6章攻撃者はどのように被害を拡大するか

2章から5章まで、どのように脆弱性を発見するか、どのように脆弱性を攻撃するかについて解説をしてきました。しかし、これだけは不十分です。攻撃者にとっては、標的組織内の端末へアクセスできるようになってからが本番です。最終目的を達成するために、攻撃者はさらなる被害の拡大を試みます。攻撃者が初期の攻撃を成功させた後に被害を拡大させるために取る行動をひとまとめにして、Post-Exploitationと呼びます。

本章ではPost-ExploitationについてLinuxを舞台に具体的なシチュエーションとともに紹介します。1章でもUnified Kill Chainに照らし合わせながら、Post-Exploitationに相当する行動の概要を、5章では、Metasploitの機能の中で、Post-Exploitationに役立つものを紹介しましたが、ここでは、より具体的にコードやコマンドの例も含めて解説します。Post-Exploitationの理解を深めておくことで、脆弱性の影響度を正確に判断できるようになります。これによって、開発者はスムーズに脆弱性対応の優先順位付けをできるようになり、ペンテスターはより深く検証を行えます。

6.1　どのようにして端末内で被害を拡大させるか

攻撃者が初期の攻撃を成功させた後、どのようにして端末内で被害を拡大させるかを解説します。「1.2　サイバー攻撃はどのように進行するのか」で解説した内容と重複するところもありますが、ここでは具体的なコードやコマンドの例を交えて解説します。

6.1.1　ファイル読み込みを成功させた後、攻撃者はどうするか

何らかのアプリケーションの脆弱性を利用して、端末内のファイルの読み込みだけができるようになった場合、攻撃者はどうするでしょうか。ファイル読み込みを成功させただけでは、書き込みもできる場合、RCEを成功させた場合と比べるとできることは限られます。しかし、端末内には多数の重要な情報が記載されたファイルが存在します。これらのファイルを読み込むことで、攻撃者はさらなる攻撃を行うための情報を得ることができます。Unified ...