RSS Feed  Twitter  
|
Articles - Malware

2006年1月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。

RATサーバを感染させるトラップの例

アンチウイルスソフトで検出されないRATサーバを作成したクラッカーは、次にそれをターゲットに感染させるための仕掛けを考える。これは、冒頭で記したように、セキュリティホールを利用して自動的にインストールさせてしまうか、偽装ファイルを作成して実行を誘発するといったものであるが、ターゲットが無差別であれば、それほど難しいことでは無いだろう。

ここでは、脆弱性を利用したものとして、WindowsのWMFの脆弱性を使った手口を、そして、偽装ファイルを利用したものとして、Binderで正常なプログラムと結合したものを使った手口を紹介する。いずれも実際に使われいた(ている)ものだ。

ターゲットがRATサーバへ感染した後にクラッカーの取る行動は?

では、RATサーバをターゲットに仕掛けることに成功したクラッカーのその後の行動について、ここでは、仮の例として、以下のようなシナリオで解説していく。通常、感染対象が無差別であれば、こうした手の込んだ段階は踏まないが。

・脆弱性もしくは偽装ファイルなどの仕掛けを作成して誘導する。

・RATクライアントを起動し、感染したRATサーバからの接続を確認する。

・自分専用のディレクトリ(ファイル置き場)の作成や、ファイヤーウォールの設定変更、アンチウイルスソフトのKILLやアンインストールなどの作業を行う。

・追加したいバックドアやツールなどをアップロード、インストールする。

・全ての作業やツールのインストール、起動が完了したら、予め設定しておいたルートキットをアップロードし、それらの隠蔽を行う。

・あとは、目的に併せてターゲットを操る。