[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00538] [ サマリ ]バックドアの隠し場所
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:00538] [ サマリ ]バックドアの隠し場所
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Sun, 24 Jun 2001 13:27:13 +0900
Port139 伊原です。
現状いただいたリプライのうち、場所にフォーカスして切り抜いて
貼ってみます。(Mac の部分はちょっと抜けてるかもしれません)
理由とか検知方法・回避方法は個別記事参照でお願いします。
改行位置は適宜変更していますので、ご了承くださいませ。
■UNIX 系
[stalk:00506]より
/tmp
/usr/doc
/var/tmp
とかに ... とか ..+ みたいなカンジで隠してました。あと
/sbinとかにそれらしい名前で隠しておくってのもありますよね。
[stalk:00507]より
/usr/lib の下に隠しディレクトリを作って資源を置いていました。
[stalk:00508]より
lionfind-0.1を見ると、以下のディレクトリになっています。
私の知っている事例だと、/dev/、/dev/.lib/の下とかが多いですかね。
/dev/.lib/
/dev/.lib/lib/
/dev/.lib/lib/lib/
/dev/.lib/lib/lib/dev/
/dev/.lib/lib/scan/
/usr/src/.puta/
/usr/man/man1/man1/
/usr/man/man1/man1/lib/
/usr/man/man1/man1/lib/.lib/
/usr/man/man1/man1/lib/.lib/.backup/
/usr/src/.puta/
/usr/info/.t0rn/
[stalk:00509]より
見た訳じゃないですが、
/var/lib
あたりに.付きファイルで隠す、ってのもありますね。
あとは隠すのだからroot権限もっている、と考えると、
/usr/bin
/usr/sbin
/usr/etc
/usr/lib
/lib
あたりでもいいですね。
/dev
あたりにいかにもデバイス、って名前のファイルを作ると以外に
引っかかってくれたりして。
さらにユーザディレクトリの~/binに.ファイル、ってのが
盲点としていいかも、なんて思いますが。
/root/binが存在して、いっぱいシェルスクリプトがおいてあると
おもしろいかもしれない。
<snip>
また、Tripwireを仕掛けたマシンだったら、
/var/log(/var/adm)
なんてところもありかもしれない。
#ファイルの変更が多い->Tripwireで検査してない可能性あり。
例えば、/var/log/message.?(?はloglotateの回数+1にする)
と意外に見つけにくいんじゃない?(Linuxの場合)
・・・・そうすると/var/mailもいかしているかも?
[stalk:00513]より
逆に言えば、悪意を持ったプログラムはtripwire等のツールで
検索しないディレクトリに隠しておけば見つかりにくい、
と言えるのではないでしょうか。
例えば、/tmp, /var/tmp, /usr/tmp, /usr/docなどなど。
[stalk:00524]より
以前に実際にやられた例ですが、以下の手順でした。
1.日曜日の夜中(正確には月曜日の明け方)に小さなシェルスクリプトを
送り込む。
2.telnetd を止める。
3.機種、OSのバージョン等を調べて(当時は Solaris2.5.1だったかな?)
それに対応した版のツール群を落としてくる。(/var/tmp に)
4.ls、ps、find 等を置き換えて検索できないようにする。(ツールの中に、
これらのソースとCコンパイラのバイナリ、ライブラリなどが含まれてい
ました。タイムスタンプもオリジナルに合わせていました。)
5.ポートスキャンなど、目的の悪さを実行する。(レポートをftpで送る)
6./var/tmp や /var/adm/messages などのお掃除。
7.telnetd を動かす。(ls、ps、find 等はそのまま)
[stalk:00536]より
確かにソースだらけのところにぽつんとa.outがあると見逃しやすいか
な、と思いますけど。
#つーことはオーナーrootなa.outはチェック対象かな?
#/usr/srcの下あたりとかユーザのソース置き場は盲点かも。
■Windows系
[stalk:00505]より
ちなみに、NT 系であれば
-NTFS データストリーム(ADS)に隠す
-tmp フォルダに隠す
-IE のキャッシュフォルダにそれらしい名前で置く
-WINNT の下に、WINS のテンポラリファイルっぽく置く
-隠しファイル属性を付ける
-ゴミ箱の中(SID を勝手に作ってゴミ箱らしくふるまう)
とかが思いつきます。
[stalk:00509]より
あぁ、./cgi-bin(だっけ?)ってのもありかなぁ。
もちろん、隠し属性はいるんですけどね。
[stalk:00517]より
NT 系の OS だと cmd.exe がありますが、これと同じディレクトリ内に
適当なソフトを cmd.com とでもリネームしてぶち込んでおくというのは
反則ですか? もちろん exe file でも全然 OK。
snip
置き場所、というよりも名前の偽装の仕方の話にしてしまうと...
・昔の DOS のコマンド、例えば edlin とか dosshellとかいう名前
・unix のコマンド、例えば traceroot とかいう名前
あたりも人によっては引っかかるかも (誰も引っかからないって???)
[stalk:00523]より
POSIXの中途半端な実装を利用して大文字小文字違いのファイルを作ると
いうのもありますね。(以前 office さんとこでも話題になったけど)
これだと発見したとしても消すのを躊躇するかもしれないし...
■Mac系
[stalk:00509]より
Mac(9)は・・・・どこでもいいんじゃない?(笑)
名称未設定フォルダの中ってのが一番の盲点かも。
[stalk:00520]より
確かにMac OSだとどこでも良いんですよね。きっと。
不可視ファイルになっている事が多いようで、
File Buddyなど不可視ファイル検索ソフトを使って
探すことになるかと思います。
[stalk:00521]より
OS単体だと、不可視ファイル、フォルダは全く見えないですから、
そのあたりが面倒というかなんというか。
不可視で書類フォルダ直下にプログラムとか作られたらいやですよねぇ。
あとは「起動書類」もしくは「Start Menu Items」あたりも。
これらは最近のMacならあるフォルダだから、決めうちコピーしやすいし。
---
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
◎ 洗濯モノたまってない? ◎
http://tenki.infoseek.co.jp/amedas_b_zen.html?svx=971122