★阿修羅♪ 現在地 HOME > 掲示板 > 戦争38 > 188.html
 ★阿修羅♪
次へ 前へ
rootkitによるハッキングとその防御第5回 kernelrootkitの概要 (1-4)
http://www.asyura.com/0306/war38/msg/188.html
投稿者 クエスチョン 日時 2003 年 8 月 07 日 19:47:25:WmYnAkBebEg4M

(回答先: rootkitによるハッキングとその防御第4回rootkitを利用した侵入 (1-5) 投稿者 クエスチョン 日時 2003 年 8 月 07 日 19:39:46)

IT板(戦争、破産、等と同じようにタイトルは凝らずにシンプルな方が
良い)の立ち上げを管理人さんに希望します。はっきり言って阿修羅は敵
に狙われやすい、言葉を変えれば狙われるに値するサイトだと思います。
パソコンを始めとしたスキル向上、セキュリティレベルの向上のためにも
「IT」板の立ち上げを希望します。
(◎事は緊急を要する!!)下記参照のこと。

攻撃?にあったようです。
http://www.asyura.com/0306/dispute12/msg/491.html
投稿者 エンセン 日時 2003 年 8 月 06 日 05:58:26:ieVyGVASbNhvI


(全4頁、残りは下記リンクにて参照願います。元サイトには画像の説明もあります。)
http://www.zdnet.co.jp/enterprise/0306/10/epn12.html
エンタープライズ:特集 2003/06/10 15:23:00 更新

rootkitによるハッキングとその防御
第5回 kernel rootkitの概要 (1/4)
今回から解説する「kernel rootkit」は、ps、ls、netstatなどのコマン
ド類は改変せずに、Application rootkitと同じように、クラッカー側に
とって必要な機能(バックドア、ファイル・プロセスの隠蔽など)を提供
するものだ。このためApplication rootkitに比べて管理者からの発見を
逃れられる可能性が高い。その概要について解説しよう。


 これまで解説してきた「Application rootkit」は、単にファイルをす
り替えることで侵入の隠蔽やバックドアの作成を行っていた。つまり、ク
ラッカーがApplication rootkitを利用してきた場合には、ファイルの整
合性チェックツールなどで、システムの改ざんを検知できる可能性が高い
ということになる。これはいままで紹介してきたセキュリティツール
(Tripwireやchkrootkitなど)の検出結果を見てもお分かり頂けるだろう。

 また、たとえファイルの整合性チェックツールなどで検知されなかった
(回避されてしまった)としても、コマンドの動作がおかしい、不明なユ
ーザーがログインしている、といった何らかの異常を感じるときには、改
ざんされたと思われるファイルを正常なファイルに置き換えれば、隠蔽さ
れたプロセスやファイルがあるかを確認することもできる。

 しかし、これはクラッカー側から見ればあまり好ましいことではないだ
ろう。侵入行為やrootkit、各種ツールなどをインストールした痕跡を、
管理者に短時間で発見されてしまえば、攻略したシステムへ再侵入できる
可能性は低くなる。また、たとえ再度侵入できたとしても、管理者によっ
てはクラッカーが気がつかないように、逆にトラップを仕掛けてくるかも
しれない。

 今回から解説する「kernel rootkit」は、Application rootkitに比べ
て管理者からの発見を逃れられる可能性が高い。ps、ls、netstatなどの
コマンド類は改変せずに、Application rootkitと同じように、クラッカ
ー側にとって必要な機能(バックドア、ファイル・プロセスの隠蔽など)
を提供するものだ。kernel rootkitのインストールがクラッカーにとって
面倒な作業であればよいが、インストール自体はApplication rootkitな
どと大きな違いはなく、条件さえ揃っていれば簡単にターゲットのシステ
ムにインストールすることができる。このため、クラッカーはkernel
rootkitが使用できる場面であれば、はじめからApplication rootkitは使
用せず、kernel rootkitを用いることを考えるだろう。

 kernel rootkitには代表的なものとして、「adore」、「suckit」、
「knack」といったものがあり、どれもインターネット上からダウンロー
ドすることができる。

ローダブルカーネルモジュールによる設置 カーネルに新たな機能を追加
するためには、通常ならば再コンパイルしてリブートする必要がある。し
かし、機能を追加するたびにいちいち再コンパイル→再起動を繰り返して
いたのでは、システムにかかる負担が大きくなってしまう。このため、
Linuxを含む多くのシステムでは、「カーネルモジュール」という方法で
必要に応じて機能を動的に組み込めるようにし、再コンパイルやリブート
といった煩わしさを解消している。この動的にロードできるモジュールは
「ローダブルカーネルモジュール」(LKM)と呼ばれるが、単純な例とし
ては、ノートパソコンに利用しているPCMCIAカードやUSBデバイスなどを
思い浮かべるとよいだろう。たとえば、現在ロードされているモジュール
は、lsmodコマンドで表示させることができる(《リスト1》)。

(以下略)

 次へ  前へ

戦争38掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。