ROOTKIT偵測 蔡一郎 2010/12/29.

Slides:



Advertisements
Similar presentations
教師網路素養與認知教師網路素養與認知 主講人:南投縣網 王登儀 時間地點:南投縣日月潭教師會館 時間地點:南投縣日月潭教師會館 主講人:南投縣網 王登儀 時間地點:南投縣日月潭教師會館 時間地點:南投縣日月潭教師會館
Advertisements

中小學網管人員面對個資安全世代之探討 Location:台中市大甲區順天國小 Speaker:麥毅廷 Date:2012/06/06
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
Linux 安裝入門與基本管理 課程目標: 學習Linux平台下的安裝設定 與 建置一個基本的Linux伺服器
第三章 駭客入侵流程解析.
第2章 黑客常用的系统攻击方法.
本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供
信息犯罪与计算机取证 第三章计算机入侵.
BOTNET Detection and Prevention
实训十四、IE浏览器的基本应用.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
Xoops架站器介紹 基隆市教育網路中心 王言俊 按一下以新增備忘稿.
第六章 Linux的系統管理基礎 課前指引 身為Linux系統管理員,除了熟悉作業系統的安裝、圖形介面的操作及系統指令的使用與軟體套件的安裝外,更需要瞭解基礎的Linux系統管理技巧。本節,將針對此部分進行說明。
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
轉移SFS3學務系統至CentOS 6.3 臺中市教育網路中心 曾文芳 2012/8/13.
第一章 網路攻防概述.
21世紀網路之美麗與哀愁 Location:台中市南屯區惠文國小 Speaker:麥毅廷 Date:2012/05/30
中国人民邮政 SCO UNIX 5.0.5培训 (二) Copyright  1999 by bcssusi Co.,Ltd.
UNIX系統與資料庫安裝 Why UNIX 常用的工具程式介紹 資料庫的安裝.
计算机系统安全 第10章 常用攻击手段.
Subversion (SVN) Presented by 李明璋 R /2/21
System Administration Practice Homework 2: Shell Programming
Wife Certificate Agenda Why Wi-Fi ? Install and operation chariot.
Linux.
作業系統 第十三章 檔案系統實例.
第 2 章 上機使用 Unix/Linux 內容: 操作介面 主機連線 登入主機 認識系統環境 使用者常用命令.
Web Server 架設.
台灣大學計算機及資訊網路中心 教學研究組 張傑生
本章导读 Webmin简介 Webmin的安装和配置 停止和启动Webmin服务 使用Webmin配置Samba服务
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第七章 入侵偵測防禦系統.
OpenFoundry.org 版本控制系統服務 使用教學
系統安全期末報告 Nessus 與其相關軟體使用心得
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
DNS y2k/security 相關問題 剖析及對策
Linux 圖形操作介面 GUI -- X-window 與 Webmin
人人网安全交流 qQ: 信息安全监控 人人网安全交流 qQ:
經濟部九十年度科技專案 國家資通安全技術服務計劃 入侵偵測系統簡介
讲议: PXE 介绍及实现 Jarvis
第二天 计算机基础技能培训 (一)linux基础知识
CS 網路安全 Network Security
軟體的安裝升級與移除 Linux軟體安裝簡介 原始碼安裝 以 RPM 指令管理套件 使用 Yum 線上安裝、移除與更新套件
An introduction to Subversion
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
Introduction to Multimedia Coding
在本章節中,將為各位介紹台達變頻器專用軟體, VFDSoft
远程登录管理.
黑客大曝光 安 阳 大 年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范.
Chapter 6 Linux 檔案權限與目錄配置 VBird 2005/08/03
NetST®防火墙培训教程 清华得实® 保留所有权利.
壓縮與備份工具.
第二章 防火墙基础技术.
簡易 Visual Studio 2005 C++ 使用手冊
Linux核心編譯與模組管理 2013/01/19.
98年-ichip使用與轉移教育訓練 注意事項 使用者資料備份與還原 資料庫資料匯出與匯入 環境設定備份(時光回溯) 系統基礎操作
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
SAP R/3架構及前端軟體安裝 Logical View of the R/3 System SAP Frontend 6.2安裝
Version Control System Based DSNs
Confidential Property
作業系統 Operating System 第四單元 檔案系統
Let’s Spell Unit4 At the farm (A) 义务教育教科书 英语(PEP) (三年级起点) 四年级下册
講員:游文志 排程系統教育訓練 後台管理系統 講員:游文志
105學年度 新北市英語歌曲演唱競賽 志工工作會議 105年11月18日 9:30-10:00 碧華國小演講廳 新北市三重區碧華國小.
Compute System Administration Homework 2: Shell Script
多媒体技术 中南大学信息科学与工程学院 黄东军.
Linux网络配置管理.
DDoS A 林育全.
信息安全防护技术—— 防火墙和入侵检测 万明
第六章 文件系统与文件管理 6.4 Linux文件管理 1、比较MS DOS 与 Linux的目录结构 一、Linux文件系统的树形结构
Presentation transcript:

ROOTKIT偵測 蔡一郎 2010/12/29

Outline Rootkit簡介 駭客的攻擊行為模式 相關偵測工具 rootkit hunter AIDE

Rootkit簡介 為一組工具,方便駭客用來隱藏入侵行為及取得電腦或電腦 網路系統之管理者權限 通常為kernel based 會改寫正常的系統命令,如ls、ps、netstat等來隱藏入侵的 行為 用來進行網路攻擊,如DDoS 用來盜取重要資訊

Rootkit與特洛伊木馬 木馬程式的來源,大概可分為以下幾種: 系統被入侵(root-compromise), 遭 cracker 植入 中了主機系統中, 某位一般權限使用者精心設計的陷井 執行了來路不明的程式 安裝了被竄改過的程式套件 被 network worm (網路蠕蟲) 感染.

駭客的攻擊行為模式 攻擊流程圖 攻擊者 工具 存取 結果 目的 駭客 間諜 有心人士 … 網路分析 系統分析 弱點偵測 入侵程式 自動化工具 應用程式的漏洞 程式設計上的漏洞 組態設定上的漏洞 … 非經授權 存取 使用 … 資料毀損 資訊外洩 盜用服務 阻絕服務 影響形象 … 經濟利益 虛榮心 政治意圖 挑戰 …

1-網路探勘 主要是駭客不熟悉攻擊目標的網路架構,因此利用whois查 詢、nslookup查詢等,以發掘一些潛在的IP位址範圍、員工 姓名、電話號碼、網域名稱伺服器、郵件伺服器等等的資訊。 藉由所搜集到之初始資訊,雖可知道潛在的IP位址範圍或伺 服器位址,但並不能確定這些主機是否存活(alive)、有什麼 漏洞等,因此仍需經過掃描的動作才能具體確定這些事實。 常用的工具 nslookup、ping、whois…

2-偽裝/欺騙 攻擊者為了隱藏自己的身分,往往會利用某 些技術(如傳送假造位址或利用主機架構), 造成目標主機的誤以為其為受信任的主機, 因而達到其攻擊行為。

3-掃瞄 當駭客確定目標位址後,便會利用掃描軟體 (Scanners),從遠端掃描偵測目標主機的 各類資訊。 這些資訊包括主機之作業系統類型及版本、 開啟的網路服務、系統弱點、主機間信任關 係等。 由於這些掃描結果是駭客用以入侵目標網路 系統的重要資訊,因此,此攻擊行為極具威 脅性。

4-竊聽 駭客可以藉一些竊聽程式(如Sniffer等)竊聽 流經該其所在位址網路區塊之封包,藉以收 集到重要的資訊,如帳號、通行碼等資訊, 以便做進一步之入侵。 一般而言,駭客能夠藉由竊聽作為攻擊手段, 主要是資料未經加密(即在不安全之通道上) 傳送。因此,使得駭客輕易藉由此項攻擊取 得大部份通訊內容。

5-密碼破解 駭客利用了掃描技術,得知目標系統一些弱 點後,便可入侵該系統複製其通行碼檔,以 試圖找出該系統使用者的通行碼。 通行碼破解程式是利用通行碼在系統裏加密 的演算法,模擬加密程序,將字典檔 (Dictionary File)中所猜測的明文字串加密成 密文,再和通行碼檔裏的密文欄位作比對。

6-利用漏洞 漏洞利用是指程式或軟體的不當設計或實作, 以及在設定上的錯誤,使得非授權者可以藉 以利用此漏洞來獲取資訊、取得使用者或管 理者權限等等,例如緩衝區溢位(buffer overflow)即是這類問題。

6-利用漏洞(續) 取得初步權限 密碼猜測 不安全的密碼 NTIS(空白密碼) administrator、adm 、test…. 字典攻擊法 Legion、NetBIOS Audition Tool… 網路監聽

6-利用漏洞(續) 提昇權限 密碼猜測 網路監聽 密碼檔破解工具 Tools: pwdump2, L0phtCrack, John 將使用者加入管理者群組 getadmin、Sechole 鍵盤敲擊記錄(側錄)

緩衝區溢位(Buffer Overflow) 例如:送入一個256字元的使用者名稱、在 舊版本IE的URL中輸入超過128字元的網址 等都會造成緩衝區溢位。

7-存取主機 主要是針對目標被駭客入侵後(利用通行碼破 解或漏洞),駭客使用取得之使用者或管理者 權限,對主機各檔案之存取行為。 包括: 複製(copy) 讀取(read) 篡改(modify) 移除(delete) 竊取(steal)

8-安置後門 攻擊者還會再回去該主機做存取或作為入侵 其他主機之跳板。 駭客擔心系統管理者發現入侵行為後,修正 該項漏洞,使得他們無法重新登入該主機, 因此透過安置的後門程式,讓自己可以在未 來重新獲得存取的權限。 啟動的操控 HKLM\SOFTWARE\Microsoft\Windows\Current Version, \Run, \RunOnce, \RunOnceEx, \RunServices 遠端控制

8-安置後門(續) 啟動的操控 HKLM\SOFTWARE\Microsoft\Windows\Current Version、\Run、\RunOnce、\RunOnceEx、 \RunServices 遠端控制 Telnet service VNC、Terminal services、pcanywhere

9-消滅證據 駭客完成環境的佈署後,清除系統與相關設 備的紀錄,避免被系統管理人員稽核時發現。 隱藏惡意程式或是後門程式。 變更屬性 利用工具 系統特性 隱藏至NTFS file streaming 隱藏至MRB

10-阻絕服務 駭客可能花了很多心思,都無法入侵目標系 統,使他們利用阻絕服務的程式,對目標系 統發動阻絕服務攻擊。 雖然攻擊結果不致於讓資料流失,但卻讓系 統癱瘓或讓網路塞車,而造成該網路系統無 法提供服務之目的。 常用的阻絕手法: SYN Flood、IP Spoofing、DDOS、郵件炸彈… Tools:Ping of death、land、teardrop、 mailbomb、spam mail

Rootkit的預防措施 基本的系統與網路安全防護 為重要檔案上鎖 設定防火牆 Access control 套件更新 監控系統記錄 chattr +i filename : set the immutable flag chattr -i filename : unsets the immutable flag lsattr filename :display attributes set to a file

偵測rootkit 檔案一致性檢查工具 RPM套件的校驗功能 Rootkit檢查工具 nmap或nessus進行掃描 Tripwire:http://www.tripwire.com/ Aide:http://www.cs.tut.fi/~rammer/aide.html RPM套件的校驗功能 rpm -V package rpm -Vf filename Rootkit檢查工具 chkrootkit:http://www.chkrootkit.org/ Rootkit hunter:http://www.rootkit.nl/projects/rootkit_hunter.html nmap或nessus進行掃描

RPM套件的校驗功能 # rpm -Vf /etc/inittab ..5....T c /etc/inittab 檢查項目 S:檔案大小是否已改變 M:檔案型及權限是否已改變 5:MD5 sum值是否已改變 D:裝置名稱是否已改變 L:Link屬性是否已改變 U:檔案的擁有者是否已改變 G:檔案的所屬群組是否已改變 :T檔案建立的時間是否已改變

安裝rootkit hunter 至官方網站下載最新套件 解開套件後安裝 套件架構 # wget http://downloads.rootkit.nl/rkhunter-1.2.9.tar.gz http://sourceforge.net/projects/rkhunter/ 解開套件後安裝 # tar -zxvf rkhunter-1.2.9.tar.gz # cd rkhunter # ./installer.sh 套件架構 執行檔:/usr/local/bin/rkhunter --checkall 安裝目錄:/usr/local/rkhunter

使用rootkit hunter /usr/local/bin/rkhunter --checkall 檢查分成以下幾個部份 Checking binaries Check rootkits Networking System checks Application advisories 最後會顯示檢查總結報告 Application advisories * Application scan Checking Apache2 modules ... [ Not found ] Checking Apache configuration ... [ OK ] * Application version scan - GnuPG 1.4.2.2 [ Unknown ] - Apache 2.0.54 [ OK ] - Bind DNS 9.3.1 [ OK ] - OpenSSL 0.9.7f [ Old or patched version ] - PHP 5.0.4 [ OK ] - Procmail MTA 3.22 [ OK ] - OpenSSH 4.2p1 [ OK ] # 第五部分在檢查一些常見的服務的套件版本! # 因為僅檢查版本資訊而已,並沒有針對可能的漏洞去攻擊, # 所以,這裡的資訊有可能是 誤判的 不要懷疑!以上面的檢測為例, # 我的 OpenSSL 0.9.7a 是已經經過官方 patch 的版本,也就是說, # 他已經封住漏洞了,但是這裡卻顯示有問題!原因就是這樣啦!

