GmailをC&Cサーバーとして使える「GCAT」バックドア

October 14, 2015 08:00
by 『Security Affairs』

「GCAT」は、GmailをC&Cサーバーとして使用し操作できる、攻撃者にとって多くの利点のあるフル機能バックドアだ。

バックドアの構築は、攻撃者が標的マシンを持続的に利用するための主目的の一つだ。バックドアを容易に作成することができるハッキングツールは沢山ある。これらのツールの多くは、プロのペネトレーションテスターが日常的に用いており、ターゲットに侵入するためのエクスプロイトの実行や、フルコントロールの維持などの試行をしている。

攻撃者はバックドアを構築することで、被害者の機器に接続してコマンドを送信・実行したり、ファイルを送信・操作したり、システムの管理設定にアクセスすることができる。

今回紹介する「GCAT」は、フル機能を装備するバックドアで、GmailをC&Cサーバーとして使用することでコントロールができる代物だ。つまり、攻撃者はGmailアカウントからリモートシステムに指示を送ることができる。

容易に想像できるように、この機能はとても重要である。なぜならば、トラフィック解析に基づく従来の検知メカニズムを回避してバックドアを隠し続ける手助けとなるからだ。Gmailからのトラフィックアカウントの場合、ネットワーク管理者の疑惑は決して生じないだろう。また、アラームを発生させることもないはずだ。更には、C&Cアーキテクチャーは常に起動していて接続可能ということになる。この事実は、ボットマスターには極めて重要だ。

GCATバックドアに関するコードはGitHubで入手可能だ。リポジトリには下記の2つのファイルが含まれている。

• gcat.py：コマンドを列挙したり、ボットに送信するのに使用されるスクリプト
• implant.py：バックドア本体

上記のファイルには、C&Cサーバーとして使用するGmailアカウントのユーザーネームやパスワードに設定すべき変数「gmail_user」と「gmail_pwd」も含まれている。

GCATによる攻撃を行うには、攻撃者は以下のステップに従う必要がある。

• 専用のGmailアカウントを作成する
• アカウントのセキュリティ設定の「安全性の低いアプリの許可」を有効にする
• アカウント設定にてIMAPを有効にする

GCATは以下の活動を行うことができる。

• システムコマンドの実行
• クライアントのシステムからのファイルのダウンロード
• クライアントのシステムへのファイルアップロード
• クライアントに送り込んだシェルコードの実行
• スクリーンショット撮影
• クライアントのスクリーンロック
• チェックインの強要
• キーロガーの開始・停止

下記は、GCATについて役立つ動画だ。

　
翻訳：編集部
原文：How to use GCAT backdoor with Gmail as a C&C server
※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです