HOME»情報処理安全確保支援士掲示板»平成30年午後2問2設問3(2)
投稿する

平成30年午後2問2設問3(2) [1345]

 aaaさん(No.1) 
過去のスレットで同じ問題を扱っていたのでみたのですがわかりませんでした。
https://www.sc-siken.com/bbs/1113.html

IPAの公式の回答が「C2サーバへのコマンド要求又は応答」となっています。
要求というのは図6の8を指していて、侵入に成功したので、何かコマンドを要求したのかと解釈しました。
しかしながら、応答に関しては、理解ができないです。
HTTTPリクエストなのに「応答」と思ってしまいます。

HTTPレスポンスこそ応答なのではと考えてしまいます。
C2サーバーからコマンドの受信をして「200 OK」のような指示されたコマンドの応答が返ると思っています。

C2サーバー側から見てHTTPリクエストでコマンドを送信。
HTTPレスポンスでコマンドの応答が返ってくる?
よくわからないまま、もやもやしてしまっています。
2024.02.12 05:28
pixさん(No.2) 
SC ダイヤモンドマイスター
質問は「平成30年【秋】午後2問2設問3(2)」でよろしかったでしょうか。
スレ主様はサービスについての認識が曖昧なようです。
ここで語られているサービスは、2つの異なる次元を理解する必要があります。

サービスについての定義は決まったものがありませんので、ここで仮に
・ネットワークサービス(通信のサービス)
    通信・データ構造についてのプロトコルを規定(OSI 7階層)
    プロトコルに沿ったデータを送受信する
    例えるなら郵便局員のようなもの
・ユーザーサービス(利用者のためのサービス)
    ネットワークを利用して、意味ある情報を送受信する
    例えるなら仲間同士(C&Cサーバとマルウェア)の秘密のやり取りなど

HTTPリクエストやHTTPレスポンスは郵便局員が手紙を配達に行ったり、
配達が終わって戻ったりするようなものです。

C&CサーバはHTTPリクエストやHTTPレスポンスを手紙のように利用し、
マルウェアとやり取りします。

郵便局員から見れば、HTTPリクエストやHTTPレスポンスは要求と応答という
1セットの業務です。
しかし、C&Cサーバとマルウェアにとっては手紙の内容自体が要求か応答と
いうものです。

まとめると
ネットワークサービスを利用し、その上に別の次元としてユーザーサービスが
存在している。
解答の「C&Cサーバへのコマンド要求又は応答」とはユーザーサービスの
次元での要求と応答を意味している。
となります。
2024.02.12 07:53
 aaaさん(No.3) 
pixさんありがとうございます。
具体的にはどのようなやりとりをするのでしょうか?
具体的なイメージがわかないのですが、教えていただけないでしょうか。

c2サーバー側からみてhttpリクエストでコマンドを送付
今度は、攻撃される側のpcからhttpリクエストでコマンドを応答
2024.02.12 19:16
pixさん(No.4) 
SC ダイヤモンドマイスター
この投稿は投稿者により削除されました。(2024.02.12 19:50)
2024.02.12 19:50
pixさん(No.5) 
SC ダイヤモンドマイスター
具体的にどんな通信を行ったかは本部中から読み取れないので、こうではないかと
いう私の推測を答えます。

・HTTPリクエストの場合
マルウェアからC&Cサーバへなんらかの情報を渡すには
  ・URLパラメータ
  ・HTTPリクエストヘッダ
  のどちらかが使われると思われる
  P19 図6のアクセスログにはURLパラメータは記載れていないので、
  HTTPリクエストヘッダで情報を渡したと想定される。
  その際のHTTPリクエストヘッダは
  MalToCaC: Request (C&Cサーバへ要求指示)
  MalToCaC: Response xxx xxx(C&Cサーバへ応答、xxxはC&Cサーバへ送りたい情報)
  などである。
  HTTPリクエストはWAFなどでサイズ制限されるかもしれないので、大量の情報を
  送ることはできないと想定される。

・HTTPレスポンスの場合
C&Cサーバからマルウェアへなんらかの情報を渡すには
  ・HTTPレスポンスヘッダ
  ・HTTPレスポンスボディ
  P19 図6のアクセスログにレスポンスメッセージのサイズが書かれており、
  サイズが小さいものと大きいものがある。
  サイズが小さいものは
  HTTPレスポンスヘッダで
  CaCToMal: Attack(C&Cサーバから攻撃開始コマンド受信)
  CaCToMal: Wait(C&Cサーバから待機開始コマンド受信)
  などが考えられる。
  サイズが大きいものは
  HTTPレスポンスボディ内に攻撃用スクリプトが含まれており、それを受信
  するような動作が考えられる。
2024.02.12 19:52
 aaaさん(No.6) 
pixさんありがとうございます。
具体例をあげてくれたおかげでhttpプロトコルの理解が深まりました。
2024.02.12 22:02
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop