バックドア(rootkit&rootshell) vs Tripwire

Slides:



Advertisements
Similar presentations
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
Advertisements

Debian の世界へようこそ! 北大 理学院 宇宙理学専攻 惑星宇宙グループ M1 三上 峻.  Debian GNU/Linux  Debian プロジェクト  GNU プロジェクト  Debian GNU/Linux とは  Debian インストール  パッケージ  Debian.
目次 このドキュメントについて・・・前提条件……………………………………… 2
ASP入門 - Windows 2000 Server 活用 -.
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
WebLSDローカルキット2008のインストール1
技術トピックス 2014/10.
物理実験 I 情報実験第9回 2004/12/10 小西 丈予 2003/12/12 中神 雄一
RTLinuxを用いた磁気浮上システムの制御に関する研究
NetBSD以外でpkgsrcを使うZoularis
Samba日本語版の設定と運用のノウハウトラブルシューティング編
アーキテクチャとアプリケーション Tom Vogt
高エネルギー加速器研究機構 素粒子原子核研究所 千代浩司
高エネルギー加速器研究機構 素粒子原子核研究所 千代浩司
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
Novell ZENworks Desktop Management Starter Campaign
受動的攻撃について Eiji James Yoshida penetration technique research site
Androidアプリを公開する方法.
UNIX Life KMSF M2 saburo.
侵入検知システムの構築と ログの可読性向上
Zeusの動作解析 S08a1053 橋本 寛史.
「絵葉書を通じてのハルビンの 街の印象調査」システムUIの iPadアプリ化 谷研究室  飯 祐貴.
Mavenによる プロジェクト管理 近畿大学理工学部 情報学科3年  小野実.
KVMにおけるIDSオフロードのための仮想マシン監視機構
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
ちょっと気になること メディアコミュニケーション論Ⅲ 第14回.
OSとコマンド OS:コンピュータを使うための基本プログラム コマンド:OS上で使用できる命令 OS本体であるカーネルの内部コマンド
James 近畿大学 理工学部 情報学科 03-242 藤森浩忠.
Phenixサーバ クラックまとめ.
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
Debian GNU/Linux ー Linuxインストールに必要な基礎知識 ー 三上 彩 鈴木 倫太郎
(original Takagi & Saito, 2007)
メモリ暗号化による Android端末の盗難対策
仮想計算機を用いたファイルアクセス制御の二重化
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
先週のおさらい 第11回 インターネットサービス
OSボックスのセキュリティ機能.
Perlを用いた 学内専用アップローダの作成
最終発表 ー不正アクセスについてー                               環境情報学部3年 櫻井美帆.
2009/5/22 けーちゃん カンタン  Wikiで情報共有 あいさつ 2009/5/22 けーちゃん
VMマイグレーションを可能にするIDSオフロード機構
アスペクト指向プログラミングを用いたIDSオフロード
鯖管のすヽめ.
サスペンドした仮想マシンの オフラインアップデート
【プログラミング応用】 必修2単位 通年 30週 授業形態:演習.
学校におけるネットワークの運用と技術 解説編.
不正アクセス       ーrootkitについてー              環境情報学部              3年 櫻井美帆.
FreeBSDインストール 2002年4月10日.
Windows 2000 拡張カーネルの技術紹介 2018年6月10日 黒翼猫.
高エネルギー加速器研究機構 素粒子原子核研究所 千代浩司
安全なサーバー Linuxの場合 平成12年度東京大学技術職員研修 情報基盤センター 安東孝二
仮想マシンを用いて既存IDSを オフロードするための実行環境
KVMにおける仮想マシンの 内部監視機構の実装と性能評価
実行時情報に基づく OSカーネルのコンフィグ最小化
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
スパイウェア あなたのパソコンは大丈夫ですか? 知らなきゃ危ねぇ!! 本当は怖~ぃ       チーム タートルズ48.
第7回 授業計画の修正 中間テストの解説・復習 前回の補足(クロックアルゴリズム・PFF) 仮想記憶方式のまとめ 特別課題について
全体ミーティング 6月6日 島本 大輔(M2) 2006年6月6日(火).
Winter Workshop in Kanazawa -プロセスと方法論-
仮想マシンを用いた 既存IDSのオフロード
セキュリティ機構のオフロード時の 性能分離
信頼できないクラウドにおける仮想化システムの監視機構
仮想環境を用いた 侵入検知システムの安全な構成法
gate登録システム: 設計ポリシーから使い方まで
システムプログラミング 第10回 プロセス間通信3 簡易Web server(準備) Chat プログラム 担当:青木義満、篠埜 功
卒業論文に向けて(3) 学部4年生 島本 大輔 2004年11月11日.
オペレーティングシステム 作成 T21R003 荏原 寛太.
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

バックドア(rootkit&rootshell) vs Tripwire セキュリティグループINAS 環境情報学部4年  直江健介

バックドアとは rootやAdministrator等の管理権限を奪ったサーバに対して、再度侵入や攻撃を仕掛けるときに行いやすくするためのもの 侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはない >> 一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛ける

言い換えるならば 一度でも侵入や攻撃を受けた場合は、バックドアを仕掛けられている可能性が高いため、OSの再インストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきます。

どうやったらバックドアを検出できるの?? “ls”,“ps”,“find”等のコマンドを使うことが多いがこれらがrootshellに置き換えられるとアウト!! 有名なものであればパッチが配布されるがたいていのものはごく簡単なコードで書かれるため亜種がすぐにできる。 Rootkitならchkrootkitというツールがある http://www.chkrootkit.org/

デモの手順(バックドア) Rootのパスワードを取るためのバックドアを仕込む。 1.Tcpdump等を使って誰がsu使うか事前に調べる。Rootのパスワードもゲットしておく。 2.簡単なrootshellを仕込む 3.少し細工をしたバックドアを仕込む 4.用心な人のためにsuTrojanを仕込む

Rootkitの機能 ログワイパ バックドアツール トロイ化したコマンドバイナリ ネットワークスニファやパスクラッカ コンピュータに侵入したあとにあると便利なツールを パッケージ化したのがRootkitである

でも… TRIPWIREがあればこれらも検出可能!

Tripwireは最強ジャン!? LKMRootkitの出現によってその牙城は危ういものとなった。

t0rnkit 典型的なrootkitの機能を持つ コンパイル作業がいらない Lionwormにも含まれていた CERTのincident_notesでも紹介された バージョン8まで確認

Chkrootkit 既知のrootkitがシステムに仕掛けられているかを検出する 各種OSに対応 インストールがとても楽 Linux2.0.x、Linux2.2.x、FreeBSD2.2.x、3.x、4.x、Solaris2.5.1 PerlとCで書かれている インストールがとても楽

LKM(LoadableKernelModule) 主な用途はpcmciaなどのdevice driver Kernelの肥大化、recompileの手間が省けるなどの利点 Load後は、kernel modeで動作 Kernel内部のsymbolを扱える → カーネル自体を改竄できる 精巧に作られたものは発見困難

LKMRootkit 正常なプロセス Rootkitだと… LKMRootkitだと… コマンドバイナリ 正常な情報 コマンドバイナリ システムコール コマンドバイナリ 正常な情報 ファイルシステム Rootkitだと… システムコール コマンドバイナリ 偽りな情報 ファイルシステム 改ざんした偽のコマンドバイナリ LKMRootkitだと… システムコール コマンドバイナリ 偽りな情報 ファイルシステム Kernelレベルで乗っ取る

結論 バックドア(Rootkitやrootshell)って怖いね LKMRootkitってもっと怖いね でもバックドア仕込まれるような管理者のほうがもっと怖いね