Tag: rootkit

Sleuth Kit ja rootkitin jäänteiden etsiminen

Viikkoharjoitus 2, Linux palvelimena -kurssi: http://terokarvinen.com/2012/aikataulu-linux-palvelimena-ict4tn003-7-ict4tn003-kevaalla-2013

Tässä raportissa käsitellään rootkitin jäännösten etsimistä. Työkaluna on Sleuth Kit.

Levykuva on sivulta: http://old.honeynet.org/scans/scan15/.

Testikoneena toimii sama kone kuin aikaisemmassa raportissa, eli vanha HP:n t650.fi.

En varmuuskopioinut järjestelmää, koska ei ollut yhtään turvattavia tiedostoja. Koko kovalevy oli formatoitu viikko sitten.

Latasin ensiksi Sleuth Kitin:

$ sudo apt-get sleuthkit

Jonka jälkeen latasin Scan Of The Month -sivuilta edellä mainitun levykuvan (honeynet.tar.gz). Navigoin Downloads -kansioon, jossa purin tiedoston:

$ tar -xvf honeynet.tar.gz

Tar.gz -tiedoston voi myös purkaa ihan graafisessa käyttöliittymässä.

Tässä vaiheessa tarkistin tiedostojen honeynet.tar.gz ja honeypot.hda8.dd MD5 -tiivisteet. Vertasin niitä sivuilla annettuihin tiivisteihin. Tiivisteet olivat 100 % identtisiä. Tässä vielä itse tiivisteet:

honeynet.tar.gz: 0dff8fb9fe022ea80d8f1a4e4ae33e21

honeypot.hda8.dd: 5a8ebf5725b15e563c825be85f2f852e

Kopioin honeypot.hda8.dd -levykuvan kotihakemistossa olevaan t/ -hakemistoon.

Seuraavaksi ajoin komennot:

$ tsk_recover honeypot.hda8.dd unallocated

$ tsk_recover -a honeypot.hda8.dd allocated

En vielä tee mitään kansioitten sisällöllä. Tein kansion output/ mihin tallennan sleuth kitin tuottamat tulokset.

Tutkiminen

Tein ils -komennolla listan metadata rakenteista. -m asetus tekee tulosteesta mactime -yhteensopivan. Tallensin tulokset output/ -hakemistoon:

$ ils -m honeypot.hda8.dd > output/hda8.ils

Tämän jälkeen ajoin tsk_gettimes -komennon (sama kuin fls -m):

$ tsk_gettimes honeypot.hda8.dd > output/gettimes_result.txt

Tätä tiedostoa käytin mactime -komennon kanssa luodakseni listan tapahtumista järjestelmässä:

$ mactime -b output/gettimes_result.txt 2001-03-15 > output/times2001-03-15.txt

$ mactime -b output/gettimes_result.txt 2001-03-14 > output/times2001-03-14.txt

$ mactime -b output/gettimes_result.txt 2001-03-13 > output/times2001-03-13.txt

Mactime -komennolle pitää määritellä vuoden päivä, miltä se poimii tiedot. Otin varmuuden 14. ja 15. päivien lisäksi listan 13. päivän tapahtumista. Less -työkalulla tuloksia tutkiessani huomasin, että kaikki sisälsivät samat tiedot, elikkä päivien 15. – 16. tapahtumat.

Seuraavaksi ajoin mactime -komennon hda8.ils -tiedostolle.

$ mactime -b output/hda8.ils 2001-03-15 > output/ils_times2001-03-15.txt

Ils ja fls tulosten tutkiminen

Avasin less -työkalulla times2001-03-15.txt -tekstitiedoston. Painoin end -näppäintä päästäkseni tiedoston loppuun asti. Huomasin useita mainintoja X11 -ohjelmiston tiedostoista ja lukuisia deletoituja tiedostoja. Päättelin siitä, kun samaiset tiedostot löytyivät unallocated/ hakemistosta, että nämä ovat ne deletoidut tiedostot. Tiedostojen seassa on etsimäni rootkit.

gettimes deleted files

Varsinkin yksi rivi pisti silmään:

gettimes epailyttava tiedosto

Kyseinen .tgz -tiedosto löytyy unallocated/ -hakemistosta.

Tiedostojen deletointi alkaa 13:17:36 ja loppuu seuraavana päivänä 18:28:30, jolloin viimeinen tiedosto deletoidaan (etc/rc.d/rc3.d/K83ypbind (deleted-realloc)). Tein deleted -kohtien etsimisestä helpompaa komennolla:

$ less output/times2001-03-15.txt | grep deleted

Luin less -työkalua käyttäen myös ils_times2001-03-15.txt -tekstitiedoston. Sain täten tietää inode arvot, eli metadata osoitteet (lukevat kyllä myös times2001-03-15.txt -tiedostossa).

ils times inodes

Purin lk.tgz -tiedoston tarkistaakseni sisällön. Sisältä löysin:

lk last sisalto

Cleaner on bash skripti, sauber tarkoittaa puhdistajaa, olettaisin sen puhdistavan lokitiedostoja. Install asentaa rootkitin.

 

Tehtävän tekemisessä auttoi huomattavasti:

Sleuthkit työkalujen dokumentointi: http://wiki.sleuthkit.org/index.php?title=TSK_Tool_Overview

Advertisements