Symantec |
シマンテックセキュリティブログの記事「偽装した通信プロトコルを使う Linux バックドア」が興味深いバックドアを紹介している。セキュリティ的に保護された環境下で検出されることを避けながら、巧みにユーザ名やパスワードなどの情報を収集した例が紹介されている。一見すると安全そうに見える状況においても、すでにバックドアが仕込まれているなど危険性があることを示す例として参考になる。
記事ではsshdプロセスそのものにバックドアのコードを仕込んだ例が紹介されている。このsshdは一見通常の動作を見せるが、流れているデータに「:!;.」という文字列を発見すると、それに続く文字列をコマンドと見なし特別な処理を実施するという。「:!;.」に続く文字列はコマンドをBlowfishで暗号化してからBase64でエンコードしたものになっており、これを復号化してコマンドを抽出。サーバ側で任意のコマンドを実行したり、そのsshdプロセスに接続しているほかのホストのIPアドレスやユーザ名、パスワード、暗号鍵などの抜き取りを実施していたという。
紹介されている事例で興味深いのは、攻撃者が状況をよく理解しており、検出されないように巧みに振る舞っている点にある。セキュリティ対策には終わりがないが、ある一定の対策を実施したあとはメンテナンスされないことも多い。ここにあるように攻撃者は常にさまざまな手法やアイディアを駆使して情報の取得を試みており、企業や組織側も常に対策を実施する必要性があることがわかる。