Articles - Malware |
Rootkiの設定と実行により隠蔽工作を行う
RATサーバを通じて全ての設定を終えたクラッカーは、状況によってRookitによる隠蔽を行うこともある。ここでは、実際にRootkitを用いて隠蔽を行う例を示す。使用したRookitは、図21のようにGUIで隠蔽したい項目を設定した後に、実行するRootkitを生成するもので、ここでは、RAT自身の隠蔽を行うため、プログラム本体(hj.exe)、レジストリ(hj)、通信状態(ポート2000の通信)、そしてクラッカーの専用ディレクトリ(hj-hack)の4つを隠蔽している。
■図16:Rootkitジェネレータを起動して、隠蔽したい項目を設定する。
■図17:RATを介して、c:\windows\system32などへクラッカーの専用ディレクトリ(hj-hack)を作成する。
■図18:作成したディレクトリへrootkitをアップロードする。
■図19:リモートシェルを起動して、Rootkitを実行する。