読者です 読者をやめる 読者になる 読者になる

Colasoft Capsaでバックドアを検出

バックドアとは

コンピュータシステム(暗号システムまたはアルゴリズム)でのバックドアは、通常の認証をバイパスし、コンピュータへのリモートアクセスを確保し、プレーンテキストへのアクセスを取得するなどの方法です。バックドアは検出を避けるために、インストールされたプログラムの形をとるか、既存のプログラムまたはハードウェアデバイスの更新に偽装します。バックドアはコンピュータに隠れ、既存ループホールをスキャンし、該当するポートを開くだけではなく、システムレジストリファイルも変更します。

バックドアは自身を複製または拡散することはしません。特定のポートを開くことにより、ネットワーク上のリモートコンピュータは感染されたコンピュータをコントロールできます。通常の場合、バックドアはネットワークの正常通信に影響を与えないので、ファイアウォールまたはIDSはその存在を検出することが難しいです。

バックドアに感染されているかをチェック

統計によると、大部分のバックドアはポートの31337, 31335, 27444, 27665, 20034, 9704, 6063, 5999, 5910, 5432, 2049, 1433, 444, および 137-139の下で動作します。したがって、ネットワークに前述のポートを通す通信があるかどうかにより、ネットワークはバックドアに感染されているかどうかを判断できます。

バックドアの発展が非常に速いので、全てのポートをリストしているわけではありません。もし別のポートを見つければ、それをモニタリングリストに追加すればいいです。

Colasoft Capsaでそれらのポートを監視することにより、ネットワークでバックドアに感染しているホストがあるかどうかをチェックしてみましょう。

まず解析プロファイルをダブルクリックし、キャプチャーフィルタータブに移動して、追加ボタンをクリックします。

detect-backdoor-with-colasoft-capsa-1.png

そして上級フィルターでポートルールを追加し、「31337,31335,27444,27665,20034,9704」のように複数のポートを入力します。

detect-backdoor-with-colasoft-capsa-2.png

OKをクリックして、キャプチャーフェイルタータブに戻ります。フィルターリストで「backdoor」を受け入れます。

detect-backdoor-with-colasoft-capsa-3.png

OKをクリックして、スタートボタンをクリックすることで、プロジェクトを開始します。何かパケットがColasoft Capsaでキャプチャされたことがあれば、ネットワークはバックドアに感染される恐れがあることを表します。

パケットの送信元と宛先をチェックして、詳細な解析を行い、感染されているホストを隔離して、ネットワークのセキュリティを確保します。

Colasoft Capsaお試し版ダウンロードアドレス:http://www.colasoft.com/jp/download/download-capsa-ent.php