ブラッディマンディ 1 「東京電力クラッキング」

/ .trash / Comment[0]


時計を見て時間を確認して、PCを開きfalcon_stuff.pyを編集します。
classでssl,mail,dv,vpn,hight_riskのポートを定義しています。
ポートを定義しただけでfalcon_stuff.pyを保存します。

別ウインドウでポートスキャンします。
25,80の二つ以外はファイアウォールなどでパケットフィルタリングがかかっていることが分かります。

次にfalcon_stuff.pyを編集した元ウインドウでmailto.pyを編集します。
connectedとプリントするように書き足しただけしか映っていません。

別ウインドウで
# ./mailto.py mail.t-power.co.jp root/localhost~ admin@t-power.co.jp
mail.t-power.co.jpのadmin@t-power.co.jp、つまり東京電力の管理室へメールを送ります。
実際、管理室とネットワークは繋がっていないことは言うまでも無いでしょう。
添付したプログラムがバックドアを開き、レジストリを解析しているようです。
次に、ホームフォルダを解析します。

system directoryへ侵入し、管理者パスワードが書かれているレジストリを見つけます。
HKLM\Software\Remocon\LoginPassword:
6f 60 72 72 76 6e 71 63
重要なパスワードが分かりやすいところに平文で書かれているんですね。
これは16進数のようです。ちなみに10進数に直すと「8025540371913011555」になります。

mail mhl@66632.com pwrst4_71961108.mjpg
何かmjpgの動画を添付してるようですね。何の意味があるのでしょうか。
subjectをpower passで
messageに先ほどのパスワードを貼って送ります。
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可