攻撃の分析（パート3）

ドン・パーカー

このシリーズのパート 2 では、被害者のネットワークへの攻撃に必要なすべての情報を残しました。それを念頭に置いて、実際の攻撃に移りましょう。この攻撃では、攻撃をさらに悪用できるように、複数のリクエストプログラムの送信が必要になります。

コンピュータを攻撃して撤退するだけでは意味がないので、強力な攻撃を仕掛けます。通常、悪意のある攻撃者の目的は、コンピュータネットワーク上での存在感を高めるだけでなく、それを維持することです。つまり、攻撃者は依然として自分の存在を隠し続け、他のアクションを実行したいと考えているということです。

興味深い問題

ここで、Metasploit Framework を使用して実際の攻撃を実行します。この動作メカニズムは、ペイロードの選択に関して、さまざまなタイプのマイニングとさまざまなオプションを提供するため、非常に興味深いものです。リバースユーティリティや VNC インジェクトは必要ないかもしれません。ペイロードは、多くの場合、今後のターゲット、ネットワークアーキテクチャ、最終目標によって異なります。この場合は、リバースユーティリティを使用して実行します。これは多くの場合、より有利なアプローチであり、特にターゲットがルーターの背後にあり、直接アクセスできない場合に当てはまります。たとえば、Web サーバーに「アクセス」しても、負荷は依然として分散されています。フォワードユーティリティを使用して接続できるという保証はないので、コンピューターでリバースユーティリティを生成する必要があります。 Metasploit Framework の使用方法については、別の記事で説明されている可能性があるため、ここでは説明しません。それでは、パッケージレベルなどの点に焦点を当ててみましょう。

今回は、簡単な画像とコードスニペットで各攻撃ステップを紹介する方法ではなく、別の攻撃を紹介します。実行されるのは、Snort の助けを借りて攻撃を再現することです。実行した攻撃のバイナリログを活用し、それを Snort で解析します。理想的には、私たちがやったことのすべてが同じように見えるはずです。実際に実装されるのは実証パッケージです。ここでの目標は、何が起こったのかをどれだけ正確に把握できるかを確認することです。これを念頭に置いて、実行されたすべての内容が記録されたバイナリパケットログを使用し、Snort のいくつかのデフォルトルールを使用して解析します。

Snort 出力

Snort を呼び出すために使用される構文は次のとおりです。

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

この構文により、Snort は article_binary というバイナリパケットを分析し、その結果を以下に示します。各セクションを詳細に確認できるように、Snort の出力を切り捨てました。

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

このセクションが興味深いのは、1 つの攻撃アクションによって 63 件のアラートがトリガーされたことです。何が起こったかについての多くの詳細を提供できる、alert.ids ファイルを確認します。さて、攻撃者が最初に行ったことは、Nmap を使用してネットワークスキャンを実行することであり、これによって Snort によってトリガーされる最初のアラートも作成されたことを覚えておいてください。

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

このように、攻撃者は netcat を使用して Web サーバーを列挙し、それがどのような種類の Web サーバーであるかを調べました。このアクションによって Snort アラートはトリガーされませんでした。何が起こったのかを知りたいので、パッケージのログを詳しく見てみましょう。通常の TCP/IP ハンドシェイク手順を観察した後、以下のパケットを確認します。

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

このパッケージについては、たとえば slslsl のように、GET リクエストとそれに続く内部の問題が含まれているという事実以外、注目すべき点はありません。したがって、実際には、Snort が行うべきことは何もありません。したがって、このタイプの列挙試行をトリガーするための効果的な IDS 署名 (または署名) を構築することは非常に困難です。だからこそ、そのような署名は存在しないのです。その後の次のパケットには、被害者ネットワークの Web サーバーが自分自身をリストします。

列挙が完了すると、攻撃者はすぐにエクスプロイトを実行するコードを Web サーバーに送信します。このコードは、Snort 署名が有効になっているいくつかの結果を生成します。特に、以下に示すエクスプロイトについては、この Snort 署名を確認できます。

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

攻撃者が Web サーバーにアクセスすると、TFTP クライアントを使用して 4 つのファイル (nc.exe、ipeye.exe、fu.exe、msdirectx.exe) を転送し始めます。これらのファイルが転送されると、攻撃者は netcat を使用してユーティリティを自分のコンピュータに送り返します。そこから、最初の攻撃によって発生した他のユーティリティを切断し、残りの作業をすべて netcat ユーティリティで実行できます。興味深いことに、攻撃者がリバースユーティリティ経由で実行したアクションは、Snort によって記録されませんでした。しかし、それにもかかわらず、攻撃者は TFTP 経由で送信したルートキットを使用して、netcat のプロセス情報を隠しました。

結論

このシリーズのパート 3 では、Snort を使用した攻撃のデモを見ました。ルートキットの使用を除いて、実行されたことの 1 つを完全に再現できます。 IDS は非常に便利なテクノロジーであり、ネットワーク防御システムの一部ですが、常に完璧というわけではありません。 IDS は、感知できるトラフィックについてのみ警告を発することができます。それを念頭に置いて、このシリーズの最後の部分では Snort シグネチャの構築方法を学習します。それに加えて、デジタル署名（署名）をテストしてその有効性を評価する方法も学習します。

Tags: #サイバー攻撃 #ハッカー