[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00613] Re: rootkit に関するメモβ1

園田です。

もうかなりオフトピック化してますが(汗)、
http://packetstormsecurity.org/groups/thc/slkm-1.0.html
を一部試してみました。
試してみたのはsitf0.1というモジュールで、こいつは
・特定名のファイルやディレクトリ隠蔽
・特定IDのユーザーにroot権限
という機能を持ってます。
BSM(Basic Security Module)が動いている環境でこいつを使ってみたところ、

(1)モジュールをロードするのはmodloadコマンドを用いるが、BSMログに modloadコマンドを使用した記録は残っている
(2)特定名のファイルやディレクトリをls等で表示させようとしたが、特に怪しい ログは残らず、かつ表示できない(rootkitの勝ち)
(3)特定IDのユーザーにroot権限を持たせてみたが、かつroot権限でリソースにア クセスされてしまう。しかしログにはアクセス記録は残され、注意して読めばそこか らおかしなアクセスを割り出すことは可能

また、現在rootkitモジュールがロードされているのかどうか確かめる場合、 modinfoコマンドを利用しますが、モジュールのマップから特定モジュールを隠蔽す るツールは、同じslkmにあるflkmというものになる。能書きではmodinfoに対し隠蔽 可能となっているが、試している環境(x86Solaris7)ではどうもちゃんと動かない (?)ため追試中です。
これからシステム付属kstatとどちらが強いか試してみるつもりです。
-- 園田道夫
株式会社アイ・ティ・フロンティア(旧三菱事務機械株式会社)
TEL:03-5611-5878 FAX:03-5611-5893
http://www.mom.co.jp/sec/