了解你的敌人III
Know Your Enemy: III
They Gain Root
Honeynet Project http://project.honeynet.org http://www.xfocus.org Last Modified: 27 March, 2000 本文是对入侵者进行研究系列文章中的第三篇。第一篇讲述了入侵者们的探测行为、分类及利用漏洞的过程,第二篇聚焦于如何探测这些入侵企图、鉴别他们使用了哪些工具、他们所寻找的漏洞有哪些……这篇文章,则讲述了当他们获得root权限后,所做的事情,重点放在他们是如何隐藏踪迹以及之后如何做。可以从这里下载原始数据进行分析。 入侵者是谁 就象我们在第一篇文章里所说的,多数的入侵者并没有考虑太多的策略方面的问题,他们更重视的是轻易地入侵,而非针对某些特定的信息或者某个特定的公司。他们把注意力集中于最有效的几个漏洞利用程序上,然后在互联网上寻找相应的主机——迟早他们会找到适合入侵的机器的…… 当他们获得root权限这后,第一件事往往是抹去他们的踪迹,他们需要确保系统管理员没有发现系统被侵袭,并且不希望留下任何日志或者他们活动的记录。然后,他们会使用你的机器来扫描网络中的其它系统,或者静静地潜伏,以求获得更多的资料。为了更好地了解他们是如何侵害系统的,我们将沿着一个入侵者的入侵步骤来观察。我们的系统——mozart,上面运行的操作系统是RedHat 5.1。系统在1999年4月27日受到攻击,下面的一些入侵过程的记录,是从系统日志及击键记录中提取的,我们对系统日志及击键都做了验证,所有的系统日志都是在一个受保护的syslog服务器上的,所有的击键都是由一个被嗅探器——称为sniffit捕获的。如果你想了解更多关于这些记录获得的技巧的话,请参见另一篇文章——建立网络陷阱。在本文中,我们称这个入侵者为“他”——因为我们无法得知其真正的性别。 漏洞利用 在4月27日的00:13,有一个家伙在域名为1Cust174.tnt2.long-branch.nj.da.uu.net的地方对我们进行扫描,针对了包括imap漏洞在内的几个特定的漏洞,这些入侵者是比较讨厌的,因为他们一下扫描了整个网段,(想了解更多关于这次探测的信息,可以参见系列文章中的第二篇 )。
很显然地,他找到了一些他所乐见的东西,并且在06:52和16:47又回来了。他开始了一次针对mozart机器的彻底扫描,并且确定了这台机器存在着mountd的安全漏洞,这个漏洞是Red Hat 5.1中存在的一个会危及root安全的漏洞,我们可以从/var/log/messages中看到,这个入侵者应该已经获得了超级用户权限,他所使用的工具看上去象是ADMmountd.c或者一些极其类似的程序。
在运行了这个漏洞利用程序之后,我们可以从/var/log/messages中看到,这个入侵者马上用crak0的帐号登陆,而后su成用户rewt——这两个用户都是由该漏洞利用程序添加的,现在这位入侵者对我们的系统终于拥有了最高权限了。
抹去踪迹 现在这个入侵者是我们系统的root了,下一步,他要确定他不会被逮到,所以他首先察看了一下是否有其它用户登陆在系统中。
当他确定自己是安全时,他就开始准备将自己藏匿于无形了。最常见的做法是将日志文件中所有的入侵证据先擦除,并且将某些系统中的二进制程序替代为木马——比如ps和netstat,这样一般情况下系统管理员就无法发现入侵者的踪迹了。当一切就绪时,这个入侵者就可以在你几乎无法发现他的情况下,大摇大摆地对你的系统进行完全的控制了。他们用来隐藏自已踪迹的工具,一般情况下我们称之为rootkits,一个常见的rootkits就是lrk4,通过执行它,有许多有用的程序将在一瞬间被替换以便使入侵者消失于无形。如果你想了解更多的关于rootkits的消息,可以看看lrk4的说明文件。这可能会帮助你更多地了解rootkits,我还推荐你看看hide-and-seek这篇由网络黑客写的文档,应该对隐藏踪迹更有些主意。 在系统被入侵后的短短几分钟后,我们可以观察到这个入侵者下载了一个rootkit,并且运行命令"make install"完成了对它的安装,下面就是入侵者在隐藏自身时的一些击键记录。
|
