[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00516] Re: バックドアの隠し場所



Port139 伊原です。

On Fri, 22 Jun 2001 13:33:34 +0900
SATO Mitsukuni/佐藤光国 <key@xxxxxxxxxxxxx> wrote:

>逆に言えば、悪意を持ったプログラムはtripwire等のツールで
>検索しないディレクトリに隠しておけば見つかりにくい、
>と言えるのではないでしょうか。

そうなんですよねぇ。

Tripwire、AIDE といった整合性チェックツールでポリシーを作成する場合、
ポリシーを作成する考え方として 2種類あると個人的には考えています。

 A)すでにあるファイルをチェック対象にする
 B)システム上の全てのファイルをチェック対象にする

A の方法は、ls や find といったすでにシステム上に存在してかつ大切な
ファイルを個別のルールに記述し監視するというものです。(監視対象で
ある ls や find を悪意のあるファイルに置き換えるとひっかかります)
この場合、監視対象が明確なのでノイズが発生しにくいという面があります。
逆に、監視対象が絞り込まれるため、新たに増えたファイルなどについては
感知しないというポリシーになりやすいかと思います。
#Tripwire のサンプルポリシーは、こっちのポリシーですかね。

B の方法は /usr/loca などディレクトリ単位等でチェックするもので、
新たに作成されたファイルなどを発見しやすくなります。(監視対象のディ
レクトリ内で悪意のあるファイルを置けば確実にひっかかります)
しかし、この方法は A と比較してノイズが発生しやすくなるのと、整合性
チェックを実行する時間が A と比較して長くなります。

A と B を組み合わせる or 併用するという方法も取れますが、いずれにせ
よこの手のツールを利用する場合、ノイズをいかに減らすかが重要になる
かと思います。
#ネットワークベースの IDS で誤検知をいかに減らすかと似てますかね。
#ノイズの量や変化から違反を検知するという荒業もありますが...

整合性チェックツールが苦手なものに、佐藤さんが書かれたような、常に
変化するファイル・ディレクトリがあるかと思います。
#もちろん Tripwire で言えば $(Dynamic) という指定もありますが...

常に変化するファイルやディレクトリ、排他的にオープンされているファ
イルはチェック対象から外すケースが多いと思いますが、B のポリシーを
利用している場合には、逆に悪意のあるプログラムはチェック対象外を
チェックすればよいと言えるかと思います。
AIDE のドキュメントには、そいう意味で監視対象がどこかを知られない
ようにしよーという記述がありますね。

/tmp などは怪しければ内容を削除してしまっても問題ないでしょうし...

で、個人的に整合性チェックツールが一番苦手だと考えているのは、カー
ネルモードのモジュールがすでに実行されていて、ファイルシステムの正
確な姿を見せてくれないときだと感じています。(整合性チェックツール
に関わらず、多くのセキュリティツールにとって脅威なんですが...)

これについては、自分のところの ML でも展開してますが、やはり別のシ
ステムからマウントしてのチェックが一番確実かなぁと・・・

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
  インフォシーク株価に新機能登場!!【銘柄条件検索】ってなにもの?? 
  http://stock.infoseek.co.jp/Stock?pg=stock_top.html&sv=ST&svx=971122