| ★阿修羅♪ > IT8 > 584.html ★阿修羅♪ |
|
| Tweet |
(回答先: PC乗っ取り旧情報 「スパイウエア規制強化を求む」 投稿者 てんさい(い) 日時 2006 年 1 月 16 日 02:31:04)
2005/3/31
「PC乗っ取りの経過報告1」 ITセキュリテイ
PC乗っ取りの全貌=ITマフィアの手口
組織的犯行の全貌を明らかにしようと、PCの改変状況など記録を詳細にとることで、膨大な時間を費やしてしまいました。おかげでネット空間で進行しているサイバー空間を支配するPC乗っ取りの恐ろしい事態が把握でき(IT関係者でも知らない人間が多い)よかったのか悪かったのか、、、今話題の○○氏が“より多くのアカウントを集積したい”という裏の意味が見えてきました。
休止中励ましのお言葉いただいた皆さんどうもありがとうございました。感謝の意味をこめて、貴重なネタを公表します。PCに詳しくない人もこれを参考にして、セキュリテイの強化に役立ててください。
ずばり言って、密かに自分の目の前にあるPCの操作権が奪われるというすさまじいことが起きました。
手順を追って説明しますと
(詳細は犯人でないのでわかりませんが、レジストリーキー乱数の同期とVBスクリプトウイルスがキーポイントだと思います)
1.メールアドレスを把握したら、大量アクセスで対象IPアドレスを把握し、接続点を特定します。
(プロバイダーの接続システムに精通している)
2.そこを狙ってアタックをかけ、通信エラーを発生させる。
3.ウィンドウズOSはエラー発生と同時に svchostコマンドが働く仕組みになっているので、多重同時アクセスでMS社のNETサーバーが同期し接続する妨害をしつつ、同時に、定義の後付けができるsvchostのレジストリーキーにすり替える。
(僕の場合256MBの乱数がファミコンレベルの16ビットになっており、ウィンドウズのレジストリーの平文がわかれば、誰でも後からシステムの組み換えができるようにされました)
4.中枢の乱数カウンターを把握した後はトラックバックとか投稿とかのポイントで網を張り、定義の後つけの部品を注入していけば、所有者の気がつかないところで隠れシステムが形成されていきます。
5.最後の仕上げは、ウィンドウズなどのアップデイトを偽装し、不足プログラムを注入していけば、露見しにくいようを修正が加えることができます。
6.そうしてケーブルさえつながっていれば、接続までもリモート操作できる完璧なリモートコントロールシステムが確立されていきます。
同じ入力でもベースとなる乱数がちがえば、ぜんぜん別の表記にできますので、違ったベースとなる乱数キーに基づき作成されたファイルは、目に見えませんし、ウイルス対策ソフトもスルーします。(ステルスプログラムシステム)
従来のハッキングが表口からの穴をあけるやり方でなされていたのと違い、中枢の金庫の地下に抜け穴をつくり、金庫のアクセス乱数まで書き換えて立ち去るわけですから、通常の人が気づくわけがありません。
確認しようとして中枢管理ファイルを開いて操作したら、エラーでホワイトアウトする仕掛けまでつくられているわけですから証拠ものこりません。(運良く全貌がみえたのはPCに詳しい人ならぜったいやらないアプリケーションの途中でケーブルを引き抜く、インストールの途中で電源を切るなどの無謀な作業で、ハッカーの足跡を残すことに成功したからだと思います。
ブログランク投票のタグを貼り付けてそれをクリックしても、投票に反映しないということがありますが、後付の定義ができる隠れコマンドが添付された、画面上では現れないコマンドが同時に働くからだと思います。
たとえば、○×link/ID番号というコマンド表示も、違うログでは○×Link/howto何々と後つけの定義ができるようになっていました。
(乱数キーを少なくするということは、仕掛けられたプログラムのバグも多くなります、ホワイトアウトしなかったので、笑える証拠がいっぱい入手できました)
目に見えるこうゆう入力にはこうゆう隠れコマンドをつけるという定義づけは、別システムを組んだPCでは楽にできます。
