より詳細な内容については、参考リンク先【1】が分かりやすいです。

◆ファイル、ディレクトリの変更検出のシナリオ

Deep Securityの機能の一つである変更検出を模倣してみます。今回は簡単のため、

特定のディレクトリのタイムスタンプが変更されるタイミング、つまり、ディレクトリ

内でファイルが作成／削除されたタイミングを検出することを目指します。具体的な

シナリオとしては、監視側で変更検出用のスクリプトを実行中に、不正アクセスしてきた

攻撃者が特定のディレクトリ内でファイルを新規作成したことを想定します。

※ ディレクトリ内にあるファイルそのものの編集は検出しない

◆変更検出用スクリプトの紹介

今回用いるスクリプトは、参考リンク先【２】のものをほぼそのまま使用させて

いただきました。スクリプトを任意のディレクトリに任意のファイル名（例として

「detect.sh」）で保存し、実行可能なパーミッションに変更します。その後、引数に

検出対象のディレクトリを指定して実行することで監視が始まります。

コマンド例：$ ./detect.sh <検出対象のディレクトリ名>

--- detect.sh ---

#!/bin/sh
if [ $# -ne 1 ]; then
  echo "実行するには1個の引数が必要です。"
  exit 1
fi
echo "監視対象ディレクトリ $1"
echo ""
INTERVAL=1 #監視間隔, 秒で指定
last=`ls -da --full-time $1 | awk '{print $6"-"$7}'`
while true; do
  sleep $INTERVAL
  current=`ls -da --full-time $1 | awk '{print $6"-"$7}'`
  if [ $last != $current ] ; then
    echo "updated: $current"
    last=$current
  fi
done
-------------------

このスクリプトのポイントは、次の箇所です。

-------------------

ls -da --full-time $1 | awk '{print $6"-"$7}'

-------------------

スクリプト実行時の引数に、例としてディレクトリ「/etc/cron.d」を与えると、$1には

「/etc/cron.d」が与えられます。「ls -da --full-time /etc/cron.d」の実行結果を示します。

この結果をawkに渡し、日付と時刻を「-」で結んで表示しています。

上図より、ディレクトリのタイムスタンプが取得できていることが分かります。

スクリプトでは、1秒ごとにタイムスタンプを取得し、1秒前のものと比較することで

変更検出を行っています。

◆変更検出のデモンストレーション

実際に、作成したスクリプトの振る舞いを観察してみます。

まずは監視側（左のプロンプト）にて、スクリプトを実行しておきます。

次に、不正アクセスを想定したユーザ側（右のプロンプト）で検出対象の

ディレクトリに移動し、任意のファイルを作成します。

ファイルが新規作成されると、ディレクトリのタイムスタンプが変更されます。

監視側にて変更日時が表示され、正しく検出できていることが分かります。

図では示していませんが、ファイルを削除した場合も同様に検出されます。

監視が不要になれば、ctr+cなどでスクリプトを停止します。単純ではありますが、

僅か十数行のスクリプトで、変更検出機能を実装することができました。

◆感想など

ディレクトリのタイムスタンプの変更検出といった限定的なものでしたが、少しの

拡張で、ファイルの変更検出／ログファイルへの出力／特定のメールアドレスへの

メール通知など、実際の製品に近い挙動を実現することができそうです。今後とも、

案件で扱うミドルウェアの動作背景／原理に対して興味を持つようにしていきたいです。

◆参考

【１】https://www.asgent.co.jp/products/host-based/deep-security.html

【２】https://mizti.hatenablog.com/entry/2013/01/27/204343

以上です。