「ブラッディ・マンデイ」を考察する(02)

• Tweet
• ブックマーク

  

  

  はてなブックマーク

  Check

  mixi チェック

  

  Instapaper

  Read it Later

  Read It Later

 　みなさんこんにちは^^　昨日は模試を受けたりと普通の高校生活を送っています!!

　前回の考察記事が好評で嬉しい限りです（涙）今回も考察できたのでご報告しますねｖｖ

 THIRD-iへの侵入

　THIRD-iのサーバーからブラッディ・マンデイの動画データを削除するように迫られ侵入します。最初に映ったコマンドは「fw:~# ssh -i .ssh/id_secure 10.1.1.184」で一度自分のサーバーに入ります。「falcon@ws2 # ssh -v -p 31337 root@fw.3e-sol.jp」（3e-sol.jpは実在しないドメインでした）

　何故かBackOrificeのポートから侵入します。まぁ絶対BackOrificeという訳ではないのですが^^;SSHの表示が「OpenSSH_5.1p1 Debian-2, OpenSSL 0.9.8g 19 Oct 2....」なのも若干謎です。

　次に映る画面がまた「fw:~# ssh -i .ssh/id_secure 10.1.1.184」からなのですが，

「a-srv01:~# HISTFILE=/dev/null」

「a-srv01:~# mkdir /dev/shm/....」

「a-srv01:~# cd /dev/shm/....」

「a-srv01:~# ./dev/shm/....#」
　多分SSHのポートフォワーディングである3333:localhost:3333とかの表示位があってその後，残念ながら見えないのですが一応「chmod +x」で何かに実行権限を与えている様子が見えます。THIRD-iのクライアントPCの「3rd i-DS」（i-DSはIDSとかけてる？）に検知が表示されます。ここで気付くのがIDSが見てるfw=10.1.1.1がファイアウォール，srv01が10.1.1.184ですね。ということで藤丸は何故か最初からTHIRD-iのファイアウォールである[fw]の中にいたという事です。本来なら多段SSHしたかったのだと思いますが。それにしても本部の秘密鍵を最初から持っているということですが，正規の接続でもIDSに引っかかるなんて役に立ちませんね（笑）
　あとになってやっと見えました

「srv01:/dev/shm/...# chmod +x x」

「srv01:/dev/shm/...# ./x /dev/shm/... /usr/sbin/sshd」
　/shm/... done
　self to /usr/sbin/sshd ...done
　「srv01:/dev/shm/...# locate bloody」
　「srv01:/dev/shm/...# locate .avi」
　「srv01:/dev/shm/...# find / -size」とかでファイルを探している様子が見えます。
　rmコマンドは一瞬あった気がしますが早すぎて見えませんでした（笑）
　一番最後，「メイン電源outだ！」と叫んでいるときに表示された「shroud」というコマンドはログファイルから自分の情報を削除する改ざんツールですね。前回ログファイルは改ざんしたのかという僕の突っ込みに答えてくれたのでしょうか（笑）
　MSNサーチで爆弾と検索した理由は考えない事にしておきます。
　

折原先生の教員室での画像処理

　動画ファイルの解像度にもよるのですが，あの動画ファイルのキャプチャからノイズ除去などを行ってもあんなにキレイにならないと思います。ある程度はキレイに出来ますが，見た目普通のフリーソフトっぽいものであんなに高速に画像処理できるのならば解像度は低い感じしますし…（笑）
　それと折原先生はごみ箱の設定を自分で変えていたみたいですね。ごみ箱に捨てた瞬間データはごみ箱に入らずに削除されました。これはごみ箱右クリックしてプロパティから設定変更できたはずです。（Windowsあんまり使ってないのでよく覚えてません。汗）

ビデオ店への侵入

　来ました！話題のトレンドのWPAクラック…なんですが店から結構離れてもビデオ映像を滞りなく転送できるなんてどんな強力な無線LANなんだと思いました（笑）
　WPAなんですが，「status」が bssid=00:11:50:6f:18:ec/ssid=VidMart-24/id=0/pairwise_cipher=NONE/group_cipher=NONE/key_mgmt=NONE
　ということで，SSIDは出してるし認証キーは空だし，ビデオ店の無線LANは穴だらけだったようです。ちなみに藤丸の使っているWPAクライアントは「wpa_cli v0.6.3」ですね。

折原先生の自宅で

　Windows起動したときにパスワードが分からず一旦リブートします。USB key bootでUSBからLinuxを起動させるみたいですね。パスワード解析するのかな〜と思ってましたが違ったようです。
　本来解析するなら「Ophcrack」のようなWindowsパスワード解析ツールをUSB bootのほうが現実味ありますね。ただHDDやファイルシステムによって暗号化されている場合は解析ツールも役に立たない事があります。
　ここではHDDの内容までは暗号化されていなかったようでUSBブートのLinuxからHDDをマウントして普通にファイルへアクセスできたようです。HDDマウントできて暗号化されていないのならパスワード解析より早いですね。
　結局「usb[mnt]# find -iname "*ブラッディマンデイ*"」で検索してブラッディマンデイディレクトリを/usbにコピーします。この時Linuxのはずなのにコピー画面はWindowsのものです。

　何も技術がいらないけど，電源管理の設定を変えてフタを閉じるのは使い慣れてる感じがして良いですよね（笑）

まとめ

　今回はやはり01話に比べると手抜きがありましたが，ログの改ざんやWPAなどのトレンドが見えて良かったと思います^^　でも前回よりコマンド画面が見えづらくなってました。警戒??（笑）
　こういう考察が出来るのは普通のドラマよりも大分頑張っているからこそ記事が書けるんですよね。適当なlsやdirだけで誤魔化してると突っ込みで来ませんから。今回も楽しかったです。

　最後までお読み頂きありがとうございました。