rootkit 무결성검사

rootkit 무결성검사

• aide 패키지

• 비슷한 패키지 tripwire

• 중요한 디렉터리의 무결성값(파일크기) 저장하고 일정시간후에 변경상태(파일의 변조)를 체크

• 루트킷 실행전 / 후의 무결성값을 검증

• 무결성값 : MD5 , SHA-1 같은 해시함수 중 한개로 지정 가능

• aide 설정파일 백업

  [root@localhost ~]# cp /etc/aide.conf /etc/aide.conf.bak
  

• 설정파일 수정

  vi /etc/aide.conf
    
  # These are the default rules.
  #
  #p:      permissions
  #i:      inode:
  #n:      number of links
  #u:      user
  #g:      group
  #s:      size
  #b:      block count
  #m:      mtime
  #a:      atime
  #c:      ctime
  #S:      check for growing size
  #acl:           Access Control Lists
  #selinux        SELinux security context
  #xattrs:        Extended file attributes
  #md5:    md5 checksum
  #sha1:   sha1 checksum
  #sha256:        sha256 checksum
  #sha512:        sha512 checksum
  #rmd160: rmd160 checksum
  #tiger:  tiger checksum
    
  #haval:  haval checksum (MHASH only)
  #gost:   gost checksum (MHASH only)
  

  /bin p+i+s+md5+sha256
  /sbin p+i+s+md5+sha256
  /usr/bin p+i+s+md5+sha256
  /usr/sbin p+i+s+md5+sha256
  

​

• 무결성값을 체크하여 보

  [root@localhost 바탕화면]# cd ~
  [root@localhost ~]# aide --init
  

  

• rootkit 을 이용하여 파일의 내용 변조

  [root@localhost ~]# cd /root/white_rootkit/
  [root@localhost white_rootkit]# vim Makefile
  

  

  [root@localhost white_rootkit]# make
  

  

  [root@localhost white_rootkit]# make
  

  

• 무결성 검사

  -- 사용이 가능하도록 약속된 파일명 으로 변경
    
  [root@localhost white_rootkit]# cp /etc/aide.db.new /etc/aide.db
  [root@localhost white_rootkit]# vi /etc/aide.db.new
    
  #p:      permissions
  #i:      inode:
  #s:      size
  #md5:    md5 checksum
  #sha256: sha256 checksum
  

  

  • 체크

    [root@localhost white_rootkit]# aide --check > /root/aide_check.txt
    

    

  • 파일 확인

    [root@localhost white_rootkit]# vim /root/aide_check.txt
    

    

malware 카테고리 내 다른 글 보러가기