[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00524] rootkit に関するメモ β1

To: port139@xxxxxxxxxxxxx
Subject: [port139:00524] rootkit に関するメモ β1
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 14 Aug 2001 01:27:36 +0900

こんばんは、Port139 伊原です。

とりあえず、いただいた情報などをもとにメモにまとめました。
検出方法の部分はまだまだ調査が必要ですねぇ。
ここはおかしいとか、これはこうでしょなどご意見募集～ ;)


□実行ファイルを変更する rootkit

rootkit とは、ps や ls 、netstat などのコマンド ファイルを悪意のある
ものに置き換え、悪意のあるファイルやプロセス、通信を表示させないとい
った目的を持ったツール群のことを指す。
rootkit は基本的にシステムの実行ファイルを悪意のあるプログラムへ置き
かえるため、これらのファイルのハッシュ値(MD5 が一般的に利用される）が
正常な状態のハッシュ値と同じかどうかを md5sum や RPM コマンドなどを使
い確認することで、rootkit の混入を確認することができる。
システムの正常な状態でのハッシュ値を保存し、現在の状態とを比較する専
用のツールとしては Tripwire などの整合性チェックツールもある。

また、一般的にシステムに対する侵害の有無を確認する際には、システム上
にある実行ファイルが改ざんされていることを想定して、FD や CD-ROM など
に保存された安全と確認できている実行ファイルを利用してシステムの状態
を確認することが推奨されている。
FD や CD-ROM などに置かれた安全なファイルを利用することで、システムの
正確な情報を得ることができ、システムに存在するバックドアなどを検出す
ることができる。
なお、rootkit を検出する為に、chkrootkit などの専用ツールも存在する。

□Loadable Kernel Module(LKM) rootkit

単なる rootkit がファイルを置き換えるのに対して、LKM rootkit は ls や
ps といったファイルの置き換えを基本的に必要としない。
LKM rootkit はカーネルモードで動作する為、ユーザーモードで実行される
セキュリティ ツールなどからのアクセスをカーネルレベルで横取りすること
で、悪意のあるファイルやプロセス、通信を隠蔽することができる。

例えば、バックドアとして仕掛けられたプログラムのファイルやプロセスを
 ls や ps コマンドでは表示しないといったことが可能になる。
ファイルやプロセスを隠すといった機能は、LKM rootkit 自体のファイルや、
LKM rootkit をロードする為の起動ファイル、ロードされた  LKM rootkit
モジュール自体の存在を隠すことにも利用される。
むろん、netstat や ifconfig の結果から管理者に見られては困る内容を隠
すことも可能となっている。

LKM rootkit はファイルを置き換えないことから、単純にシステム上に存在
するファイルのハッシュ値を確認することでは検出することができない。
また、FD や CD-ROM から起動された安全と確認できている ls や ps コマ
ンドなどに対しても悪意のあるファイルやプロセス、通信を隠すことができ
てしまう。

LKM rootkit により悪意のあるファイルやプロセス、通信が隠されてしまう
ことで、システム上にバックドアが存在していたとしても、オンラインでそ
の存在を確認することは難しい。

□LKM rootkit のオンライン状態での検出

オンラインで LKM rootkit を検出する方法としては、kstat などのツール
を利用する。
また、別システムで動作する tcpdump や IDS を利用することで、仕掛けら
れたバックドアを検出することができる場合もある。

□LKM rootkit のオフラインでの検出

オンラインでは検出の難しい LKM rootkit でも、それが動作できないオフ
ライン状態でシステムのチェックを行えば容易に検出することができる。

□LKM rootkit への事前対策

動的にモジュールをロードする機能を無効にする
モジュールのロードを関するツールを導入する

□紹介したツールへのリンク

Tripwire http://www.tripwire.org/
chkrootkit http://www.chkrootkit.org/
kstat http://s0ftpj.org/en/site.html

□参考 URL

Detecting Loadable Kernel Modules (LKM)
http://members.prestige.net/tmiller12/papers/lkm.htm

"Root Kits" and hiding files/directories/processes after a break-in
http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq

Packetstome にある関連記事
http://packetstormsecurity.org/groups/thc/LKM_HACKING.html
http://packetstormsecurity.org/papers/unix/bsdkern.htm
http://packetstormsecurity.org/groups/thc/slkm-1.0.html

Fighting Rootkit and Similar Trojans: 
Integrity Checkers and Trojan detectors
http://www.softpanorama.org/Security/integrity_checkers.shtml

Linux Loadable Kernel Module(LKM) Hacking 
http://cdz4lj.virtualave.net/trash/lkmhack.html


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00529] Re: rootkit に関するメモ β1
  - From: DANNA

Prev by Date: [port139:00523] 日経 IT Proの記事
Next by Date: [port139:00525] Re: 日経 ITPro の記事
Previous by thread: [port139:00528] Re: 日経 ITPro の記事
Next by thread: [port139:00529] Re: rootkit に関するメモ β1
Index(es):
- Date
- Thread