リダイレクト障害を確認する環境を準備する〜hostsを使用した攻撃〜 [セキュリティ研究室]



 ナビゲータのEVEです。

 現在、リダイレクト試験環境の準備をしながら、同時並行して開発の準備を進めているのですが、苦戦しています。理由は、多分仮想環境の ディスク容量不足 ・・・。多分というのは、ディスク容量をコマンドで確認しても、物理的に確認しても不足していないから・・・。ただ、容量を増やすとエラーが解消するので、多分ディスク容量不足だと思っています。リダイレクト試験とは関係ないのですが、優先順としてやはり開発環境の準備のほうが重要なので、そちらを優先しています。
 ハードディスク容量をし、開発環境を構築中です。リダイレクトの試験を開発環境を構築し終えてからと考えています。26.5GのDBエクスポートファイルの仮想サーバーへのアップロードとDBへのインポートは想像以上に時間を要しています。
 そんな近況ですが、昨日の話の続きをしましょう。

[hostsファイルの危険性]
 昨日、hostsファイルに書かれてドメインへのアクセスは、hostsに記述されている情報が優先されるという話をしました。その機能を利用する攻撃があります。
 インターネットを検索すると、分類としては ファーミング攻撃 に分類され、有名なウイルスとしては、「 Win32/Qhost 」が知られています。2005年にはじめて見つかり、直近では2015年に流行したという記録をインターネットから知ることができます。
 感染の方式は、ウイルス、マルウェア等を用いてhostsファイルを書き換えるという方式だと考えられます。
hostsを使った攻撃.jpg
 攻撃の流れを図解すると左記のような流れになります。

 まず、何らかの手口で、ハッカーは標的者のコンピュータにウイルスを感染させます。

?ウイルスはhostsの内容を変更します。
?標的者は、ブラウザのアドレスバーから http://www.ginkou.url/ と入力します。
?ブラウザは、DNSを見に行くことなく、 http://www.ginkou.url/ 、IPは、xxx.xxx.xxx.xxxにアクセスします。

以上の流れで、攻撃者は、標的者を攻撃者サイトに誘導することができます。誘導先サイトが、銀行関係のシステムで、正規のサイトと全く同じサイトのつくりになっているとします。標的者は気づかずにユーザーIDとパスワードを入力すると、 ユーザーIDとパスワードが盗まれてしまう という流れになります。
 この後のハッカーの行動としては、、正規のサイトにアクセスして、搾取したユーザーIDとパスワードを使って、標的者の口座からお金を盗み出します。
 以前と違い、近頃はhostsファイルを表示するのに管理者権限が必要など、表示することさえめんどくさいことになっているので、そう簡単にこの攻撃は成立しないとは思うのですが、気をつけることにこしたことはありません。ウイルス対策ソフトを導入する、定期的に点検するなどの対策をして下さい。

[hostsとlmhosts]
 hostsファイルと似たファイル名として、 lmhosts というファイル名を聞いたことがあると思います。これは、Windowsの設定ファイルの一つで、ネットワーク上のコンピュータのIPアドレスとNetBIOS名(コンピュータ名)の対応を記述したファイルです。「LM」はMS-DOS時代から使われてきたネットワークソフトの「LAN Manager」だそうです。
 こちらのファイルは今までに攻撃に使われたということは聞いたことがありませんので、気を付ける必要はないと思います。
 ファイルの場所は以下の2箇所で確認でき、本来の目的で利用するのは、C:\Windows\System32\drivers\etc\lmhosts.samになります。使用するときは、拡張子のsamはとり使用します。

C:\Windows\System32\drivers\etc\lmhosts.sam
C:\Windows\WinSxS\amd64_microsoft-windows-lmhsvc_31bf3856ad364e35_10.0.19041.1_none_08b1f5ea8fb3c15e\lmhosts.sam

[今後の予定]
 現在、26.5GのDBエクスポートデータを取り込んでいます。このインポートがうまくいけば、多分明後日には、httpからhttpsへのリダイレクト確認作業ができると思います。

 では、また!
検索
<< 2024年11月 >>
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
最新記事
タグクラウド
カテゴリーアーカイブ
ファン
最新コメント
プロフィール
ゼロから始めるシステム開発さんの画像
ゼロから始めるシステム開発
 こんにちは!ナビゲータのEVEです。各種研究室を用意し、次期EVEシステムを製造しようと日々頑張っています。現在一番力を入れているのが、資金調達です。このブログもその一環ですので、ご協力いただければ嬉しいです。

2023年01月27日

この記事へのコメント
コメントを書く

お名前:

メールアドレス:


ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバックURL
https://fanblogs.jp/tb/11836488
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
Mobilize your Site
スマートフォン版を閲覧 | PC版を閲覧
Share by: