エンタープライズ:特集 | 2003/03/28 17:09:00 更新 |
rootkitによるハッキングとその防御
第4回 rootkitを利用した侵入 (4/5)
勘のよい方であれば、いくつかのセキュリティホールをまとめてアタックさせるツールもあるのでは、と思われているだろう。先ほどと同様に、これまで見てきたOpenSSLやftpdなどの既知のセキュリティーホールを含み、さらにいくつかの既知のセキュリティホールを自動的にスキャンしてアタックを行うツールもある。もちろんツール名は記述しないが、下記はそのツールのヘルプ画面で、これを見れば複数のセキュリティホールに対するアタックツールであることはお分かり頂けるだろう。
たとえばこのツールを侵入したコンピュータ上でramdomを指定して実行すれば、ワームの一部として機能させることができてしまう。実際に、あるrootkitのインストールスクリプトにはこのツールをワームとして利用する旨が記述されていた。しかし、当然ながら、こういったツールで侵入できるのは、脆弱性のあるサービスを放置したまま利用されているマシンに限られる。
ここで紹介している侵入手口は、もちろん参考程度のものではあるが、高度な知識がなくても既知のセキュリティホールを放置しているようなコンピュータには簡単に侵入できてしまうという一例である。このようなコンピュータには、インターネット上で公開されているツール類を用いるだけの、ゲーム感覚で侵入してくるクラッカーでも、簡単に侵入を許してしまう可能性もある。このことは覚えておく必要があるだろう。
彼らにとっては、侵入する手段はどうでもよく、鍵の開けやすい家を狙っているだけである。
■複数の脆弱性のあるサービスを自動的にアタックLinux LPRng, Named & multi FPTD,SSHD,PhP,http RPC and Telnet mass scanner/rooter Project started by daddy_cad from RHC Greetingz to : Nessuno, Cho-Can, cxe, amnesiax,buldozer ,tassadar ,mega-,M1 #rohackers, and to all my friends i missed. www.abouthacking.net 05-October-2002 Vulnerable LPRng: Red Hat 7.0 Guiness LPRng from RPM Vulnerable BIND/named versions: ** 8.2 ** 8.2.1 ** 8.2.2 ** 8.2.2-P3 ** ** 8.2.2-P5 ** 8.2.2-P7 ** 4.9.6-REL ** Vulnerable FTPD versions: Wu-FTPD prior to 2.6.1(anonymous login) Vulnerable Ssh versions: SSH-1.5-1.2.27 SSH-1.99-OpenSSH_2.2.0p1 and other 90 targets for SSHD exploit Vulnerable RPC OS`s: Redhat 6.2 Redhat 6.1 Redhat 6.0 Vulnerable Telnet OS's: FreeBSD 3.1, 4.0-REL, 4.2-REL, 4.3-BETA, 4.3-STABLE, 4.3-RELEASE NetBSD 1.5 BSDI BSD/OS 4.1 Slackware 8.0 Telnetd 0.17 exploit Irix SunOS 5.7, 5.5, 5.5.1 and Solaris 2.6, 2.7 , 2.8 Vulnerable Pop3 OS's: Linux x86 Vulnerable PhP version: PHP/4.2.2 Vulnerable http version: Null httpd 0.5.0 tested on Red Hat 7.3 * Usage: * ./r00t [.b][.c] <-d daemon> * or * ./r00t random- |
また、クラッカーはいくつかのセキュリティホールを利用するツールをまとめて用意していることが多く、細かい説明は割愛するが、そういったものにはスキャナー、アタックツール、ログクリーナー、rootkitなどが納められている。
rootkitには何が含まれるのか
これまでは、「rootkitでどんなことができるのか」を中心に解説してきたが、ここでは、rootkitに含まれるファイル群について、もう少しかみ砕いてみていくことにしよう。 rootkitに含まれるインストールスクリプトやトロイの木馬などは、第1回でも解説したように、下記のような目的で利用される。
■再度ログインするための裏口(バックドア)を作る■侵入の痕跡を隠す(ログクリーナーやコマンドの改ざん)
■ネットワークの盗聴(スニッファ)
■システムを不正に利用するためのツールのインストールやシステムの設定変更
これらの項目は、自分がクラッカーになった気持ちで考えればすぐに思いつくものばかりだろう。では、具体的にどのようなことを行うのか見ていこう。
バックドアを作る
バックドアは、tuxkitに含まれていたsshdなど、再度ログインするために仕込まれたトロイの木馬で、sshdのほかにもtelnetd、ftpd、fingerなどいくつかの種類がある。バックドアを1つだけインストールのものもあれば、複数のバックドアを同時にインストールするrootkitもある。
■バックドアの一例ここではわかりやすい例として、RedHat Linux8.0に仕掛けたCGIバックドアの実行画面である画面1を参照してみてほしい。これはWebサーバを利用してバックドアを作り、リモートでコマンドを実行するために仕組まれたバックドアで、外部から侵入したシステムを操ることを可能にしている。このCGIバックドアは、実際にいくつかの既知のrootkitにも組み込まれていたものであり、CGIバックドアはHTTPトラフィックが通れば、侵入したシステム操ることが可能になる。
[TTS,ITmedia]