RSA Conference Japan 2006レポート
4/26-27の2日間に渡って開催されたRSA Conference Japan 2006のレポートを行う。レポートとは言っても、多分に自分への備忘録のようなものだ。
多様化するマルウェアの実態と対策
アークン 渡辺章氏
ボットネットの過去と現在
JPCERT/CC 中谷昌幸氏、Telecom-ISAC Japan 小山覚氏
- ボットネットはIRCを使っているものがほとんど。P2Pボットネットはまだコンセプト段階と思われる。
- IRCを使うボットネットでは、犯罪組織またはSPAM業者はHERDERと呼ばれるボットネットの指令者に依頼をし、HERDERがC&C(Command & Control)サーバー(実態はIRCサーバー)を使って、ボットPCに指令を出す。
- 脅威の変化が見られる − サーバを狙った攻撃(PHPやAWStatの脆弱性を利用)、特にスピア型攻撃(特定のターゲットを持つ攻撃)が増加
- ボットは進化している。ハニーポットでも通信内容が暗号化され、わからなくなってきている
- ボットに占領されている帯域は日本だけで数Gbps(1つのISPのバックボーンに相当)
- Telecom-ISAC Japanでは生け簀ハニーポットを作って実験してみた
- ボットのソースコードはGoogleで検索して、簡単に見つかる
- GUIで簡単に構成できるやつもあった。今回実験で使ったのは、ソースのヘッダ部分でパラメータを変更することで簡単に設定を変えられる
- ボットは感染すると、自動的に隣接したIPアドレスに対して感染を試みる。i.e) /24など
- 感染すると、1) Webサーバーからボット本体をダウンロード 2) IRCに接続し、コマンドを待つ 3) IRCよりボット用のパスワードを設定 → これによりボットの主従関係が結ばれる
- 今回使ったAgobotの自己防衛機能には、ポリモーフィック、AV対策、デバッガ/VM対策(デバッグモードでOSが起動されていたり、VMware上で動作していたりすると、終了するなど)がある
- 攻撃の例として、SPAM送信をやってみた。SPAM業者から依頼されてHERDERがSPAM送信の命令を出しているかと思ったが、そうではなかった。SPAM業者のメールをボットPCがリダイレクトしていた。
- SPAM業者(Spammer)はランダム/tcpでボットPCに接続、ボットPCから25/tcpでメールを送信する。ISPでポート25を遮断しても防止できない。ISPの網の目をうまくかいくぐっている。メール送信の頻度もそんなに高くなく、目立たないようにしている
- Rxbotは既定でキーロガーがインストールされている
- C&CサーバーであるIRCサーバーは複数台運用されている。1台のIRCサーバーを停止させても、代替のIRCサーバーに接続されるようになっている。さらに、IRCサーバーはDynamic DNSで運用されており、ボットPCをIRCサーバーに昇格させることもできる
- 制御用チャネル、感染IP連絡用チャネルなど、複数のチャネルごとに別のIRCサーバーを利用している
関連記事:
巧妙化するオンライン詐欺
セキュアブレイン 星澤裕二氏
- ワンクリック詐欺からツークリック詐欺へ
- RMT詐欺 = Real Money Trade
- タイポスクワッティング
- フィッシング・マルウェア − リダイレクタ(hostsファイルの書き換え)、スクリーンスクレイパー(ここを参照)
- ワンクリウェア = ワンクリックマルウェア
関連記事:
モバイル・マルウェア
F-Secure Corporation ミッコヒッポネン
- F-Secureがモバイルマルウェア対策をはじめたのは、近くにノキアの本社があることと無縁ではないだろう
- モバイルマルウェアが問題になっているのは、ヨーロッパと東南アジア
- ターゲットとなる携帯はSymbianが7割以上、Windowsは1割以下。ただし、地域によって異なる
- Symbian採用の携帯ベンダーは多い。日本に関係するのは、Panasonic、Sony Ericson、Nokia
- F-Secureにはモバイルマルウェア用の電波暗室がある。そうでないと社員の携帯に感染してしまう
