Honeynet scan 15

Tarkoituksena oli tutkia Honeynet -palvelun tapausta. 

En ollut aikaisemmin tutkinut mitään vastaavaa, joten tässä raportissa jäi varmaan paljon tekemättä ja huomioimatta. Toivottavasti kurssin tunnilla tulee lisää selkeyttä asiaan.

Tehtäväanto oli seuraavanlainen:

"The Challenge:
 On 15 March. 2001, a Linux honeypot was successfully compromised, a rootkit was download to the / partition and then deleted from the system. Your mission is to find and recover the deleted rootkit.

    1.    Show step by step how you identify and recover the deleted rootkit from the / partition.
    2.    What files make up the deleted rootkit?"

Aloitus

Aloitin tehtävän teon lataamalla Virtualbox:n koneelleni, jotta testi ympäristö olisi mahdollisimman rajattu.

sudo apt-get update # pakettivarastojen päivityssudo apt-get install virtualbox # ja painoin "y" ja enter, jotta asennus käynnistyisi.

Virtualbox:n asentamisen jälkeen asensin siihen xubuntun. Xubuntun levykuvaa asennettaessa valitsin kooksi muistin kooksi 1Gb ja tiedostojärjestelmän kooksi 8 Gb. Xubuntun asentamisen jälkeen latasin Honeynet Scan 15 -virtuaalikoneelle ja asensin myös sleuthkit –nimisen ohjelman tehtävän tekemiseen.

sudo apt-get install sleuthkit

Tämän jälkeen sammutin virtuaalikoneen, jotta pääsin muokkaamaan asetuksia.

Virtuaalikoneen asetuksista muokkasin verkkokortin pois käytöstä, jottei mitään ikävää pääsisi käymään. Settings -valikosta painoin Network -välilehden auki ja poistin valinnan kohdasta Enable Network Adapter (Adapter 1). Tämän jälkeen käynnistin virtuaali-Xubuntun ja aloitin varsinaisen tehtävän tekemisen.

Honeynet Scan 15 -kansion tutkiminen

Aloitin tarkastelun purkamalla ladatun tiedoston ja sleuthkit:ä käyttäen palautin poistetut tiedostot.

$ cd Downloads/
/Downloads$ lshoneynet.tar.gz
/Downloads$ tar -xzvf honeynet.tar.gz
/Downloads$ cd honeynet
/Downloads/honeynet$ tsk_recover honeypot.hda8.dd unallocated
Files Recovered: 37
/Downloads/honeynet$ tsk_recover -a honeypot.hda8.dd allocated
Files Recovered: 1614

Kaksi uutta kansiota siis tuli: allocated ja unallocated

/honeynet$ ls
allocated honeypot.hda8.dd README unallocated 
/honeynet$ ls allocated/
bin dev etc lib root sbin tmp
/honeynet$ ls unallocated/
etc lk.tgz $OrphanFiles

Purin unallocated-kansiossa olevan pakatun kansion lk.tgz, josta löytyi ohjelmia, jonka avulla hyökkääjä on esimerkiksi asentunut ja siivonnut jälkiään. Myös kansion sisältämien tiedostojen päivämäärät oli hyvin erilaisia. Päivämäärät vaihtelivat syyskuun 9. päivästä 1999 helmikuun 26. päivään 2001.

Esimerkiksi tiedoston logclear sisältö näytti seuraavanlaiselta:

/unallocated/last$ cat logclear
killall -9 linsniffer
rm -rf tcp.log
touch tcp.log
./linsniffer >tcp.log

Samasta kansiosta (last) löytyi myös cleaner-tiedosto, joka oli paljon pitempi, mutta sisälsi samoja komentoja. Eli poisteltiin kansioita ja nimettiin omia tiedostoja tilalle. Olisin muuten kopioinut tiedoston sisällön, mutta virtuaalikoneen ja emokoneen välinen kopiointi-liittämisessä on omat tietoturva riskinsä.

Kansiossa oleva install-tiedosto, kertoo myös miten se on asentunut. Tiedosto alkaa näin:

Rivi, missä kerrotaan minä ohjelmana seuraavat komennot annetaan.
clear
unset HISTFILE #eli ihan ensiksi historia poistetaan.

Kansiossa unallocated oli myös kansio $OrphanFiles mihin en meinannut päästä käsiksi, kunnes löysin keinon. Komennolla cd “$OrphanFiles” tietokone muutti komennon muotoon cd “\$OrphanFiles”/ , joka mahdollisti kansion tutkimisen. Kansion sisältö vaikutti olevan vain ohjelmia ja skritptejä, joista en osannut lukea mitään huomiotaherättävää.

Eroavaisuuksia

Tiedostojen päivämäärät saattoivat kertoa siitä, että rootkit oli ollut läsnä ja ainaki se, että oli tiedostoja joiden tarkoituksena oli poistaa lokitiedostoja kertovat tietomurrosta.

Tämän lisäksi ainakin tiedostoissa /unallocated/$OrphanFiles/OrphanFiles – 16110 ja /unallocated/etc/pam.d/passwd- oli eroja. Tiedostoissa oli muuten samat tiedot, mutta /pam.d/passwd- -tiedostossa viimeisellä rivillä oli lisäys. Lisäys on tummennettuna:

password    required    /lib/security/pam.pwdb.so use_authtok nullok md5 shadow

En ole varma oliko tämä oikea huomio, mutta ainaki oli eroavaisuus.

Vastaukset

 

Tietoja tekijästä?

-Sauber – by socked [11.02.99]. Sähköpostiosoite myös selvisi install-tiedostosta.

Perustuen tiedoston /unallocated/last/cleaner sisältöön. Tietenkin tämä voi olla vääräkin johtopäätös, koska unallocated-kansiossa oli tiedostoja, joissa oli eri henkilöiden nimiä, mutta epäilen että nämä henkilöt olivat tehneet ne oikeat ohjelmat.

Miten rootkit toimii?

Rootkitti käsittääkseni yrittää piiloutua uhrin koneelle mahdollisimman hyvin ja sen jälkeen yrittää kalastella tietoja. Sen tarkoituksena on myös poistaa kaikki lokitiedot, joista sen olemassaolon voisi havaita, niinkuin tässäkin kävi nopeasti selville. Rootkitti mahdollistaa myös uhrin koneen käytön etänä ja tässä esimerkissä uhrin tietokone lähetti sähköpostiviestein tietoja murtautujalle. Install-tiedostossa oli rivit, jossa kerrotiin mihin osoitteeseen tiedot lähetettäisiin. Toinen oli linuxmail.org ja toinen yahoo.com -osoite.

Lähteet

Tero Karvinen – Linux palvelimena-kurssi
Honeynet Scan 15 – Honeynet Scan 15

-Jokela Antti-Ville

Tätä dokumenttia saa kopioida ja muokata GNU General Public License (versio 2 tai uudempi) mukaisesti. http://www.gnu.org/licenses/gpl.html

Bookmark the permalink.

Comments are closed.