Colasoft Capsaでバックドアを検出する

バックドアとは

コンピュータシステム（暗号システムまたはアルゴリズム）でのバックドアは、通常の認証をバイパスし、コンピュータへのリモートアクセスを確保し、プレーンテキストへのアクセスを取得するなどの方法です。バックドアは検出を避けるために、インストールされたプログラムの形態をとるか、既存のプログラムまたはハードウェアデバイスの更新に偽装します。バックドアはコンピュータに隠れ、既存ループホールをスキャンし、該当するポートを開くだけではなく、システムレジストリファイルも変更します。

バックドアは自身を複製または積極的に拡散することはしません。特定のポートだけを開くことにより、ネットワーク上のリモートコンピュータは感染されたコンピュータをコントロールできます。通常の場合、バックドアはネットワークの正常通信に影響を与えないので、ファイアウォールまたはIDSはその存在を検出することが難しいです。

バックドアに感染されているかをチェック

統計によると、大部分のバックドアはポートの31337, 31335, 27444, 27665, 20034, 9704, 6063, 5999, 5910, 5432, 2049, 1433, 444, および 137-139の下で動作します。したがって、ネットワークに前述のポートを通す通信があるかどうかにより、ネットワークはバックドアに感染されているかどうか判断できます。

注：バックドアの発展が非常に速いので、全てのポートをしているわけではありません。もし別のポートを見つければ、それらをモニタリングリストに追加すればいいです。

Colasoft Capsaでそれらのポートを監視することにより、ネットワークでバックドアに感染しているホストがあるかどうかをチェックしてみましょう。

Step1.解析プロファイルをダブルクリックし、キャプチャーフィルタータブに移動して、追加ボタンをクリックします。

Step2.上級フィルターでポートルールを追加し、「31337,31335,27444,27665,20034,9704」のように複数のポートを入力します。

図１：バックドアフィルター条件

Step3.OKをクリックして、キャプチャーフェイルタータブに戻ります。下図のようにフィルターリストで「backdoor」を受け入れます。

図２：フィルターを有効にする

Step4.OKをクリックして、スタートボタンをクリックすることで、プロジェクトを開始します。何かパケットがColasoft Capsaでキャプチャされたことがあれば、ネットワークはバックドアに感染される恐れがあることを表します。

Step5.パケットの送信元と送信先をチェックして、詳細な解析を行い、感染されているホストを隔離して、ネットワークのセキュリティを確保します。