Home » » 攻撃の分析(パート3)

攻撃の分析(パート3)

攻撃の分析(パート3)攻撃の分析(パート1)
攻撃の分析(パート3)攻撃の分析(パート2)

ドン・パーカー

このシリーズのパート 2 では、被害者のネットワークへの攻撃に必要なすべての情報を残しました。それを念頭に置いて、実際の攻撃に移りましょう。この攻撃では、攻撃をさらに悪用できるように、複数のリクエスト プログラムの送信が必要になります。

コンピュータを攻撃して撤退するだけでは意味がないので、強力な攻撃を仕掛けます。通常、悪意のある攻撃者の目的は、コンピュータ ネットワーク上での存在感を高めるだけでなく、それを維持することです。つまり、攻撃者は依然として自分の存在を隠し続け、他のアクションを実行したいと考えているということです。

興味深い問題

ここで、Metasploit Framework を使用して実際の攻撃を実行します。この動作メカニズムは、ペイロードの選択に関して、さまざまなタイプのマイニングとさまざまなオプションを提供するため、非常に興味深いものです。リバースユーティリティや VNC インジェクトは必要ないかもしれません。ペイロードは、多くの場合、今後のターゲット、ネットワーク アーキテクチャ、最終目標によって異なります。この場合は、リバースユーティリティを使用して実行します。これは多くの場合、より有利なアプローチであり、特にターゲットがルーターの背後にあり、直接アクセスできない場合に当てはまります。たとえば、Web サーバーに「アクセス」しても、負荷は依然として分散されています。フォワード ユーティリティを使用して接続できるという保証はないので、コンピューターでリバース ユーティリティを生成する必要があります。 Metasploit Framework の使用方法については、別の記事で説明されている可能性があるため、ここでは説明しません。それでは、パッケージ レベルなどの点に焦点を当ててみましょう。

今回は、簡単な画像とコードスニペットで各攻撃ステップを紹介する方法ではなく、別の攻撃を紹介します。実行されるのは、Snort の助けを借りて攻撃を再現することです。実行した攻撃のバイナリ ログを活用し、それを Snort で解析します。理想的には、私たちがやったことのすべてが同じように見えるはずです。実際に実装されるのは実証パッケージです。ここでの目標は、何が起こったのかをどれだけ正確に把握できるかを確認することです。これを念頭に置いて、実行されたすべての内容が記録されたバイナリ パケット ログを使用し、Snort のいくつかのデフォルト ルールを使用して解析します。

Snort 出力

Snort を呼び出すために使用される構文は次のとおりです。

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

この構文により、Snort は article_binary というバイナリ パケットを分析し、その結果を以下に示します。各セクションを詳細に確認できるように、Snort の出力を切り捨てました。

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

このセクションが興味深いのは、1 つの攻撃アクションによって 63 件のアラートがトリガーされたことです。何が起こったかについての多くの詳細を提供できる、alert.ids ファイルを確認します。さて、攻撃者が最初に行ったことは、Nmap を使用してネットワーク スキャンを実行することであり、これによって Snort によってトリガーされる最初のアラートも作成されたことを覚えておいてください。

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

このように、攻撃者は netcat を使用して Web サーバーを列挙し、それがどのような種類の Web サーバーであるかを調べました。このアクションによって Snort アラートはトリガーされませんでした。何が起こったのかを知りたいので、パッケージのログを詳しく見てみましょう。通常の TCP/IP ハンドシェイク手順を観察した後、以下のパケットを確認します。

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

このパッケージについては、たとえば slslsl のように、GET リクエストとそれに続く内部の問題が含まれているという事実以外、注目すべき点はありません。したがって、実際には、Snort が行うべきことは何もありません。したがって、このタイプの列挙試行をトリガーするための効果的な IDS 署名 (または署名) を構築することは非常に困難です。だからこそ、そのような署名は存在しないのです。その後の次のパケットには、被害者ネットワークの Web サーバーが自分自身をリストします。

列挙が完了すると、攻撃者はすぐにエクスプロイトを実行するコードを Web サーバーに送信します。このコードは、Snort 署名が有効になっているいくつかの結果を生成します。特に、以下に示すエクスプロイトについては、この Snort 署名を確認できます。

