バックドア (rootkit&rootshell)vs

Tripwire

セキュリティグループ INAS

環境情報学部４年　　直江健介

バックドアとは rootや Administrator等の管理権限を奪ったサーバに対して、再度侵入や攻撃を仕掛けるときに行いやすくするためのもの

侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはない＞＞一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛ける

言い換えるならば 一度でも侵入や攻撃を受けた場合は、バックドアを仕掛けられている可能性が高いため、 OSの再インストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきます。

どうやったらバックドアを検出できるの？？ “ls”,“ps”,“find”等のコマンドを使うことが多いがこれらが rootshellに置き換えられるとアウト！！

有名なものであればパッチが配布されるがたいていのものはごく簡単なコードで書かれるため亜種がすぐにできる。

Rootkitなら chkrootkitというツールがある– http://www.chkrootkit.org/

デモの手順（バックドア） Rootのパスワードを取るためのバックドアを仕込む。１． Tcpdump等を使って誰が su使うか事前に調べる。 Rootのパスワードもゲットしておく。２．簡単な rootshellを仕込む３．少し細工をしたバックドアを仕込む４．用心な人のために suTrojanを仕込む

Rootkitの機能 ログワイパ バックドアツール トロイ化したコマンドバイナリ ネットワークスニファやパスクラッカ

コンピュータに侵入したあとにあると便利なツールをパッケージ化したのが Rootkitである

でも… TRIPWIREがあればこれらも検出可能！

Tripwireは最強ジャン！？ LKMRootkitの出現によってその牙城は危ういものとなった。

t0rnkit

典型的な rootkitの機能を持つ コンパイル作業がいらない Lionwormにも含まれていた CERTの incident_notesでも紹介された バージョン８まで確認

Chkrootkit

既知の rootkitがシステムに仕掛けられているかを検出する

各種 OSに対応– Linux2.0.x、 Linux2.2.x、 FreeBSD2.2.x、

3.x、 4.x、 Solaris2.5.1– Perlと Cで書かれている

インストールがとても楽

LKM（ LoadableKernelModule) 実行時に kernelに組みこまれて動作する module 主な用途は pcmciaなどの device driver Kernelの肥大化、 recompileの手間が省けるなどの利点

Load後は、 kernel modeで動作 Kernel内部の symbolを扱える

→ カーネル自体を改竄できる 精巧に作られたものは発見困難

ファイルシステム

システムコール コマンドバイナリ 正常な情報

正常なプロセス

ファイルシステム

システムコール コマンドバイナリ 偽りな情報

Rootkitだと…

改ざんした偽のコマンドバイナリ

ファイルシステム

システムコール コマンドバイナリ 偽りな情報

Kernelレベルで乗っ取る

LKMRootkitだと…

LKMRootkit

結論 バックドア（ Rootkitや rootshell）って怖いね

LKMRootkitってもっと怖いね でもバックドア仕込まれるような管理者のほうがもっと怖いね