[port139ml:02221] Re: Samhain に関するメモ

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

Port139 伊原です。

On Thu, 06 Feb 2003 11:07:12 +0900
Hiroaki TERASHIMA <terashima.hiroaki@xxxxxxxxxxxx> wrote:

>> rootkitの配下に入れる。。。
>rootkitといってもLKMのほうで、見えなくしちゃうということですよね。

完全性チェック ツールの動作的には自分が利用するデータベースや設定
ファイルは見えてくれないと困るので、rootkit 側が特定のプロセスか
らは特定のファイルへのアクセスを許可する、といった仕組みを持ってな
いと自分が利用するファイルも見えなくなってしまいますね(^^;;

＃単純に絶対パスで指定すればアクセスできる、という隠し方なら OK。

あとはプロセスの表示から消してあげれば見えませんね :-)

>簡単に見つかりにくくするなら、ディレクトリ名、バイナリ名、設定ファイル名
>をわかりにくい名前にするのがよいと思います。

tripwire という文字列を含むファイルを探索されると名前変えてあるだ
けだとつらいんですよね(^^;;
＃rootkit でかくしていても dd if=/dev/hda | grep tripwire とかで
＃発見できるんぢゃないっすか？コマンドライン適当なので正しくはど
＃う書くかわかりません(^^;; ひょとして strings の後に grep ？

オープンソース版なら全ての文字列を変更しておくということも可能だと
思いますが、商用だとコピーライトの文字列削れないですし...

>/usr/local/tripwire なんてディレクトリや /etc/samhainrc なんてファイルが
>あるといかにも入っているなと言う感じしますから。

それらが消される or 細工される、のを(別の tripwire から)見るのも
一興かと ;)

>ちなみに、某Tripwireの講習会で「Tripwireを隠蔽する方法を教えてください」
>と質問したら、「Tripwire Agentのポート番号を変更してください。」という
>お答えでした。

付属のセットアッププログラムを利用せずに手動でバイナリを配置でき
る人であればけっこう隠せますね。
インストーラ使うと例えば「アプリケーションの追加と削除」にでちゃ
うので(^^;;

＃Agent のレジストリも自分で名前変更すればいいですし...

-- 
Port139 セミナー 大阪会場(3月14日)参加者募集中！
http://www.port139.co.jp/seminar/seminar_030314.htm
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/