karubabuの日記

タイトルに解決と書いているものがあるけれど、別に付いていない物は解決していないというわけではないです。つまるところ記事を書いた後に解決してちょっと嬉しかったので付けました。

8月~9月のmikocon.comフォーラムへの侵害を調べた

趣味で割れフォーラムやハックファーラムを覗いたりしているものだ(WNPNMN)
その時に見付けた中国系割れフォーラムであるMikocon.comの話
こんなこと全然やったことがないので、"よく分かりませんでした。いかがでしたか?"になるだろうし、
間違っている部分も出ると思うので、そーゆーところは教えてくれー!

https://www.mikocon.com/thread-47863-1-1.html

何が起きたとされているのか

見出しの通り、本当に何が起きたのかは上記のスレッドに全て書いているわけではない。
というのも、フォーラム管理者が侵害によって設置されたスクリプトの中身を判断せずに消去したため。

上記の記事の雑な要約

8月20日に管理スタッフのアカウントが侵害される、これは管理スタッフの弱いパスワードが原因と考えている。
同日、悪意のあるスクリプト("0x."から始まるサイト)をフッターに設置される。

9月14日、このスレッドを立てたアドミンの一人が侵害に気が付き、悪意のあるスクリプトを撤去する。
しかし、スクリプトが何をしていたのかは把握していない。

よって定かではないが、8月20日~9月14日にログインしたユーザーはパスワードを侵害された可能性がある。
mikocon.com自体から何かが盗まれた等はない。(mikocon.com自体には何も置かれていないため)

このスレッドを立てたフォーラム管理者は、mikocon.comで常にNoscriptアドオンを使用している。
よって、私(このスレッドを書いたフォーラム管理者)に対してスクリプトが動いたとは思えない。

スクリプトは一体何をやっていたのか

確認されずにフォーラムから削除された悪意のあるスクリプトが何をやっていたのか調べた。
archive.orgに侵害された期間に保存されたデータがある。
https://web.archive.org/web/20200911041156/https://www.mikocon.com/forum.php
その中には、"0x."から始まるスクリプトが確かに存在している。
https://0x[.]ax/YbAQ
0x[.]axはxss[.]ptへのエイリアスで、これはXSSプラットフォーム。

スクリプトは以下の通りにログイン情報やDB情報をaj2e[.]tkへ送信していた。

  • ログインしているのなら、ログアウトし、このスクリプトによって一度ログアウトした事を確認するcookieを追加する
  • ログインボタンをクリックしたタイミングで、入力されているユーザー名とパスワードを外部のサーバーへ送信する
  • エンターキーを押したタイミングで、入力されているユーザー名とパスワードを外部のサーバーへ送信する
  • メンバー専用画面(member.php)でログインした場合は、ユーザー名・パスワード・秘密の質問そして秘密の質問の答えを外部のサーバーへ送信する
    * ログインしているユーザーがフォーラム管理者(discuz_uid == 1)なら、admin管理画面からDBのインポートリクエストを行い、結果を外部のサーバーへ送信する
  • ログインしているユーザーがフォーラム管理者(discuz_uid == 1)なら、./admin.php?action=db&operation=importのページhtmlを外部のサーバへ送信する

所感

DBのインポートリクエストは、ぱっと見た感じだと何をするためなのか分からなかった。

  • エクスポートなら分かるのだけれど、インポートとは何が目的なんだろう…
  • インポートのfetchリクエストのbodyがnullなので、無をインポートしてDBを削除する目的の可能性はある えあいさんが調べてくれました。 ありがてー!

フォーラム管理者の"パスワードが漏れた"という発想は間違っていなかったが、実際には、ユーザーの秘密の質問やその答えも漏れている。
cookieを確認することでユーザーは自身が侵害されたかどうかを確認する方法が一応ある。

  • cookie一覧にdiscuz_01というクッキーで、"3.2"という値が格納されていれば高い確率で侵害されている
  • このクッキーがあっても、その後にログインしていなければ問題はない

xssプラットフォームが使われていたけれど、実際XSSが原因なのかは分からなかった。

  • スレッドを読む限りだと、分からない部分には"多分"や"可能性がある"と言っていて、そうでない部分は言い切っているので、管理スタッフのパスワードが弱くて破られたのは本当そうではある

これ以上調べると長くなりそうなので例のヤツを唱えて終わりにしましょう!
調べてみた所、割れプラットフォームは侵害後の対応もそれなりに雑ということが分かりました!
いかがでしたか?良い子の皆は割れを…しないようにしようね!

追記

passivetotalでaj2e.tkを調べた。
f:id:karubabu:20210119065136p:plain
侵害が起きる前である、8月20日前までこのドメインが使われていた形跡がある。 この52.229.135.210について調べると、advtekgroup.com.twというドメインが、侵害がフォーラム管理者に発見されて10日経った程度の頃にこのIPaddrで使われるようになっている。
f:id:karubabu:20210119065419p:plain

f:id:karubabu:20210119065839p:plain
advtekgroup.com.twの検索結果

さらに、advtekgroup.com.twのその後のIPaddrである158.247.200.199は、i.9bie.orgと一致する。これは先程の検索結果に出てきていた人のブログ。

f:id:karubabu:20210119070156p:plain
advtekgroup.com.twと同じip addrだったことのあるドメイン

teregramにアカウントを持つ@bakabieさんは、ブログによればinfosecにかなり造詣を持ち、RATの開発も行なっているようだ。