お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

CNET Japan ブログ

「ブラッディ・マンデイ」を考察する(02)

2008/10/19 15:06
  • このエントリーをはてなブックマークに追加

プロフィール

石森 大貴

Webサービスやインフラ、セキュリティに触れながら気になる情報をお届けします。 ※旧「元現役高校生サーバー管理者の考察日誌」を改め、「isidaiの考察日誌」にしました。
ブログ管理

最近のエントリー

  みなさんこんにちは^^ 昨日は模試を受けたりと普通の高校生活を送っています!!

 前回の考察記事が好評で嬉しい限りです(涙)今回も考察できたのでご報告しますねvv

 

 THIRD-iへの侵入

 THIRD-iのサーバーからブラッディ・マンデイの動画データを削除するように迫られ侵入します。最初に映ったコマンドは「fw:~# ssh -i .ssh/id_secure 10.1.1.184」で一度自分のサーバーに入ります。「falcon@ws2 # ssh -v -p 31337 root@fw.3e-sol.jp」(3e-sol.jpは実在しないドメインでした)

 何故かBackOrificeのポートから侵入します。まぁ絶対BackOrificeという訳ではないのですが^^;SSHの表示が「OpenSSH_5.1p1 Debian-2, OpenSSL 0.9.8g 19 Oct 2....」なのも若干謎です。

 次に映る画面がまた「fw:~# ssh -i .ssh/id_secure 10.1.1.184」からなのですが,

「a-srv01:~# HISTFILE=/dev/null」

「a-srv01:~# mkdir /dev/shm/....」

「a-srv01:~# cd /dev/shm/....」

「a-srv01:~# ./dev/shm/....#」
 多分SSHのポートフォワーディングである3333:localhost:3333とかの表示位があってその後,残念ながら見えないのですが一応「chmod +x」で何かに実行権限を与えている様子が見えます。THIRD-iのクライアントPCの「3rd i-DS」(i-DSはIDSとかけてる?)に検知が表示されます。ここで気付くのがIDSが見てるfw=10.1.1.1がファイアウォール,srv01が10.1.1.184ですね。ということで藤丸は何故か最初からTHIRD-iのファイアウォールである[fw]の中にいたという事です。本来なら多段SSHしたかったのだと思いますが。それにしても本部の秘密鍵を最初から持っているということですが,正規の接続でもIDSに引っかかるなんて役に立ちませんね(笑)
 あとになってやっと見えました

「srv01:/dev/shm/...# chmod +x x」

「srv01:/dev/shm/...# ./x /dev/shm/... /usr/sbin/sshd」
 /shm/... done
 self to /usr/sbin/sshd ...done
 「srv01:/dev/shm/...# locate bloody」
 「srv01:/dev/shm/...# locate .avi」
 「srv01:/dev/shm/...# find / -size」とかでファイルを探している様子が見えます。
 rmコマンドは一瞬あった気がしますが早すぎて見えませんでした(笑)
 一番最後,「メイン電源outだ!」と叫んでいるときに表示された「shroud」というコマンドはログファイルから自分の情報を削除する改ざんツールですね。前回ログファイルは改ざんしたのかという僕の突っ込みに答えてくれたのでしょうか(笑)
 MSNサーチで爆弾と検索した理由は考えない事にしておきます。
 

折原先生の教員室での画像処理

 動画ファイルの解像度にもよるのですが,あの動画ファイルのキャプチャからノイズ除去などを行ってもあんなにキレイにならないと思います。ある程度はキレイに出来ますが,見た目普通のフリーソフトっぽいものであんなに高速に画像処理できるのならば解像度は低い感じしますし…(笑)
 それと折原先生はごみ箱の設定を自分で変えていたみたいですね。ごみ箱に捨てた瞬間データはごみ箱に入らずに削除されました。これはごみ箱右クリックしてプロパティから設定変更できたはずです。(Windowsあんまり使ってないのでよく覚えてません。汗)

ビデオ店への侵入

 来ました!話題のトレンドのWPAクラック…なんですが店から結構離れてもビデオ映像を滞りなく転送できるなんてどんな強力な無線LANなんだと思いました(笑)
 WPAなんですが,「status」が bssid=00:11:50:6f:18:ec/ssid=VidMart-24/id=0/pairwise_cipher=NONE/group_cipher=NONE/key_mgmt=NONE
 ということで,SSIDは出してるし認証キーは空だし,ビデオ店の無線LANは穴だらけだったようです。ちなみに藤丸の使っているWPAクライアントは「wpa_cli v0.6.3」ですね。

折原先生の自宅で

 Windows起動したときにパスワードが分からず一旦リブートします。USB key bootでUSBからLinuxを起動させるみたいですね。パスワード解析するのかな〜と思ってましたが違ったようです。
 本来解析するなら「Ophcrack」のようなWindowsパスワード解析ツールをUSB bootのほうが現実味ありますね。ただHDDやファイルシステムによって暗号化されている場合は解析ツールも役に立たない事があります。
 ここではHDDの内容までは暗号化されていなかったようでUSBブートのLinuxからHDDをマウントして普通にファイルへアクセスできたようです。HDDマウントできて暗号化されていないのならパスワード解析より早いですね。
 結局「usb[mnt]# find -iname "*ブラッディマンデイ*"」で検索してブラッディマンデイディレクトリを/usbにコピーします。この時Linuxのはずなのにコピー画面はWindowsのものです。

 何も技術がいらないけど,電源管理の設定を変えてフタを閉じるのは使い慣れてる感じがして良いですよね(笑)

まとめ

 今回はやはり01話に比べると手抜きがありましたが,ログの改ざんやWPAなどのトレンドが見えて良かったと思います^^ でも前回よりコマンド画面が見えづらくなってました。警戒??(笑)
 こういう考察が出来るのは普通のドラマよりも大分頑張っているからこそ記事が書けるんですよね。適当なlsやdirだけで誤魔化してると突っ込みで来ませんから。今回も楽しかったです。

 最後までお読み頂きありがとうございました。

※このエントリは CNET Japan ブロガーにより投稿されたものです。朝日インタラクティブ および CNET Japan 編集部の見解・意向を示すものではありません。
運営事務局に問題を報告

最新ブログエントリー