トロイの木馬が攻撃者にルーターの背後にあるリモートコンピュータへの接続を許可する方法
Wikipediaに関するこの記事 によると、トロイの木馬は、ファイアウォールを迂回できる場合、ランダムなポートを開いてリモート接続を許可することができます。私はルーターやネットワークアドレス変換の専門家ではありませんが、トロイの木馬がファイアウォールを介して接続を開く場合、別のネットワーク上にいるトロイの木馬の所有者にこれをどのように許可しますか被害者のコンピュータのIPはプライベートであり、接続できないため、被害者のコンピュータに接続します。
シナリオ例トロイの木馬が実行されると、被害者のコンピュータでランダムなポート1234を開き、ファイアウォールをバイパスすると想定します。攻撃者はどのようにして被害者のコンピュータにリモートで接続できますか?.
被害者のコンピュータにはプライベートIP 192.168.1.147とパブリックIP 10.1.1.44があり、攻撃者にはプライベートIP 192.168.0.119とパブリックIP 10.2.1.54があります。2台のコンピュータはどのようにして相互に通信しますか?
被害者のコンピュータのポート1234にリスナーがあり、攻撃者がポート1234に接続して被害者のIPを取得するコネクタを持っていると想定します。攻撃者はどのIPを使用しますか?パブリックIPですか、プライベートIPですか?
攻撃者は被害者のコンピュータに接続せず、被害者のコンピュータは攻撃者に接続します。接続内のデータは双方向に流れる可能性があり、最初に誰が接続を開始するかは関係ありません。接続が確立されると、攻撃者は犠牲PCでコマンドを実行することができます。攻撃者は、通常許可されている既知のWebプロトコルを使用します。
仕組みは次のとおりです。
- 攻撃者はサーバーのサーバーを侵害してコマンドアンドコントロール(C&C)システムをセットアップします
- トロイの木馬は、C&Cシステムに接続するようにカスタマイズされています
- トロイの木馬が配布され(スパムメール、ダウンロードによるドライブなど)、感染したシステムが感染している
- 感染したシステムはC&Cシステムへの接続を開始します
- 攻撃者は、被害者の接続を介して被害者にコマンド、更新などを送信します
- 次に、被害者のコンピュータはマルウェアコマンドを実行します(スパムの送信、身元またはクレジットカード情報のスキャン、会社の秘密の検索など)
- 被害者のコンピュータはレポートとデータを攻撃者に送り返します
サーバーポートを開くトロイの木馬は1つですが、リモートの攻撃者にアクセスを許可する唯一の方法ではありません。
別の方法は、トロイの木馬に接続自体を開始させることです。トロイの木馬は、アクティブになると、攻撃者の制御下にあるコマンドアンドコントロールサーバーへの接続を開き、自身とそれが実行されているマシンを識別するための情報を送信し、実行するコマンドを要求します。ルーターは通常、発信接続をブロックしないため、これを防ぐことはできません。
被害者のコンピュータにはプライベートIP 192.168.1.147とパブリックIP 10.1.1.44があり、攻撃者にはプライベートIP 192.168.0.119とパブリックIP 10.2.1.54があります。2台のコンピュータはどのようにして互いに通信しますか?
被害者のコンピュータのポート1234にリスナーがあり、攻撃者がポート1234に接続して被害者のIPを取得するコネクタを持っていると想定します。 攻撃者はどのIPを使用しますか? パブリックIPですか、プライベートIPですか?
これは、NATとも呼ばれるネットワークアドレス変換によって実現されます。
ルーターは、どのIPがどのポートで通信しているかを追跡し、それに応じて変換します。
攻撃者はあなたのパブリックIPに接続し、ルーターはそれを順番に「マップ」またはNAT=正しいポートの内部IPにマップします。
以下は、NATの詳細を説明するのに役立ちます: https://www.youtube.com/watch?v=QBqPzHEDzvo