掃描結果 ---------------------------- Scan results ---------------------------- MD5 MD5 compared: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 342 Possible infected files: 0 Application scan Vulnerable applications: 1 Scanning took 308 seconds ----------------------------------------------------------------------- Do you have some problems, undetected rootkits, false positives, ideas or suggestions? Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

IF… 清查後門 追查入侵原因 追蹤入侵來源 做好重灌系統的心理準備 備份重要檔案 重灌系統 事後更要, 加強安全防駭知識 善用工具 (如: 安裝: 檢查檔案系統完整性的工具: Tripware; 安裝任何程 式套件之前, 使用 MD5 checksum 比對) 注意相關安全訊息 勤補系統 養成良好的網管習慣 (如: 避免用 telnet / ftp, 改用 ssh2, sftp2, scp) 持續的關心監控 努力維護主機安全

AIDE簡介 Advanced Intrusion Detection Environment 可取代tripwire的open source 套件 可以藉由檔案完整性檢查,協助管理者早期發現系統入侵跡 象的安全工具 管理者可自定檔案範圍及檢查項目,藉由比對方式,產生檔 案變動的報告。 產生系統檔案特徵的資料庫(aide.db),已作為日後核對之 用 。

AIDE簡介 AIDE可以檢查檔案特性項目 AIDE用來檢查檔案完整性的演算法 AIDE的安裝時機 存取權限設定(permissions), inode編號(inode number), 檔案擁有者 (user), 檔案擁有群組(group), 檔案大小(file size),檔案最近被修改時 間(mtime and ctime), 檔案最近被修改時間(atime), 檔案大小的改變 (growing size)及檔案鏈結數(number of links) AIDE用來檢查檔案完整性的演算法 sha1, md5, rmd160, tiger (crc32, haval and gost can be compiled in if mhash support is available) AIDE的安裝時機 檔案檢查原理是比對,因此你必須在確定系統是乾淨的時候 來進行 資料庫的初值化或更新

安裝AIDE 由原始碼安裝 以RPM方式安裝 由http://sourceforge.net/projects/aide下載原始碼 由http://rpm.pbone.net/下載AIDE的RPM套件 安裝套件 修改設定檔/etc/aide.conf 進行AIDE資料庫初值化 yum install aide FC4可以使用yum 安裝

AIDE的設定檔--/etc/adie.conf 系統參數 @@define DBDIR /var/lib/aide database=file:@@{DBDIR}/aide.db.gz database_out=file:@@{DBDIR}/aide.db.new.gz gzip_dbout=yes verbose=5 report_url=file:/var/log/aide.log report_url=stdout

AIDE的設定檔--/etc/adie.conf Rules:包括檔案特性及檢查檔案完整性的演算法 p: permissions i: inode: n: number of links u: user g: group s: size b: block count m: mtime a: atime c: ctime S: check for growing size md5: md5 checksum sha1: sha1 checksum rmd160: rmd160 checksum tiger: tiger checksum haval: haval checksum gost: gost checksum crc32: crc32 checksum

AIDE的設定檔--/etc/adie.conf 自訂rule 設定檢查項目: [目錄/檔案] [rule] R: p+i+n+u+g+s+m+c+md5 L: p+i+n+u+g E: Empty group >: Growing logfile p+u+g+i+n+S NORMAL = R+b+sha1 DIR = p+i+n+u+g 設定檢查項目: [目錄/檔案] [rule] /boot NORMAL /etc/passwd NORMAL

AIDE的用法 資料庫初始化 檢查系統檔案是否遭修改 資料庫更新 /usr/sbin/aide --init /usr/sbin/aide --check 資料庫更新 /usr/sbin/aide --update

AIDE資料庫初值 1. 建立新的AIDE資料庫 2. 將產生的AIDE資料庫轉存成/var/lib/aide/aide.db.gz # aide --init AIDE, version 0.10 ### AIDE database initialized. 2. 將產生的AIDE資料庫轉存成/var/lib/aide/aide.db.gz # cd /var/lib/aide # mv aide.db.new.gz aide.db.gz

範例 使用AIDE檢查檔案是否被修改 完成AIDE資料庫初值化 修改受監控的檔案 以aide --check指令檢查 #chmod 664 /etc/passwd 以aide --check指令檢查 # aide --check AIDE found differences between database and filesystem!! Start timestamp: 2005-09-21 12:05:10 Summary: Total number of files=106605,added files=0,removed files=0,changed files=1 Changed files: changed:/etc/passwd Detailed information about changes: File: /etc/passwd Permissions: -rw-r--r-- , -rw-rw-r-- Ctime : 2005-08-05 10:09:09 , 2005-09-21 12:00:01

Q & A