作られたものは発見困難

  12. LKMRootkit 正常なプロセス コマンドバイナリ 正常な情報 システムコール ファイルシステム Rootkitだと… コマンドバイナリ 偽りな情報 システムコール ファイルシステム 改ざんした偽のコマンドバイナリ LKMRootkitだと… コマンドバイナリ 偽りな情報 システムコール ファイルシステム Kernelレベルで乗っ取る

  13. 結論 • バックドア(Rootkitやrootshell)って怖いね • LKMRootkitってもっと怖いね • でもバックドア仕込まれるような管理者のほうがもっと怖いね

More Related