サイバーセキュリティを高めながら心の病気を治し中のブログ

私が発見したサイバーセキュリティに関する情報を報告するブログで、心の病気を治そうとしている情報を公開するブログです

どこがどうなると犯人の犯行だとわかるのか? の件 Facebook未公開記事

ネットワークアナライザーでWi-Fiをスキャン。

ルーターがリストに表示。

 

そのルーターの機能が仕様通りではない場合は、犯人の端末、とわかる。

 

犯人の端末がリストに現れるという意味は、

盗聴プログラムがスマホにインストールされていることを表す。

 

盗聴プログラムは犯人の端末のKaliOSに接続している。

 

犯人の端末はルーターIPアドレスだった場合は、犯人の端末のIPアドレスが被害者のルーターマッピングされていることを表す。

 

盗聴プログラムはDNSを書き換える。

犯人の端末には被害者のスマホにインストールされたウイルスが接続してきた時に、犯人の端末にはある設定ファイルの設定通りに被害者のルーターIPアドレスを犯人の端末のIPアドレスマッピングさせる。

 

ここまででスマホが接続する先は犯人の

端末にされてしまうことになる。

 

そこで、ブロックが効果を上げるようにしておけば、犯人の犯行は簡単に防ぐことになる。

 

ブロックが犯人をブロックするように設定するには、犯人の端末で動いているクラウドflareのサーバーアプリケーションが表す偽のウェブサイトをブロックすることである。

 

犯人の端末にはApacheTomcatがウェブサーバーとして起動している。このウェブサーバーが犯人の端末で動いている偽ウェブサイトとなる。

 

このサーバーにアクセスする被害者のスマホにインストールされたウイルスは、ログイン処理をするようになっているらしい。

 

コレが不正なログイン通信。コレはソフォスのアプリのログでわかる。不正なログイン通信があると、アクセスしてもいないウェブサイトへのリクエストも記録されており、私の場合は、ほとんどがエラーになっている。

 

では、まだウイルスによるログインが成功しているウェブサイト、つまり、犯人の端末のTomcatは何か? ソレはブロック可能か? ということになる筈だ。

 

ログインが成功している不審な通信を洗い出すと、そのウェブサイト、つまり、犯人の端末で動くTomcatがどのIPアドレスなのか? が判明する。

 

そこで、スマホの広告ブロック機能ですべての不審な通信をブロック。

 

すると、ウイルスによる不審な通信はブロックされる。

 

次に、犯人は接続失敗を知ることになる。レスポンスが返ってこないからである。ウイルスによるレスポンスが、である。

 

すると、切断せざるを得なくなるのである。ここで、被害者の勝利確定。

 

被害者の勝利により、ブロック効果を認識したら、次は、犯人の端末の特定。ここまでいくには、PGのパケットキャプチャが一番使いやすい。だが、スマホにもパケットキャプチャアプリはある。

 

犯人の端末に接続させられたタイミングで、パケットキャプチャすると、犯人の端末への不審な通信の内容が判明する。

そうでない場合は、自分の通信のパケットがキャプチャされることになる。

 

私は、DNSハイジャック機能を用いて、コレにチャレンジ中である。

成功すると、パケットのヘッダーの中身がわかる。パケットのヘッダーには犯人の端末のIPアドレスが書いてある。

このIPアドレスは犯人の端末そのもののIPアドレスなので、まずはネットにそのIPアドレスを晒し上げる。次にパケットの中身をログ代わりにネットに晒す。

 

被害者のWi-Fi電波の届く範囲内に犯人がいて、共犯は離れたところにいる。

 

こういうことで、、見るべきところと意味については終わり。