- モバイルマルウェアの感染はBluetoothかMMS(Multimedia Message System)が多い。Bluetoothは40m〜50mほどに伝播する。生物学的なウィルスと同様の傾向が見られる。
- Bluetoothにより感染するのは、ブラウザにおけるブラウザークラッカーのポップアップウィンドウと同じように、YESと押さないと次に進めないようなUIになっているため。たとえば、Bluetoothによりファイルが転送されてきていた場合、すぐには気づかない。実際に通話をしたくなった場合、Bluetoothによりファイルが転送されてきていることがわかる。もちろん、転送を拒否するが、拒否しても、すぐに再転送されてくる。通話をしたい場合、つい人間はYESを押していってしまう。(もちろん、UIとしてはインストールまでには何度も警告の画面は出てくる)
- このケースの場合、唯一の対策は、その場から離れ、Bluetoothの伝播範囲から出ることだった
- CeBITでBluetoothのハニーポットを作ってみた、7日間で12,500台ものBluetoothデバイスが検出できた
- SMSを感染経路とするのは、インターネットがクラッシュしていても感染できるため
- CommworriorというモバイルマルウェアはBluetoothとMMSを感染経路とするHybrid型。8:00-24:00の間はBluetooth、24:00-7:00はMMSで感染する。7:00-8:00はログのエントリの削除を行う。MMSではアドレス帳にあるあて先にメールを送信。1MMSに0.5ユーロかかる(約70円)ので、100個あて先があったら、7千円が一晩で使われてしまうことになる
- ロシアではJ2MEベースのモバイルマルウェアで実際に課金されてしまう(ある番号にかけるとその番号の持ち主が収入を得られる?)ケースが出ている
- 日本ではLinux、iTRON、SymbianがOSに使われている
- Symbian S60というのが最もモバイルマルウェアが多いバージョンなのだが、日本にはこの携帯は無い。唯一、VodaphoneにS60のモデルがあるのだが、アプリをインストールできないモード(Lockdown Mode)にされている
- JavaもJ2MEではない。DoJa
- 現状: ノキアはBluetoothのUIを改善している。Symbian 9でセキュリティが向上されている
関連記事:
Webアプリケーション脆弱性の原因と対策
奈良先端科学技術大学院大学 門林雄基氏
- 門林氏はWASF(Web Application Security Forum)代表
- 海外にはOWASP(Open Web Application Security Project)
- 対策として、1) Fail secure 2) Least privilege 3) Compartment − いくつ知っている? ==> 教育的問題
- Trustedな変数とUntrustedな変数を分離。コンパイラでこれらの対応ができると尚良い
- 異なるアプリケーション(DBやWebサーバー)へのアクセス制御を行うのが難しい。メタ言語を用意し、それから各アプリケーションに適切な設定ができるようになると良い
- Compartmentが大事
- コードを書かないですむなら、それが一番。Generatorは使えるか? 今後、調査
関連記事:
バッファオーバーフロー脆弱性の現況
ラック 新井悠氏
- 最近見つかる脆弱性はXSSやSQL Injectionのほうがバッファオーバーフローより多い。ただし、攻撃は7割がバッファオーバーフロー
- スタックオーバーフローとヒープオーバーフロー。スタックオーバーフローはユニバーサルアドレスを利用。最近はヒープオーバーフローのほうが多い。ただし、言語やバージョンなどに依存する
- 最近のWinnyのバッファオーバーフローがヒープオーバーフローの例
- ヒープーオーバーフローはメモリ内の任意の4バイトの値を上書きする。リターンアドレス、関数ポインタ。
- SEH、Unhandled Exception Handler、RtlEnterCriticalSection()ポインタ、First Vectored HandlerがWindows特有のヒープオーバーフロー攻撃用に上書き可能な領域
関連記事: