したらばTOP ■掲示板に戻る■ 全部 1-100 最新50 | メール | |

ADSL

886名無しさん:2015/06/21(日) 00:10:56
>>885

●Emdiviに感染するとIDやパスワードを収集。他のパソコンへ感染を広げる

 続いて、政本氏がEmdiviの感染後の動作を分析した。

 下はEmdiviが感染後に使うツールの1つで、「BrowserPasswordDump.exe」というプログラムだ。名前の通り、ブラウザーに登録されているパスワードとIDを抜き出すツールである。これを実行すると、IE(インターネットエクスプローラ)、Chrome、Firefoxなどのブラウザーに登録されたユーザー名とパスワードの一覧を表示する。犯人はこのパスワードを使って、他のシステムへの侵入に使っていると思われる。

 こちらもEmdiviが感染後に使うツールで、メール関連のデータを盗み取るものだ。被害組織の中で使われているメールアドレスや、メールサーバーのIPアドレス、被害端末で使われているメールサーバーへのログイン用IDやパスワードを盗むためのツールだ。

 これにより、メールの内容がすべて攻撃者に筒抜けになってしまう。情報漏れが起きるだけでなく、ここから標的型攻撃メールの宛先を増やすことにもつながる。また、添付ファイルを実際に使われたものに置き換える、といった攻撃のブラッシュアップも可能になるだろう。

 こちらは「gp.exe」というプログラムで、「mimikatz」と呼ばれる有名なパスワード取得ツールだ。Windowsのログイン名やドメイン名(組織名)、パスワードを盗み取るものだ。

 さらには「ms14-068.exe」というプログラムも実行される。名前から見て分かるように、これはWindowsの脆弱性「MS14-068」を攻撃するためのツールだ。組織の中には「ドメインコントローラ」と呼ばれる管理サーバーがあるが、その管理サーバーにパッチ(修正ファイル)が当たっていなかった場合に乗っ取ることができるツールだ。この攻撃が成功した場合、犯人はシステム管理者と同じ権限が得られ、ありとあらゆるシステムに侵入できてしまう。Emdiviでは、このツールをよく使っているとのことだ。


新着レスの表示


名前: E-mail(省略可)

※書き込む際の注意事項はこちら

※画像アップローダーはこちら

(画像を表示できるのは「画像リンクのサムネイル表示」がオンの掲示板に限ります)

掲示板管理者へ連絡 無料レンタル掲示板