【220110】ホワイトハッカー入門　アクセス権の維持と痕跡の消去 痕跡の消去１

【220110】ホワイトハッカー入門　アクセス権の維持と痕跡の消去

　痕跡の消去１
事後処理段階の活動において重要な作業が、痕跡の消去。

攻撃者にとって最も避けたいリスクは「自分が捕まること」、証拠隠滅と攻撃があった事実を気づかせない。

（１）   痕跡を消去する理由とログの種別
痕跡の消去を行う優先順位は、攻撃の事実を気づかせない、「完全犯罪」を目指す。攻撃対象の「ログ」をどのように記憶されているかを確認する、結果から痕跡を完全に消去できないと判断する場合もありその時は、カモフラージュする必要がある。まずは、どのようなログが記憶されているか把握する。

ログは、テキスト形式（テキストエディターで確認など）とバイナリ形式（専用のビューアーで確認など）で書かれているものがある。
記憶する主体による違いですが、ＯＳによって記憶されるログとアプリケーションによって記憶されるログによる。現状の把握から、ログをどのように消去するかを考える。

代表的なログ

ログ　　　　　　　　形式　　　　　　　　　記憶主体

Syslog　　　　　　テキスト　　　　　　　　　　ＯＳ、アプリケーション

Windows 　　　　　バイナリ　　　　　　　　　　ＯＳ

Lastlog 　　　　　　　バイナリ　　　　　　　　　　ＯＳ

Webアクセスログ　　テキスト　　　　　　　　　　アプロケーション

（２）   Syslog　とログ設定

ｓyslog、UNIX系のOSにおいて標準で使われているログの形式。Rsyslog（reliable-syslog）
Syslogの設定ファイルを確認することで痕跡の消去が必要なログの判別および完全犯罪が可能かどうか判断する。

Linuxの場合、RSyslog　「/etc/rsyslog.conf」に格納
参考：ログ消去
https://eidoblog.com/log-del/

（３）   痕跡の消去テクニック

痕跡を消去する目的は、攻撃の事実を管理者に知られないことです。ログファイルを対象とした以下の方法を考える。

①    ファイル消去
②    レコード消去
③    レコード改ざん

安易な方法では、違和感が残り、違和感から攻撃の事実を推測されてしまう可能性がある。ファイルの消去は方法として簡単だが、管理者にとってあるべきファイルが無いのは違和感がある。

レコードの消去は、テキストログが対象の場合、使われる。対象のOSがLinuxだった場合、sedコマンドなどで指定した語句を含んだ、

参考：sedコマンド

https://qiita.com/takech9203/items/b96eff5773ce9d9cc9b3

sed -i -e “/IPアドレス/d” ファイル名　

攻撃者のIPアドレスなどの見せたくない情報を適切に消すなど、IPアドレスが含まれたログだけ消去など残ったログに違和感がある、バイナリログだと、特定のログを消すとエラーになってしまうこともある。

最後の方法は、レコードの改ざん。IPを改ざん、ログレコード自体を書き換える。この方法はテキストログでもバイナリログでも使える。

＊参考＊
攻撃の痕跡はログファイル以外にも残っている。Webブラウザのアクセス履歴、入力値のキャッシュ。Linuxの場合、コマンドヒストリーが記憶される。フォレンジックを行う場合、ログファイル以外の痕跡の消去を攻撃者は見落とす可能性があるので着目する。

まとめ

①    攻撃者にとって最高の結果は完全犯罪
②    完全犯罪を目指す場合、手間をかけた作業が必要になる
③    ＯＳやログファイルが記憶される仕組みを知る必要があり、攻撃の内容に応じた方法で痕跡の消去を行う。