当初はホストサーバー内部の問題だと思いましたが、実は、自分が気づかないところで、自分のPCがそれを実行していたこということが分かりました。
9.ここでおとなしくすればよかったかもしれませんが、大いに挑発してしまい、KILLコマンドを注入され、今日に到ったしだいです。
10.幸いログ記録を多重に組んでいましたので、消去を逃れた膨大な資料のつぎはぎから全貌が見えたしだいです。すでに、証拠物件はPCごと関係機関に提出してありますので、そこで浮かび上がった不審アドレスの方は、迂回先であっても調べられると思います。中には話題の某IT企業の社員に割り当てられた業務用アドレスもありましたので、取調べをよろしくご協力お願いします。(犯人は日本語のガイドを使ってプログラムしていましたので、日本人だと思います。)
11.見たこともない有料サイトから請求が来たという話がありますが、ゼネラル、リモート、アクセス、ブラインド、イン、システムの被害にあわれている方かもしれません。少額の請求だと気づかない人も多いですが、一人月2000円でも100万台なら20億にもなります。
12.サイバー空間に参加している人のほとんどが、簡易マニュアルレベルの知識だと思いますので、200万台くらいはカモにされる予備軍だと思います。何台か中古PCを見ましたが、すべて、迂回システムが再構築されていましたし、レジストリーキーの乱数が不正アクセスしやすい0000:0000〜のものばかりでした。すでに大量の被害が潜在化しているのかもしれません。
13.最後にセキュリテイのチェックの簡単な方法をお知らせします。
A)新品の製品のレジストリーを確認し、不自然なフォルダができているとか不自然な配置になっていないか?(プログラム実行レジストリー表示コマンド入力)
B)コントロールパネル→メンテナンス→管理サービスツール→ローカルセキュリテイポリシー→サービスでディレクトリーが開きクリックでダイアログを開き操作できるか?
(管理者じゃないと操作できないと表示がでたら怪しい)
C)上記の管理ツールでセキュリティログ、イベントログ、アプリケーションログをチェックして過去のログを確認、レジストリーキーの書き換えがないか?
(LoadPerfの書き換えエラー記載がないが、削除履歴がないか?WmiApRplサービスの書き換え、ContentIndex,ContentFilter,ISAPIserchの書き換え等)
D)コントロールパネル→インターネット→インターネットオプション→Cookies削除ファイル削除の右の設定→Cookiesフォルダに変なファイルがないか、インターネット一時ファイルに変なファイルがないか?
(自分が訪問した記憶がないサイトのアドレスがないか)
以上とりあえず報告しておきます。
皆さんVBスクリプトウイルスなどスクリプトを利用した乗っ取りには注意しましょう。僕の場合、所有者の僕をさしおいて数人がアクセス特権を得て、ヘルプをいれて10人くらいの共同作業がされ、完全に支配されていました。サイバーファシスト様は、さぞ“すばらしいすばらしい”とご満悦のことだったでしょう。怒りを通り越して、あきれ果てると共に、ネットの未来に限界を感じました。
この情報に価値を感じたらだめもとでクリックしてください。(リンクURL表示が普段と違って長くなると思いますが、、、);%人気ブログランキングへ%;%http://blog.with2.net/link.php/23907">人気ブログランキングへ%;
PS
発見したレジストリーキーの壊し方→文字の隙間に極小フォントを差し込むコマンドをタイミングよく発生させる。
壊される時、8分の一くらいの小さな小文字が挟まっていました。セキュリテイ対策の人研究してください。
このままではネット空間が、完全支配される独裁空間になってしまいます。
http://red.ap.teacup.com/sunvister/114.html
http://red.ap.teacup.com/applet/sunvister/msgcate3/archive
題名には必ず「阿修羅さんへ」と記述してください。