1月 29

8080(Gumblar)はFFFTPも狙うのだそうです。

仕事始めから間も無くして世間を騒がせている。そんな、Gumblar(便宜上こう呼びます)。
情報が出尽くしてきた感もあったのですが
ここにきてFFFTPは危ないよーという話題がでてきているようです。
危ないと言われている理由は
「暗号化されたパスワードがシステム内に保存されてしまっている。」
ということだそうです。

日本中が、少しずつ出てくる情報に振り回されている感が満載なので
ボクも振り回されてみることにしました。

というわけで「FFFTP」をインストールしてどのようにパスワードが保存されているのか。
どうすればシステム内から消えるのかという確認をしてみました。
# ボクの自宅の環境下で手前味噌な検証なので
# みなさんの環境でも同じかどうかの確証はないです。すいません。

まず、デフォルトの状態。
デフォルトの状態でFTPへの接続情報を保存すると以下のレジストリ内に情報が保存されます。
HKEY_USERS\固有の番号\Software\Sota\FFFTP\Options\HostNHostNの「N」は数字。複数ある場合はカウントアップされます。

ここに情報が格納されていることを確認してから、「コントロールパネル」の
「ソフトウェアの追加と削除」から「FFFTP」を削除した後に確認しました。
すると、下記レジストリまでで「FFFTP」以下は削除されていました。
HKEY_USERS\固有の番号\Software\Sota

FFFTPはレジストリだけでなく、設定の変更により「ini」ファイルに設定を保存することも可能です。
その設定方法は
メニューバーから
「オプション」→「環境設定」を開き
「その他のタブ」で「設定をレジストリでなくINIファイルに保存する」をオンにします。

すると「FFFTP.exe」と同じフォルダに「ffftp.ini」が作成されるようになります。

ということで次に先程と同じ方法でアンインストールした場合に
この「ffftp.ini」が削除されるかどうかという確認をしました。

上図のように「ffftp.ini」は残ってしまうようです。

「ffftp.ini」に接続情報を保存する設定にされている方は
アンインストール後、手動で「ffftp.ini」を削除しないと不完全ってことですね。

また、パスワードは暗号化されているから安全じゃないかー
と思われるかたもいらっしゃるかもしれませんが、暗号化されていても
その文字列を盗むことに成功した場合
その設定を丸ごと「ffftp.ini」やレジストリに書いてしまえば
ログインまでこぎつけることができてしまいます。
つまり、生のパスワードを知る必要なく、レジストリや「ffftp.ini」から
「接続先アドレス」「ユーザ名」「パスワード(暗号化されたままでOK)」
などをを盗み出されてしまったらおしまいということですね。

追記:
Tessyさんからのコメントにもある通りFFFTPに設定情報を食わせなくても
このようなプログラムで一撃解読できるそうです。




Posted 2010年1月29日 by ntsuji in category "malware", "memo