2006年 1月 18日(水曜日) 00:01 | 
Posted by TTS| Articles - Malware |
RATはどのようにしてファイヤーウォールをすり抜けるのか
はじめにRATサーバに感染した際のクラッカーとの接続について解説しておこう。前述したように、RATサーバはファイヤーウォールをバイパスする機能が備わっているが、これは、RATサーバへ感染したマシンからクラッカーのクライアントへ接続を行う「リバース接続」と、通信をIEやMSNメッセンジャーなど、予めパーソナルファイヤーウォールで許可されているプログラムに注入(インジェクション)して行われる。
接続はリバース接続で行われる
クラッカーがRATをクライアントを立ち上げてポートを開けて待機していれば、感染したマシンが次々とリバースで接続を行ってくるわけだ。過去のRATのように、クラッカー側から感染マシンへ接続するといった手間はかからない。
■図1:RATサーバとの接続はリバース接続で行われるため、クラッカー側がポートを開けて待機する。
つまり、RATサーバを作成する際に設定するのはクラッカー自身のIPアドレスとポート番号である。もちろん、固定のIPアドレスを設定するのではなく、予め作成しておいたダイナミックDNSのアドレスが利用されるケースがほとんどだ。たとえば、hackerjapan.no-ip.comなどと設定しているわけだ。
パーソナルファイヤーウォールをすり抜ける
また、パーソナルファイヤーウォールを導入しているコンピュータでは、許可されていないプログラムがインターネットに接続しようとすれば、警告が表示され、検出されてしまう可能性がある。しかし、IEやMSNメッセンジャーなどの通信は予め許可されていることが多いため、警告も出ず、ブロックもされない。そこで、これらのプログラムになりすまして通信を行う。
■図2:通信はパーソナルファイヤーウォールによって許可されているIEやMSNに注入されるため許可されてしまう。
ルータやパーソナルファイヤーウォールによって、インバウンドの通信がブロックされていたとしても、IEなどのアウトバウンドの通信が許可された環境であれば、ユーザに気がつかれることなく(検出されることなく)遠隔操作される危険性があるわけだ。
パーソナルファイヤーウォールの検出を回避されてしまった場合、残る期待はアンチウイルスソフトによる検出、駆除である。
関連記事
人気記事
- BIOSパスワードロックで安全性は保てない?
- Windows ログオンパスワードバイパス
- LulzSecがチャイルドポルノサイトのユーザー7千人のログイン・パスワードを公開
- agroindustri.menlh.go.id 他 Hacked by Cyb3rSec Crew | Malaysian Crew
- Metasploit Tutorial 2
- AnonymousがDDoSツール#RefRefのソースコードを公開
- www.rgd.gov.lk Hacked by TEAM T!g3R
- 複数サイト改ざん Cyb3rSec Crew | Malaysian Crew
- Metasploit Tutorial 1
- DDoS攻撃に使われる LOIC