2006年 1月 18日(水曜日) 00:04 | 
Posted by TTS| Articles - Malware |
2006年1月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。
RATを介して様々な操作が可能になる
トラップにより、RATサーバがインストールされたコンピュータはクラッカー側からRATクライアントでのリモート操作が行われ、情報の漏洩はもちろん、踏み台などの様々な用途に悪用される危険性も出てくる。
Bifrostで操作できる主な機能な下記のようなものだ。
システム情報閲覧
ファイル・フォルダの閲覧・検索・削除・アップ・ダウンロードなど
プロセスの閲覧・停止
リモートシェル(コマンド操作)
プロテクトストレージパスワードの閲覧・削除
スクリーンキャプチャ
キーロガー(オンライン、オフライン)
RATサーバに感染させることに成功すれば、ほとんどの操作が可能になる。前述したように、クラッカーはRATサーバを通じて、更にいくつかのツールをインストールしてくる可能性もある。スクリーンキャプチャを用いることで、現在のユーザの操作状況などを把握できるため、ユーザに気がつかれぬよう、必要なツールを仕掛けることも通常よりは容易い。
■図12:RATクライアントからは、システム情報を閲覧して導入されているアンチウイルスソフトなども確認できる。スクリーンキャプチャで状態も把握可能。
また、ファイヤーウォールの設定変更などだけでなく、アンチウイルスソフトをKILLして、削除し、タスクバーに表示されるアンチウイルスソフトのアイコンを偽装するといった改ざんを行うこともある。
全ての準備ができたら、ツール類の動作を確認し、RATサーバを含めた隠蔽を行っていく。今回利用しているRATサーバ(Bifrost)は、プログラム本体、レジストリ、通信状態などから検出される可能性がある。またタスクマネージャでIEが起動していないのにIEのプロセスが確認できる点も不審ではあるが、気がつくユーザがどの程度いるだろうか。
■図13:ファイルの改ざんやプロセスのKILLも可能。
■図14:プロテクトストレージの情報も閲覧できるため、保存されているパスワードは筒抜けになる。
■図15:タスクバーにアンチウイルスのアイコンを表示するだけのツールも存在する。図ではカスペルスキー、古いタイプのノートンやゾーナラームなどのパーソナルファイヤーウォールのアイコンが表示されているのがわかるだろう。ノートンインターネットセキュリティ2006のアイコンは本物だ。
関連記事
人気記事
- BIOSパスワードロックで安全性は保てない?
- Windows ログオンパスワードバイパス
- LulzSecがチャイルドポルノサイトのユーザー7千人のログイン・パスワードを公開
- agroindustri.menlh.go.id 他 Hacked by Cyb3rSec Crew | Malaysian Crew
- Metasploit Tutorial 2
- AnonymousがDDoSツール#RefRefのソースコードを公開
- www.rgd.gov.lk Hacked by TEAM T!g3R
- 複数サイト改ざん Cyb3rSec Crew | Malaysian Crew
- Metasploit Tutorial 1
- DDoS攻撃に使われる LOIC