エンタープライズ:特集 2003/03/28 17:09:00 更新

rootkitによるハッキングとその防御
第4回 rootkitを利用した侵入 (4/5)

 勘のよい方であれば、いくつかのセキュリティホールをまとめてアタックさせるツールもあるのでは、と思われているだろう。先ほどと同様に、これまで見てきたOpenSSLやftpdなどの既知のセキュリティーホールを含み、さらにいくつかの既知のセキュリティホールを自動的にスキャンしてアタックを行うツールもある。もちろんツール名は記述しないが、下記はそのツールのヘルプ画面で、これを見れば複数のセキュリティホールに対するアタックツールであることはお分かり頂けるだろう。

 たとえばこのツールを侵入したコンピュータ上でramdomを指定して実行すれば、ワームの一部として機能させることができてしまう。実際に、あるrootkitのインストールスクリプトにはこのツールをワームとして利用する旨が記述されていた。しかし、当然ながら、こういったツールで侵入できるのは、脆弱性のあるサービスを放置したまま利用されているマシンに限られる。

 ここで紹介している侵入手口は、もちろん参考程度のものではあるが、高度な知識がなくても既知のセキュリティホールを放置しているようなコンピュータには簡単に侵入できてしまうという一例である。このようなコンピュータには、インターネット上で公開されているツール類を用いるだけの、ゲーム感覚で侵入してくるクラッカーでも、簡単に侵入を許してしまう可能性もある。このことは覚えておく必要があるだろう。

 彼らにとっては、侵入する手段はどうでもよく、鍵の開けやすい家を狙っているだけである。

■複数の脆弱性のあるサービスを自動的にアタック
Linux LPRng, Named & multi FPTD,SSHD,PhP,http RPC and Telnet mass scanner/rooter
    Project started by daddy_cad from RHC 
    Greetingz to : Nessuno, Cho-Can, cxe,
    amnesiax,buldozer ,tassadar ,mega-,M1 
    #rohackers, and to all my
    friends i missed.
    www.abouthacking.net
    05-October-2002
    Vulnerable LPRng:
    Red Hat 7.0 Guiness LPRng from RPM
    Vulnerable BIND/named versions:
    ** 8.2 ** 8.2.1 ** 8.2.2 ** 8.2.2-P3 **
    ** 8.2.2-P5 ** 8.2.2-P7 ** 4.9.6-REL **
    Vulnerable FTPD versions:
    Wu-FTPD prior to 2.6.1(anonymous login)
    Vulnerable Ssh versions:
    SSH-1.5-1.2.27
    SSH-1.99-OpenSSH_2.2.0p1
    and other 90 targets for SSHD exploit
    Vulnerable RPC OS`s:
    Redhat 6.2
    Redhat 6.1
    Redhat 6.0
    Vulnerable Telnet OS's:
    FreeBSD 3.1, 4.0-REL, 4.2-REL, 4.3-BETA,
    4.3-STABLE, 4.3-RELEASE
    NetBSD 1.5
    BSDI BSD/OS 4.1
    Slackware 8.0
    Telnetd 0.17 exploit
    Irix
    SunOS 5.7, 5.5, 5.5.1 and Solaris 2.6, 2.7 , 2.8
    Vulnerable Pop3 OS's:
    Linux x86
    Vulnerable PhP version:
    PHP/4.2.2
    Vulnerable http version:
    Null httpd 0.5.0 tested on Red Hat 7.3
    * Usage:
    * ./r00t [.b][.c] <-d daemon>
    * or
    * ./r00t random- <-d daemon>
    * !!!ATENTION When u use FTPD daemon don't put DOT betwen a and b 
    * use like this ex : ./r00t 80 96 -d 3 NO DOT betwen a and b!!!
    * a,b,c = IP Classes
    * class = a,b or c
    * daemons : 
    *   1: bind 
    *   2: lpd 
    *   3: ftpd 
    *   4: ssh
    *   5: rpc.*
    *   6: telnet
    *   7: mail
    *   8: php
    *   9: http
    *  10: All xploits in one 

 また、クラッカーはいくつかのセキュリティホールを利用するツールをまとめて用意していることが多く、細かい説明は割愛するが、そういったものにはスキャナー、アタックツール、ログクリーナー、rootkitなどが納められている。

rootkitには何が含まれるのか

 これまでは、「rootkitでどんなことができるのか」を中心に解説してきたが、ここでは、rootkitに含まれるファイル群について、もう少しかみ砕いてみていくことにしよう。 rootkitに含まれるインストールスクリプトやトロイの木馬などは、第1回でも解説したように、下記のような目的で利用される。

■再度ログインするための裏口(バックドア)を作る
■侵入の痕跡を隠す(ログクリーナーやコマンドの改ざん)
■ネットワークの盗聴(スニッファ)
■システムを不正に利用するためのツールのインストールやシステムの設定変更

 これらの項目は、自分がクラッカーになった気持ちで考えればすぐに思いつくものばかりだろう。では、具体的にどのようなことを行うのか見ていこう。

バックドアを作る

 バックドアは、tuxkitに含まれていたsshdなど、再度ログインするために仕込まれたトロイの木馬で、sshdのほかにもtelnetd、ftpd、fingerなどいくつかの種類がある。バックドアを1つだけインストールのものもあれば、複数のバックドアを同時にインストールするrootkitもある。

■バックドアの一例

 ここではわかりやすい例として、RedHat Linux8.0に仕掛けたCGIバックドアの実行画面である画面1を参照してみてほしい。これはWebサーバを利用してバックドアを作り、リモートでコマンドを実行するために仕組まれたバックドアで、外部から侵入したシステムを操ることを可能にしている。このCGIバックドアは、実際にいくつかの既知のrootkitにも組み込まれていたものであり、CGIバックドアはHTTPトラフィックが通れば、侵入したシステム操ることが可能になる。

画像

画面1■CGIバックドアの実行画面


前のページ | 1 2 3 4 5 | 次のページ

[TTS,ITmedia]



Special

- PR -

Special

- PR -