本書はインターネットの普及にともない加速度的に増加している不正アクセスによる被害とその対処法を解説する初の実践的ガイドです。不正アクセスを受ける前の事前対処方法から、システム検査ツールであるTCT(The Coroner's Toolkit)を使ったrootkitの検出方法など、実際に不正アクセスを受けたかどうかの確認やその処理・復旧の方法について実践的な例を使って詳細に解説しています。
不正アクセス調査ガイド
―rootkitの検出とTCTの使い方
渡辺 勝弘, 伊原 秀明 著
![[cover photo]](https://www.oreilly.co.jp/books/images/picture_large4-87311-079-3.jpeg)
- TOPICS
- Security , System/Network
- 発行年月日
- 2002年04月
- PRINT LENGTH
- 328
- ISBN
- 4-87311-079-3
- FORMAT
目次
本書によせて
はじめに
1章 侵入対応
1.1 不正アクセスによる被害
1.1.1 データの改ざんや持ち出し、破壊
1.1.2 OSやプログラムの改ざん、破壊
1.1.3 コンピュータリソースの無断使用
1.1.4 運用の妨害
1.1.5 トロイの木馬とバックドア
1.2 インシデントの対応手順
1.3 不正アクセスに対する組織的な対処
1.4 不正アクセスを受けたコンピュータ
2章 rootkit
2.1 rootkitとは
2.1.1 rootkitの機能
2.2 t0rnkit
2.2.1 t0rnkitの機能
2.2.2 t0rnkitがインストールされるまで
2.2.3 まとめ
2.3 新たなるrootkit
2.3.1 lkm-rootkit
2.3.2 knark
2.3.3 まとめ
2.4 NT rootkit
2.4.1 NT rootkitの機能
2.4.2 まとめ
2.5 この章のまとめ
3章 侵入調査 ―― Linux編
3.1 準備
3.2 侵入調査
3.2.1 コンピュータにログインする
3.2.2 ログイン、ネットワーク状況の確認
3.2.3 プロセスの確認
3.2.4 インターフェイス情報の確認
3.2.5 lkm-rootkitの確認
3.2.6 システムコールテーブルの修復
3.3 次の方針を考える
3.4 詳細な調査
3.4.1 コンピュータのバックアップ
3.4.2 これまでの調査結果を再度調査する
3.4.3 ログファイルの調査
3.4.4 lkmの確認とchkrootkitを使用した調査
3.4.5 システムファイルの整合性チェック
3.4.6 各設定ファイル/起動スクリプトの確認
3.4.7 ファイルシステム内を捜索する
3.5 今後の方針
4章 侵入調査 ―― Windows編
4.1 Windows 2000/XPでバックドアを検出する
4.1.1 事前に用意するもの
4.1.2 ツールの準備ができたら
4.2 ハニーポットを題材にした診断と復旧例
4.2.1 ハニーポットの設定
4.2.2 ハニーポットの復旧
4.2.3 ハニーポットのその後
4.2.4 ハニーポットを再度復旧する
4.3 WinmsdとIRCRを利用しシステムの情報を保存する
4.4 Active Portsを使いTCP/IPの利用状況を確認する
4.5 SIGVERIF.EXEを使いファイルの署名を確認する
4.6 システムに登録されているサービス/ドライバのリストとその状態を確認する
4.7 レジストリを比較し追加/変更/削除されたキーと値を探し出す
4.8 ファイル情報を比較する
4.9 削除されたファイルを復元する
4.9.1 NT rootkitへの効果
4.10 まとめ(診断作業の手順)
5章 ネットワーク監視
5.1 ネットワークモニタリング
5.1.1 ネットワークモニタリングとは
5.1.2 注意すべきこと
5.2 iplog
5.2.1 iplogによるネットワークモニタリング
5.2.2 ネットワークモニタリングの基本
5.2.3 フィルタルールの記述方法について
5.2.4 不審な通信を発見した場合
5.2.5 まとめ
5.3 snort
5.3.1 snortとは
5.3.2 snortによるネットワークモニタリング
5.3.3 標準ルールセットの利用
5.3.4 ルール記述方法
5.3.5 ルールの例
5.3.6 不審な通信を発見した場合
5.3.7 まとめ
5.4 その他のツール
5.5 この章のまとめ
6章 TCT(The Coroner's Toolkit)
6.1 TCTとは
6.2 TCTの機能
6.3 オフラインチェックの重要性と限界
6.4 UNIXファイルシステムの知識
6.5 TCTのインストールと実行
6.6 grave-robberの実行
6.6.1 grave-robberのメッセージ
6.6.2 coroner.logとerror.logファイル
6.6.3 MD5_allとMD5_all.md5ファイル
6.6.4 bodyとbody.Sファイル
6.6.5 command_outサブディレクトリ
6.6.6 conf_vaultサブディレクトリ
6.6.7 icatサブディレクトリ
6.6.8 procサブディレクトリ
6.6.9 removed_but_runningサブディレクトリ
6.6.10 trustサブディレクトリ
6.6.11 user_vaultサブディレクトリ
6.6.12 grave-robberのオプション
6.6.13 mactime
6.7 ファイルシステムに遺されたデータ
6.7.1 遺跡の発掘
6.7.2 発掘によって得られるもの
6.7.3 unrmとlazarus
6.8 TCTUTILsとautopsyによるファイルシステムの探索
6.8.1 TCTUTILs
6.8.2 autopsy
6.9 recoverによるデータの復元
6.10 この章のまとめ
6.11 TCT付属ドキュメント(邦訳)
7章 システムの整合性チェックツール ―― Tripwire
7.1 整合性チェックを実行する
7.2 Tripwireを復旧支援に役立てる
7.3 再インストール時にTripwireを利用する
7.4 バックアップからデータベースをリストアした場合の注意事項
7.5 Tripwireのコマンドが改ざんされていたら?
7.6 lkm-rootkitへの対応とオフラインチェック
7.7 この章のまとめ
8章 不正アクセスに備えて
8.1 事前対策
8.1.1 攻撃/侵入行為を防ぐ
8.1.2 ログの改ざんを防ぐ
8.1.3 コマンドの改ざんを防ぐ
8.1.4 バックドアの設置を防ぐ
8.1.5 カーネルレベルでの改ざんを防ぐ
8.1.6 ネットワークの盗聴を防ぐ
8.1.7 踏み台による他コンピュータへの攻撃を防ぐ
8.1.8 その他の事前対策
付録A 各種検査ツールのインストール
A.1 chkrootkit
A.2 iplog
A.3 snort
A.4 kstat
A.5 alamo
A.6 Tripwire for Linux
付録B netcat(nc)を使ったファイル転送
B.1 netcatとは
B.2 使い方
B.3 まとめ
付録C リソース
索引