2006年 3月 25日(土曜日) 00:04 | 
Posted by TTS| Articles - Malware |
page 1/3
2006年3月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。Agobot系
Agobot系のボットもrbot系と並んで人気が高く、agobot/forbot/phatbot/djbot/zotobなどの亜種を生んでいるクロスプラットホーム(Windows/Linux)のボットである。Agobotの作成者(Ago)は逮捕されたようだが、現在でもアクティブなボット作成者によって改変が続けられている。
Agobot系は、rbot系に比べれば安定度は高く、またVMwareの検出機能なども備わり、解析を困難にしようと試みている。今回利用しているAgobotの亜種もVMware上では動作しない(起動しない)。基本的な使い方はrbot系で解説したのと似通っているが、もちろん、コマンド等は若干異なる。
Agobot系は、rbot系に比べれば安定度は高く、またVMwareの検出機能なども備わり、解析を困難にしようと試みている。今回利用しているAgobotの亜種もVMware上では動作しない(起動しない)。基本的な使い方はrbot系で解説したのと似通っているが、もちろん、コマンド等は若干異なる。
古いタイプはソースの設定ファイル(config.cpp)を直接編集してからコンパイルを行っていたが、新しめのものは設定用のGUIアプリケーション(configgui.exe)がソースに含まれているおり、GUIで設定を行い設定ファイルを出力できるようになっている。基本となる設定内容は同様で、接続先のIRCサーバ(バックアップサーバも指定可)、チャンネル名、そしてボットのユーザ名、パスワードなどである。rbot系では、パスワードのみでログインしていたが、Agobot系ではユーザ名とパスワードの二つを入力する必要がある。
■図22:設定ファイル作成用のGUIアプリケーションを起動して、
必要な項目を入力後に出力し、コンパイルを行う。
■図23:作成した設定ファイル。
また、Agobot系のソースには丁寧な説明書やFAQなども含まれるものも多く、コンパイルのチュートリアルなどもあるため、知識の乏しいクラッカーでも作成、使用することは難しくないだろう(rbot系でも同様のチュートリアルが含まれるものもあるが、ほとんどはついていない)。実際の動作についてはrbot系と重なる部分も多いので、簡単に解説していく。
■図24:AgobotにはFAQやコマンド一覧の説明書なども添付されていることが多い。
.commands.list -[ command list ]-
1. / "commands.list" / "Lists all available commands"
2. / "cvar.list" / "prints a list of all cvars"
3. / "cvar.get" / "gets the content of a cvar"
4. / "cvar.set" / "sets the content of a cvar"
5. / "cvar.loadconfig" / "loads config from a file"
6. / "cvar.saveconfig" / "saves config to a file"
7. / "mac.logout" / "logs the user out"
8. / "login" / "logs the user in"
9. / "bot.about" / "displays the info the author wants you to see"
10. / "bot.die" / "terminates the bot"
11. / "bot.dns" / "resolves ip/hostname by dns"
12. / "bot.execute" / "makes the bot execute a .exe"
13. / "bot.id" / "displays the id of the current code"
14. / "bot.nick" / "changes the nickname of the bot"
15. / "bot.open" / "opens a file (whatever)"
16. / "bot.remove" / "removes the bot"
17. / "bot.removeallbut" / "removes the bot if id does not match"
18. / "bot.rndnick" / "makes the bot generate a new random nick"
19. / "bot.status" / "gives status"
20. / "bot.sysinfo" / "displays the system info"
21. / "bot.longuptime" / "If uptime > 7 days then bot will respond"
22. / "bot.highspeed" / "If speed > 5000 then bot will respond"
23. / "bot.quit" / "quits the bot"
~~~~省略~~~~■図25:コマンドは、ボットにログイン後に「.commands.list」コマンドで確認することができる。
関連記事
以下外部リンク - Itmedia (過去の執筆記事-非常に古い記事)
エンタープライズ
rootkitによるハッキングとその防御
- 第1回 rootkitの概要と検知 [2003.1.15 UP]
- 第2回 ログファイルの改ざん [2003.2.12 UP]
- 第3回 rootkit検出ツールによる検査 [2003.3.11 UP]
- 第4回 rootkitを利用した侵入 [2003.3.28 UP]
- 第5回 kernel rootkitの概要 [2003.6.10 UP]
Tripwireの導入
- 第1回:Tripwireを導入する [2002.9.11 UP]
- 第2回:ポリシーファイルの作成と編集 [2002.9.30 UP]
- 第3回:レポートの参照とデータベースのアップデート [2002.10.8 UP]
- 第4回 レポートの送信とCronを利用した定期的な整合性のチェック [2002.11.22 UP]
- 第5回 Tripwireを運用するときの注意点 [2002.12.6 UP]
IDSの導入による不正侵入の検知とネットワーク管理
- 第1回:Snortを導入する その1 (2002年6月4日更新)
- 第2回:Snortを導入する その2 (2002年6月18日更新)
- 第3回:Snortのルールセットを極める (2002年7月2日更新)
- 第4回:Snortのルール構造とその作成方法 (2002年7月17日更新)
- 第5回:Snortへの攻撃とその対策 (2002年8月5日更新)
- 第6回:IDSからの検知回避は可能か (2002年8月27日更新)
ウイルスからLinuxサーバを守る
- 第1回:「アンチウイルスソフトの導入」 (2002年2月20日更新)
- 第2回:「メールサーバでのウイルススキャン -qmail編-」 (2002年3月1日更新)
- 第3回:「メールサーバでのウイルススキャン -Postfix編-」 (2002年3月15日更新)
- 第4回:「fetchmailによるメール受信時のウイルススキャン」 (2002年4月3日更新)
- 第5回:プライバシーフィルタの導入 (2002年4月18日更新)
- 第6回:メールサーバの不正利用対策その1 (2002年4月24日更新)
- 第7回:メールサーバの不正利用対策その2 (2002年5月17日更新)
- 第8回:メールサーバの不正利用対策その3 (2002年5月17日更新)
セキュリティ:プライバシー
- 第1回:「プライバシーの保護は必要か?-Webバグ-」 (2001年12月20日更新)
- 第2回:「ソフトウェアに紛れ込むスパイ」 (2001年12月26日更新)
- 第3回:「自分のマシンに入り込むスパイ 」 (2001年1月16日更新
- 第4回:「Webサイトのトラップと戦うために」 (2001年2月1日更新)
- 第1回:常時接続環境でのセキュリティ確保 (2001年08月22日更新)
- 第2回:ポートスキャンと共有サービスへのアタック (2001年09月5日更新)
- 第3回:パケットフィルタリングとソフトウェアファイアウォール (2001年09月18日更新)
- 第4回:トロイの木馬から身を守る (2001年10月3日更新)
- 第5回:クッキーでホームページ訪問者は管理されている (2001年10月17日更新)
- 第6回:ネットワークの盗聴は可能か (2001年11月06日更新)
- 第7回:パスワードクラッキングの現実性 (2001年11月16日更新)
- 第8回:DoS攻撃について考える (2001年11月29日更新)
- 第9回:Macintoshセキュリティ-クラシック環境でのバックドアツール (2002年8月27日更新)
- 第1回:「メールの安全性を考える(その1)」 (2001年6月27日更新)
- 第2回:「メールの安全性を考える(その2)~スパムメール対策」 (2001年7月10日更新)
- 第3回:「メール爆弾から身を守る」 (2001年7年24日更新)
- 第4回:「PGPでメールを暗号化する」 (2001年8月7日更新)