VNCまたハックされた!?

  • 投稿日:
  • by
  • カテゴリ:

脆弱性修正されたはずの4.1.2を使っていたのに、14:10頃「Fen」を開いたらこんな状態に。

また侵入…

この映像は異常に気付いてLANケーブル抜いてログチェックしたりNAV走らせたりした後のものなので、実際は「タスクバーと[スタート]メニューのプロパティ」、「Windows タスク マネージャ」、それと画面では見えていないが「日付と時刻のプロパティ」(NAVウィンドウの中間左あたりに少しだけ見えているのがそれ)が出ていた。
さらに、タスクバーの固定が解除され、メニューがおかしくなっていた(右クリックなどで出るメニューが、マウスカーソルをドラッグしないと見えなくなる現象。これは侵入されなくても時々起こる)。

慌ててネットで情報を探るが、脆弱性情報が見つからない。もしかしてゼロデイアタック(対策されるまえに脆弱性を利用した攻撃が起こる)か?いや、むしろ脆弱性の発見すらされてないということは、マイナスワンデイアタック!?

ちなみに、ログを見ると、4.1.1以前を狙ったと思われる大量のアタックが見つかったが、それらの大半はどれも「Requested security type not available」として蹴られていた。
しかし、該当する侵入と思われた最新の2件は「Clean disconnection」になっていて、その少し前の何件かは「Requested~available」だったので、最近になって発見された脆弱性を利用したのかと思ったが、なんとさかのぼっていくと「Clean~」や、「Idle timeout」などがごろごろ出てくる。ログに残っていた最も古いもので8/9である。

しかし、実は「Clean disconnection」=「侵入成功」というわけではないことが分かった。実験の結果
パスワード画面でキャンセル→「Clean disconnection」
パスワードを間違える→「Authentication failure」→何度もやってると「blacklisted」(しばらく経つと消える?)
接続成功後切断→「Clean disconnection」

となる事が分かった。つまり、「Requested~」のやつは例の脆弱性を狙ったやつで、「Clean~」のやつは成功orパスワード無し狙いということらしい。

そうなると、侵入の可能性のあるのは直近2件の「Clean~」の接続ということになるが、新しいほうの切断時刻よりも後に私はPCを使っているのである。どうやら時刻設定画面を出していたのは、切断時刻をごまかすため(パスワード無し狙いが諦めたのと区別がつかなくなる)だったのかもしれない。

だが、私の使っているNTPクライアントは60分以上時刻差があると確認画面を出すはずなので、19:54に切断されたことになっているということは、遅くても20:54までにハック、切断が行われている必要がある。
しかし、そのような画面は出ていないし、私は9/10 4:20頃にPCを使っている…。

も、もしかしてハックの犯人は自分かー(夢遊病とか)!?
真相は闇に包まれたままである。何か分かり次第追って報告する…かもしれない。