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

攻撃者が Web サーバーにアクセスすると、TFTP クライアントを使用して 4 つのファイル (nc.exe、ipeye.exe、fu.exe、msdirectx.exe) を転送し始めます。これらのファイルが転送されると、攻撃者は netcat を使用してユーティリティを自分のコンピュータに送り返します。そこから、最初の攻撃によって発生した他のユーティリティを切断し、残りの作業をすべて netcat ユーティリティで実行できます。興味深いことに、攻撃者がリバース ユーティリティ経由で実行したアクションは、Snort によって記録されませんでした。しかし、それにもかかわらず、攻撃者は TFTP 経由で送信したルートキットを使用して、netcat のプロセス情報を隠しました。

結論

このシリーズのパート 3 では、Snort を使用した攻撃のデモを見ました。ルートキットの使用を除いて、実行されたことの 1 つを完全に再現できます。 IDS は非常に便利なテクノロジーであり、ネットワーク防御システムの一部ですが、常に完璧というわけではありません。 IDS は、感知できるトラフィックについてのみ警告を発することができます。それを念頭に置いて、このシリーズの最後の部分では Snort シグネチャの構築方法を学習します。それに加えて、デジタル署名(署名)をテストしてその有効性を評価する方法も学習します。

Tags: #サイバー攻撃 #ハッカー

Leave a Comment

攻撃の分析(パート1)

攻撃の分析(パート1)

このシリーズは、ネットワークの脆弱性をテーマとしています。この記事で紹介するのは、偵察から列挙、ネットワーク サービスの悪用、そして通知の悪用戦略に至るまでの実際の攻撃です。これらすべてのステップはデータ パケット レベルで観察され、詳細に説明されます。

攻撃の分析(パート2)

攻撃の分析(パート2)

パート 1 では、Nmap によって送信されたパケット シーケンスを開いたときに観察できる情報を説明しました。送信されるシーケンスは、コンピューターまたはネットワークに IP アドレスが割り当てられているかどうかを判断するための ICMP エコー応答から始まります。

Microsoft Teamsの予期しないダウンロードエラーを修正する方法

Microsoft Teamsの予期しないダウンロードエラーを修正する方法

Microsoft Teamsのダウンロードエラー「予期せぬエラー」でワークフローが滞っていませんか?専門家によるステップバイステップガイドと、クイックフィックスと高度なヒントで、すぐに問題を解決できます。再インストールは不要です!

Teams 会議でブレイクアウト ルームが表示されないのはなぜですか?

Teams 会議でブレイクアウト ルームが表示されないのはなぜですか?

Teams 会議でブレイクアウトルームが表示されなくて困っていませんか?Teams でブレイクアウトルームが表示されない主な原因を解説します。ステップバイステップの解決方法に従って、数分でスムーズに機能するようにしましょう。主催者にも参加者にも最適です!

Microsoft Teams OneDriveのファイル同期エラーの解決

Microsoft Teams OneDriveのファイル同期エラーの解決

Microsoft Teams OneDriveのファイル同期エラーにうんざりしていませんか?ステップバイステップガイドに従って、Microsoft Teams OneDriveのファイル同期エラーを素早く解決しましょう。Teamsチャンネルでのスムーズな共同作業に役立つ実証済みの修正プログラムをご用意しています。今すぐエラーのないファイル同期を実現しましょう!

Microsoft Teams のハードエラーを修正する方法(2026 レジストリ修正)

Microsoft Teams のハードエラーを修正する方法(2026 レジストリ修正)

Microsoft Teamsがハードエラーでクラッシュするのにうんざりしていませんか? わずか数分で解決できる、実績のある2026レジストリ修正プログラムを入手しましょう。ステップバイステップガイド、スクリーンショット、そして永続的な問題解決のためのヒントをご紹介します。最新バージョンで動作します!

Microsoft Teamsチュートリアルヘルプエラーのトラブルシューティング

Microsoft Teamsチュートリアルヘルプエラーのトラブルシューティング

Microsoft Teamsチュートリアルヘルプのエラーでお困りですか?このよくある問題に対する、実証済みのステップバイステップの解決策をご覧ください。キャッシュをクリアし、Teamsを更新するなど、すぐにシームレスなコラボレーションを取り戻しましょう!

