遠隔操作事件におけるセキュリティ攻撃まとめ
2012年に起きた遠隔操作ウイルスおよびクロスサイト・リクエスト・フォージェリによる連続威力業務妨害等事件[1]において、犯人が行ったセキュリティ攻撃を個人的にまとめます。
クロスサイト・リクエスト・フォージェリ
概要
- HTTPリクエストを偽装(フォージェリ)する攻撃
- Webサイト訪問者が意図しない、別のWebサイトへのリクエストを送信する
- JavaScriptを用いた手法
- Webサイトを訪れた瞬間などに、任意の文字が埋められたフォームをPOSTする
- imgタグを用いた手法
- imgタグのsrcに任意のURIを指定してGETリクエストを送信する
- JavaScriptを用いた手法
実際に行われた攻撃手順
2ちゃんねるの「OCN規制被害者の会 2006年目」というスレッドに以下が投稿される[5]
小ネタですが...
http://is.gd/STDcf0このURIへアクセスすると、犯罪予告を自動で書き込むJavaScriptコードが組み込まれたURI http://fragt.freezoy.com/?key=y01[1] へリダイレクトされる
- 横浜市のWebページに犯罪予告が投稿される
遠隔操作
- クロスサイト・リクエスト・フォージェリが用いられた事件は1件のみで、それより後の犯罪予告はすべて遠隔操作によって行われた[1][2][3]
- 犯人は遠隔操作ウイルスの画面キャプチャ機能を用いてウイルス感染者のPC画面を観察していた[2][3]
- 画面キャプチャからウイルス感染者の居住地が特定されたケースでは、それが犯罪予告に反映された[2][3]
- プログラム名は「iesys.exe」[1]
- トレンドマイクロ社は「BKDR_SYSIE.A」、シマンテック社は「Backdoor.Rabasheeta」と遠隔操作ウイルスを命名し、それぞれ解析情報を公開している
- シマンテック社が用いたの「Rabaseeta」という言葉は、遠隔操作の命令コマンドが書き込まれた「したらば掲示板」が由来
iesys.exeの挙動
- Windows起動時に自分自身を起動するようにレジストリを変更する[6][7]
- したらば掲示板へ書き込まれたコマンドを読みに行く(おそらく定期的に掲示板へアクセスすると思われる)[6][7]
- コマンドを実行
iesys.exeの機能[6]
- スクリーンショットの取得
- ファイルのダウンロード
- ファイルのアップロード
- ファイルおよびフォルダの列挙
- ファイルの実行
- デフォルトのインターネットブラウザの取得
- 隠しブラウザで特定のURLを操作および開く
- ユーザのキー入力操作情報およびマウスの操作の記録
- 自身のアップデート
- 環境設定ファイルの更新
- 利用した掲示板のスレッドの更新
- コンピュータを一定の時間スリープする
- コンピュータから自身を削除する
実際に行われた攻撃手順
- 2ちゃんねるの「シベリア郵便局」に代行書き込みの依頼がされる[1]
- 「シベリア郵便局」とは、2ちゃんねるにおける書き込み規制を回避するために、目的のスレッドへの書き込みを他人に依頼するためのシステムの名称
- 2ちゃんねるの「【ソフトウェア】気軽に「こんなソフトありませんか?」 」スレッドに遠隔操作ウイルスが内在するファイルをダウンロードできるURIが投稿される[5]
- ファイルはDropboxやAxfc Uploaderへ置かれた
- スレッド内のリクエストに応える形でファイルのダウンロードを誘導した
>>826
ピッタリのがあった
クリップボード監視君
http://dl.dropbox.com/u/99190777/CBUtil.zip
- ファイルをダウンロードさせウイルスに感染させる
- したらば掲示板を通じて任意のコマンドが実行され、ウイルス感染者の情報が収集される
- 任意のコマンドによって犯罪予告の投稿が行われる
