[
板情報
|
カテゴリランキング
]
したらばTOP
■掲示板に戻る■
全部
1-100
最新50
|
メール
|
1-
101-
201-
301-
401-
501-
601-
701-
801-
901-
1001-
1101-
1201-
1301-
1401-
1501-
1601-
1701-
1801-
この機能を使うにはJavaScriptを有効にしてください
|
ADSL
886
:
名無しさん
:2015/06/21(日) 00:10:56
>>885
●Emdiviに感染するとIDやパスワードを収集。他のパソコンへ感染を広げる
続いて、政本氏がEmdiviの感染後の動作を分析した。
下はEmdiviが感染後に使うツールの1つで、「BrowserPasswordDump.exe」というプログラムだ。名前の通り、ブラウザーに登録されているパスワードとIDを抜き出すツールである。これを実行すると、IE(インターネットエクスプローラ)、Chrome、Firefoxなどのブラウザーに登録されたユーザー名とパスワードの一覧を表示する。犯人はこのパスワードを使って、他のシステムへの侵入に使っていると思われる。
こちらもEmdiviが感染後に使うツールで、メール関連のデータを盗み取るものだ。被害組織の中で使われているメールアドレスや、メールサーバーのIPアドレス、被害端末で使われているメールサーバーへのログイン用IDやパスワードを盗むためのツールだ。
これにより、メールの内容がすべて攻撃者に筒抜けになってしまう。情報漏れが起きるだけでなく、ここから標的型攻撃メールの宛先を増やすことにもつながる。また、添付ファイルを実際に使われたものに置き換える、といった攻撃のブラッシュアップも可能になるだろう。
こちらは「gp.exe」というプログラムで、「mimikatz」と呼ばれる有名なパスワード取得ツールだ。Windowsのログイン名やドメイン名(組織名)、パスワードを盗み取るものだ。
さらには「ms14-068.exe」というプログラムも実行される。名前から見て分かるように、これはWindowsの脆弱性「MS14-068」を攻撃するためのツールだ。組織の中には「ドメインコントローラ」と呼ばれる管理サーバーがあるが、その管理サーバーにパッチ(修正ファイル)が当たっていなかった場合に乗っ取ることができるツールだ。この攻撃が成功した場合、犯人はシステム管理者と同じ権限が得られ、ありとあらゆるシステムに侵入できてしまう。Emdiviでは、このツールをよく使っているとのことだ。
新着レスの表示
名前:
E-mail
(省略可)
:
※書き込む際の注意事項は
こちら
※画像アップローダーは
こちら
(画像を表示できるのは「画像リンクのサムネイル表示」がオンの掲示板に限ります)
スマートフォン版
掲示板管理者へ連絡
無料レンタル掲示板
