GmailをC&Cサーバーとして使える「GCAT」バックドア

『Security Affairs』

October 14, 2015 08:00
by 『Security Affairs』

「GCAT」は、GmailをC&Cサーバーとして使用し操作できる、攻撃者にとって多くの利点のあるフル機能バックドアだ。

バックドアの構築は、攻撃者が標的マシンを持続的に利用するための主目的の一つだ。バックドアを容易に作成することができるハッキングツールは沢山ある。これらのツールの多くは、プロのペネトレーションテスターが日常的に用いており、ターゲットに侵入するためのエクスプロイトの実行や、フルコントロールの維持などの試行をしている。

攻撃者はバックドアを構築することで、被害者の機器に接続してコマンドを送信・実行したり、ファイルを送信・操作したり、システムの管理設定にアクセスすることができる。

今回紹介する「GCAT」は、フル機能を装備するバックドアで、GmailをC&Cサーバーとして使用することでコントロールができる代物だ。つまり、攻撃者はGmailアカウントからリモートシステムに指示を送ることができる。

容易に想像できるように、この機能はとても重要である。なぜならば、トラフィック解析に基づく従来の検知メカニズムを回避してバックドアを隠し続ける手助けとなるからだ。Gmailからのトラフィックアカウントの場合、ネットワーク管理者の疑惑は決して生じないだろう。また、アラームを発生させることもないはずだ。更には、C&Cアーキテクチャーは常に起動していて接続可能ということになる。この事実は、ボットマスターには極めて重要だ。

GCATバックドアに関するコードはGitHubで入手可能だ。リポジトリには下記の2つのファイルが含まれている。

  • gcat.py:コマンドを列挙したり、ボットに送信するのに使用されるスクリプト
  • implant.py:バックドア本体

上記のファイルには、C&Cサーバーとして使用するGmailアカウントのユーザーネームやパスワードに設定すべき変数「gmail_user」と「gmail_pwd」も含まれている。

0001307-002

GCATによる攻撃を行うには、攻撃者は以下のステップに従う必要がある。

  • 専用のGmailアカウントを作成する
  • アカウントのセキュリティ設定の「安全性の低いアプリの許可」を有効にする
  • アカウント設定にてIMAPを有効にする

GCATは以下の活動を行うことができる。

  • システムコマンドの実行
  • クライアントのシステムからのファイルのダウンロード
  • クライアントのシステムへのファイルアップロード
  • クライアントに送り込んだシェルコードの実行
  • スクリーンショット撮影
  • クライアントのスクリーンロック
  • チェックインの強要
  • キーロガーの開始・停止

下記は、GCATについて役立つ動画だ。

 
翻訳:編集部
原文:How to use GCAT backdoor with Gmail as a C&C server
※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…