2006年 1月 18日(水曜日) 00:04 | 
Posted by TTS| Articles - Malware |
2006年1月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。
RATを介して様々な操作が可能になる
トラップにより、RATサーバがインストールされたコンピュータはクラッカー側からRATクライアントでのリモート操作が行われ、情報の漏洩はもちろん、踏み台などの様々な用途に悪用される危険性も出てくる。
Bifrostで操作できる主な機能な下記のようなものだ。
システム情報閲覧
ファイル・フォルダの閲覧・検索・削除・アップ・ダウンロードなど
プロセスの閲覧・停止
リモートシェル(コマンド操作)
プロテクトストレージパスワードの閲覧・削除
スクリーンキャプチャ
キーロガー(オンライン、オフライン)
RATサーバに感染させることに成功すれば、ほとんどの操作が可能になる。前述したように、クラッカーはRATサーバを通じて、更にいくつかのツールをインストールしてくる可能性もある。スクリーンキャプチャを用いることで、現在のユーザの操作状況などを把握できるため、ユーザに気がつかれぬよう、必要なツールを仕掛けることも通常よりは容易い。
■図12:RATクライアントからは、システム情報を閲覧して導入されているアンチウイルスソフトなども確認できる。スクリーンキャプチャで状態も把握可能。
また、ファイヤーウォールの設定変更などだけでなく、アンチウイルスソフトをKILLして、削除し、タスクバーに表示されるアンチウイルスソフトのアイコンを偽装するといった改ざんを行うこともある。
全ての準備ができたら、ツール類の動作を確認し、RATサーバを含めた隠蔽を行っていく。今回利用しているRATサーバ(Bifrost)は、プログラム本体、レジストリ、通信状態などから検出される可能性がある。またタスクマネージャでIEが起動していないのにIEのプロセスが確認できる点も不審ではあるが、気がつくユーザがどの程度いるだろうか。
■図13:ファイルの改ざんやプロセスのKILLも可能。
■図14:プロテクトストレージの情報も閲覧できるため、保存されているパスワードは筒抜けになる。
■図15:タスクバーにアンチウイルスのアイコンを表示するだけのツールも存在する。図ではカスペルスキー、古いタイプのノートンやゾーナラームなどのパーソナルファイヤーウォールのアイコンが表示されているのがわかるだろう。ノートンインターネットセキュリティ2006のアイコンは本物だ。
関連記事
エンタープライズ
rootkitによるハッキングとその防御
- 第1回 rootkitの概要と検知 [2003.1.15 UP]
- 第2回 ログファイルの改ざん [2003.2.12 UP]
- 第3回 rootkit検出ツールによる検査 [2003.3.11 UP]
- 第4回 rootkitを利用した侵入 [2003.3.28 UP]
- 第5回 kernel rootkitの概要 [2003.6.10 UP]
Tripwireの導入
- 第1回:Tripwireを導入する [2002.9.11 UP]
- 第2回:ポリシーファイルの作成と編集 [2002.9.30 UP]
- 第3回:レポートの参照とデータベースのアップデート [2002.10.8 UP]
- 第4回 レポートの送信とCronを利用した定期的な整合性のチェック [2002.11.22 UP]
- 第5回 Tripwireを運用するときの注意点 [2002.12.6 UP]
IDSの導入による不正侵入の検知とネットワーク管理
- 第1回:Snortを導入する その1 (2002年6月4日更新)
- 第2回:Snortを導入する その2 (2002年6月18日更新)
- 第3回:Snortのルールセットを極める (2002年7月2日更新)
- 第4回:Snortのルール構造とその作成方法 (2002年7月17日更新)
- 第5回:Snortへの攻撃とその対策 (2002年8月5日更新)
- 第6回:IDSからの検知回避は可能か (2002年8月27日更新)
ウイルスからLinuxサーバを守る
- 第1回:「アンチウイルスソフトの導入」 (2002年2月20日更新)
- 第2回:「メールサーバでのウイルススキャン -qmail編-」 (2002年3月1日更新)
- 第3回:「メールサーバでのウイルススキャン -Postfix編-」 (2002年3月15日更新)
- 第4回:「fetchmailによるメール受信時のウイルススキャン」 (2002年4月3日更新)
- 第5回:プライバシーフィルタの導入 (2002年4月18日更新)
- 第6回:メールサーバの不正利用対策その1 (2002年4月24日更新)
- 第7回:メールサーバの不正利用対策その2 (2002年5月17日更新)
- 第8回:メールサーバの不正利用対策その3 (2002年5月17日更新)
セキュリティ:プライバシー
- 第1回:「プライバシーの保護は必要か?-Webバグ-」 (2001年12月20日更新)
- 第2回:「ソフトウェアに紛れ込むスパイ」 (2001年12月26日更新)
- 第3回:「自分のマシンに入り込むスパイ 」 (2001年1月16日更新
- 第4回:「Webサイトのトラップと戦うために」 (2001年2月1日更新)
- 第1回:常時接続環境でのセキュリティ確保 (2001年08月22日更新)
- 第2回:ポートスキャンと共有サービスへのアタック (2001年09月5日更新)
- 第3回:パケットフィルタリングとソフトウェアファイアウォール (2001年09月18日更新)
- 第4回:トロイの木馬から身を守る (2001年10月3日更新)
- 第5回:クッキーでホームページ訪問者は管理されている (2001年10月17日更新)
- 第6回:ネットワークの盗聴は可能か (2001年11月06日更新)
- 第7回:パスワードクラッキングの現実性 (2001年11月16日更新)
- 第8回:DoS攻撃について考える (2001年11月29日更新)
- 第9回:Macintoshセキュリティ-クラシック環境でのバックドアツール (2002年8月27日更新)
- 第1回:「メールの安全性を考える(その1)」 (2001年6月27日更新)
- 第2回:「メールの安全性を考える(その2)~スパムメール対策」 (2001年7月10日更新)
- 第3回:「メール爆弾から身を守る」 (2001年7年24日更新)
- 第4回:「PGPでメールを暗号化する」 (2001年8月7日更新)