【220107】ホワイトハッカー入門　アクセス権の維持と痕跡の消去 アクセス権の維持の必要性とバックドア2

【220107】ホワイトハッカー入門　アクセス権の維持と痕跡の消去
アクセス権の維持の必要性とバックドア2

（１） バックドアの作成

アクセス権の維持のためのバックドアを作成する場合、必要な要件は以下の通り、

① 外部から接続ができる
② 接続すると任意のコマンドを実行する
③ いつでも接続できる
④ 管理者権限で実行される
⑤ 本来のシステム管理者にみつかりにくい
参考：動画

バックドア　ハッカー - Bing video

これらの要件を満たすには「①②の機能を持ったプリケーションを管理者権限で、（④）バックグランドで（⑤）サービスとして実行しておく（③）」ということになります。

バックドアを仕掛ける方法は、大きく分けて二つあります。

１． バックドア機能①②を持ったアプリケーションをインストールする方法。

２． 攻撃した端末の機能を利用してバックドアにしてしまう方法。

端末の機能を利用したバックドアの例

　1⃣アカウントの追加：認証系のサービスがすでに動いている場合、自分のアカウントを作る
2⃣ネットワーク系サービス：リモートデスクやnetcat　xinetd　を使う
3⃣サービスの追加：必要なサービスを起動もしくはインストールする

参考：Netcat

netcat windows - Bing video

netcat windows - Bing video

Netcat - Wikipedia

（２） バックドアの隠ぺいと発見

① バックドアアプリケーションのファイル
② 起動しているサービスもしくはプロセス
③ 待ち受けしているポート

参考：ルートキット

ルートキット - Bing video

ルートキット - Wikipedia

ルートキットは、ハッキングの事後公的に必要な機能を詰め合わせたアプリケーション。種類によって多少違いがあるが、「バックドア」「痕跡の消去」「情報収集」「隠ぺい工作」などの機能を持っている。高度なのは、OSのカーネルモジュールとして機能を追加し、システムコールに影響を与えることで、プロセスやオープンポートまで隠ぺいするのもある。

外部からの接続に使う「バックドアの発見」は、「外部からのポートスキャン」「ネットワークトラフィックの監視」が有効である。

まとめ

① アクセス権の維持のためにバックドアが使用される
② バックドアの手法はさまざまだがネットワークサービスを利用する
③ 高度な隠ぺい工作を行ってもネットワークの挙動は隠せない