Microsoft Teams エラーのトラブルシューティング: 最初に確認すべきこと

Microsoft Teams エラーのトラブルシューティング: 最初に確認すべきこと

Microsoft Teamsでエラーが発生していますか?このMicrosoft Teamsのトラブルシューティングガイドでは、エラーを迅速に解決するための最初のチェックポイントをステップバイステップでご紹介します。接続、キャッシュ、アップデートに関するクイックフィックスで、スムーズなチャットを再開できます。

Microsoft Teams アドインが Outlook に表示されないのはなぜですか?

Microsoft Teams アドインが Outlook に表示されないのはなぜですか?

Outlook に Microsoft Teams アドインが表示されなくて困っていませんか?主な原因と簡単なステップバイステップの修正方法をご紹介します。Teams と Outlook のシームレスな連携を簡単に復元できます。最新バージョンでご利用いただけます。

公共Wi-FiでのMicrosoft Teamsネットワークエラーの解決方法

公共Wi-FiでのMicrosoft Teamsネットワークエラーの解決方法

公共Wi-FiでMicrosoft Teamsのネットワークエラーに悩まされていませんか?VPNの調整、ポートチェック、キャッシュクリアなどの即時修正で、通話や会議をスムーズに復旧できます。ステップバイステップガイドですぐに問題を解決できます。

Microsoft Teams のステータスが「離席中」のままになっているのはなぜですか?

Microsoft Teams のステータスが「離席中」のままになっているのはなぜですか?

Microsoft Teamsのステータスが「離席中」のままになって困っていませんか?アイドルタイムアウトや電源設定など、よくある原因と、すぐに「対応可能」に戻すためのステップバイステップの修正方法をご紹介します。最新のTeams機能にアップデートしました。

Microsoft Teams のようこそ画面の起動ループのトラブルシューティング

Microsoft Teams のようこそ画面の起動ループのトラブルシューティング

Microsoft Teamsのようこそ画面の起動ループに悩まされていませんか?Microsoft Teamsのようこそ画面の起動ループを解消するための実証済みのトラブルシューティング手順をお試しください。キャッシュのクリア、アプリのリセット、再インストールが可能です。数分でシームレスなコラボレーション環境を取り戻せます!

Microsoft Teamsはなぜ遅いのか?2026年にスピードアップするための10のヒント

Microsoft Teamsはなぜ遅いのか?2026年にスピードアップするための10のヒント

Microsoft Teams の遅延にイライラしていませんか?Microsoft Teams が遅い理由を解明し、2026 年に劇的に高速化するための 10 の実証済みヒントを適用して、スムーズなコラボレーションを実現しましょう。

Microsoft Teams のショートカット エラーと起動時のクラッシュを解決する

Microsoft Teams のショートカット エラーと起動時のクラッシュを解決する

Microsoft Teamsのショートカットエラーでワークフローが滞っていませんか?Microsoft Teamsのショートカットエラーや起動時のクラッシュを解決し、スムーズなコラボレーションを実現する実証済みの手順をご紹介します。素早く簡単に解決できる方法を解説しています。

直接リンク経由でMicrosoft Teamsの会議参加エラーを解決する

直接リンク経由でMicrosoft Teamsの会議参加エラーを解決する

Microsoft Teamsの会議参加エラーでお困りですか?直接リンクから解決方法をご確認ください。シームレスに参加するためのクイックフィックス - 技術的なスキルは必要ありません!

Chromebook で Microsoft Teams のログインエラーを修正する方法

Chromebook で Microsoft Teams のログインエラーを修正する方法

Chromebook で Microsoft Teams のログインエラーに困っていませんか?ログイン問題を素早く解決するためのステップバイステップの解決策をご紹介します。キャッシュのクリア、アプリのアップデートなど、スムーズなチームワークを実現しましょう。最新の Chrome OS で動作します!

Teamsカレンダーはどこにありますか?同期の問題のトラブルシューティング

Teamsカレンダーはどこにありますか?同期の問題のトラブルシューティング

Teamsのカレンダーがどこにあるのか分からず困っていませんか?Microsoft Teamsの同期に関する問題をステップバイステップで解決しましょう。専門家のヒントも満載で、カレンダービューを復元して簡単に同期できます。