不正アクセス ーrootkitについてー 環境情報学部 3年 櫻井美帆
rootkit 1 コンピュータシステムに不正アクセスするために、再アクセスを容易にするためのツール
rootkit 2 ログインの記録を書き換える機能 コマンドファイルの置き換えや改竄 ネットワークスニファ バックドア などのツールがまとめられているもの
rootkitの種類 ・t0rnkit ・lkmrootkit(knark) ・NT rootkit
rootkitに汚染されると システム管理者は正しいシステム情報を得ることができない!!
不正アクセスを受けたコンピュータ 不正アクセスを受けたコンピュータは重要なデータを扱っていなくても、また、コンピュータ自身がそれほど重要でなくても、放置してはいけない!!
使えるツール 不正アクセスの検出、またはその事実の確認のためにいろいろなツールが使われる chkrootkit iplog snort 不正アクセスの検出、またはその事実の確認のためにいろいろなツールが使われる chkrootkit iplog snort kstat alamo Tripwire tct
chkrootkit rootkitやワームの検出や、ネットワークインターフェイスがプロミスキャスモードになっていないか、ログファイルは改竄されていないか、隠蔽されているプロセスはないか、といった項目をチェックする
iplog iplogはネットワーク上を流れるパケットの通信元/通信先それぞれのIPアドレスとポートを記録することのできるツール
snort snortはネットワーク上を流れるデータを監視し、あらかじめルールに記述されたデータパターンを持つトラフィックとマッチしたものを、ルールの指示に従って、アラート/記録/無視などの処理を行う
kstat kstatはLinuxシステム上のlkmによる改竄を検出する
alamo alamoは、システムコールテーブルのエントリsys_getdentsを乗っ取り、元のsys_getdentsの機能を復元する
Tripwire システムの整合性をチェックするためのツールで、これを使うことで、バックドアやrootkitの検出とシステムの復旧を迅速に行うことができる
TCT 不正アクセスを許してしまったコンピュータにおける、情報の収集/記録/分析を可能な限り自動化するために開発されたforensicツール
不正アクセスされてしまうと OSの再インストール ユーザアカウントの初期化 アプリケーションの再インストール などが必要となる
不正アクセスに備えて 攻撃/侵入行為を防ぐ ログ、コマンドの改竄を防ぐ バックドアの設置を防ぐ カーネルレベルでの改竄を防ぐ ネットワークの盗聴を防ぐ 踏み台による他コンピュータへの攻撃を防ぐ