バックドア (rootkit&rootshell) vs Tripwire

バックドア(rootkit&rootshell)vsTripwire セキュリティグループINAS 環境情報学部４年　　直江健介

バックドアとは • rootやAdministrator等の管理権限を奪ったサーバに対して、再度侵入や攻撃を仕掛けるときに行いやすくするためのもの • 侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはない＞＞一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛ける

言い換えるならば • 一度でも侵入や攻撃を受けた場合は、バックドアを仕掛けられている可能性が高いため、OSの再インストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきます。

どうやったらバックドアを検出できるの？？ • “ls”,“ps”,“find”等のコマンドを使うことが多いがこれらがrootshellに置き換えられるとアウト！！ • 有名なものであればパッチが配布されるがたいていのものはごく簡単なコードで書かれるため亜種がすぐにできる。 • Rootkitならchkrootkitというツールがある • http://www.chkrootkit.org/

デモの手順（バックドア） • Rootのパスワードを取るためのバックドアを仕込む。１．Tcpdump等を使って誰がsu使うか事前に調べる。Rootのパスワードもゲットしておく。２．簡単なrootshellを仕込む３．少し細工をしたバックドアを仕込む４．用心な人のためにsuTrojanを仕込む

Rootkitの機能 • ログワイパ • バックドアツール • トロイ化したコマンドバイナリ • ネットワークスニファやパスクラッカコンピュータに侵入したあとにあると便利なツールをパッケージ化したのがRootkitである

でも… • TRIPWIREがあればこれらも検出可能！

Tripwireは最強ジャン！？ • LKMRootkitの出現によってその牙城は危ういものとなった。

t0rnkit • 典型的なrootkitの機能を持つ • コンパイル作業がいらない • Lionwormにも含まれていた • CERTのincident_notesでも紹介された • バージョン８まで確認

Chkrootkit • 既知のrootkitがシステムに仕掛けられているかを検出する • 各種OSに対応 • Linux2.0.x、Linux2.2.x、FreeBSD2.2.x、3.x、4.x、Solaris2.5.1 • PerlとCで書かれている • インストールがとても楽

LKM（LoadableKernelModule) • 実行時にkernelに組みこまれて動作するmodule • 主な用途はpcmciaなどのdevice driver • Kernelの肥大化、recompileの手間が省けるなどの利点 • Load後は、kernel modeで動作 • Kernel内部のsymbolを扱える → • カーネル自体を改竄できる • 精巧に作られたものは発見困難

LKMRootkit 正常なプロセスコマンドバイナリ正常な情報システムコールファイルシステム Rootkitだと… コマンドバイナリ偽りな情報システムコールファイルシステム改ざんした偽のコマンドバイナリ LKMRootkitだと… コマンドバイナリ偽りな情報システムコールファイルシステム Kernelレベルで乗っ取る

結論 • バックドア（Rootkitやrootshell）って怖いね • LKMRootkitってもっと怖いね • でもバックドア仕込まれるような管理者のほうがもっと怖いね

バックドア (rootkit&rootshell) vs Tripwire