クラウドセキュリティ
- 2. FFRI,Inc.
(株) FFRI 事業概要
サイバー セキュリティ領域でのシーズ型R&D
標的型攻撃などに利用されるセキュリティ脆弱性研究、対策技術開発
100を超える日本最多のクリティカルなセキュリティ脆弱性発見の実績
標的型攻撃マルウェアに関する研究、対策技術開発
標的型攻撃など近年のマルウェア対策に関する研究成果を多数発表
組み込みセキュリティ
組込みシステムのセキュリティ脆弱性脅威分析に関する研究成果を多数発表
製品開発
• 標的型攻撃対策ソフトウェア
• マルウェア自動解析システム
• MITB攻撃対策ソフトウェア
• 組み込み機器セキュリティ検査ツール
• P2Pシステムセキュリティ
• 標的型攻撃マルウェア調査分析
• Android端末セキュリティ分析サービス
• セキュリティ対策コンサルティング
• 受託研究開発
• Black URL提供サービス
• セキュリティ技術者向けトレーニング
サービス
2
- 6. FFRI,Inc.
近年の大きな脆弱性
OpenSSL Heartbleed (CVE-2014-0160)
• opensslのHeartbeatの処理における問題により中間者攻撃が可能とな
る脆弱性
• その後、OpenSSLに複数の脆弱性が見付かったこともあり、多数のソフト
ウェアや機器に影響が及んだ
Shellshock (CVE-2014-6271)
• bashにおける環境変数に関する処理による脆弱性
• CVSSスコア10.0であり、Metasploitによる攻撃コードも公開されている
getaddrinfo (CVE-2015-7547)
• glibcにおけるスタックベースのバッファオーバーフロー脆弱性
6
- 8. FFRI,Inc.
8
WordPressのケース
近年の Web 改ざんは、マルウェア感染を目的としたものが主流であったが、
ここ数年では、主義主張の顕示を目的とする改ざんも、再び目立つようになってい
る。
その中でも、明確なターゲットを定めず多く普及している CMS やそのプラグインの
脆弱性を突いて、無差別に大量のサイトを改ざんする攻撃が増加している
2014年7月には WordPress から簡単にメールマガジンを配信できる人気プラグイン
「MailPoet Newsletters」の脆弱性を利用して、50,000件ものWeb サイトが改ざ
んされた
- 9. FFRI,Inc.
被害状況
全体での被害統計は測定が不可能であるため、 この攻撃手法による改ざん報
告が特に多かった「Index Php」 と名乗る人物が「www.zone-h.org」に投
稿した情報の統計を以下に示す
2015年4月6日から 7日の24時間で、日本のドメインを含む少なくとも
1,200 件以上の WordPress を利用するサイトが改ざん被害を受けた
この攻撃は 2015年3月末頃から発生しており、これまでで少なくとも 18,000
件以上のサイトが被害にあっている。この内の 125 件は日本のドメインである。
この攻撃では、直接ファイルを改ざんするのではなく、特定の URI にアクセスし
た際に、攻撃者が注入した内容のページが表示されるタイプであった
9
- 10. FFRI,Inc.
攻撃分析
攻撃成功を示す URL は共通して以下の様なものであった
「http://target.com/wp-admin/admin-
ajax.php?action=revslider_ajax_action&client_action=get_captio
ns_css」
「wp-admin」が含まれていることから、WordPressを標的とした攻撃だとい
うことが推測される
WordPress 上での Ajax 通信をサポートする「admin-ajax.php」に対して
「action=revslider_ajax_action」という内容の引数が渡されている事か
ら、国内でも多く利用されているプラグイン「Slider Revolution」へのリクエス
トであることが推測される
更に「client_action=get_captions_css」が引数として指定されているこ
とが分かる
10
- 11. FFRI,Inc.
攻撃の流れ
11
$post = array?>
(
"action" => "revslider_ajax_action",
"client_action" => "update_captions_css",
"data" => “<h1>TEST</h1>"
);
p#id { color: #ff3300 }
p#id { font-size: 24px }
「/wp-admin/admin-ajax.php」に対して不正な POST リクエストを送ることによっ
て、サーバー内の CSS ファイルを上書きする
攻撃者
サーバー
CSSファイル
http://target.com/wp-admin/admin-ajax.php
- 13. FFRI,Inc.
脅威分析
我々が入手したスクリプトでは Google 検索における検索構文を悪用すること
で、Google にインデックスされている脆弱な Web サイトやサーバーを大量に
探しだすことができる、Google Dork と呼ばれる手法と組み合わせることで、
世界中のサーバーに対して攻撃を行う方法が取られていた
Google Hacking Database
http://www.exploit-db.com/google-dorks/
13
- 19. FFRI,Inc.
対策2 – FFR yarai
Windows環境であれば弊社製品がオススメ
未知マルウェア対策に加え、ゼロデイ脆弱性も防御可能
• Adobe Flash Playerの脆弱性(CVE-2015-5122)
• Adobe Flash Playerの脆弱性(CVE-2015-5119)
• Adobe Flash Playerの脆弱性(CVE-2015-0311)
• Word のゼロデイ脆弱性(CVE-2014-1761)
• IEのゼロデイ脆弱性(CVE-2014-0322)
19
- 20. FFRI,Inc.
FFR yarai の製品コンセプト
20
FFR yarai は、
パターンファイルに依存せず、マルウェアや脆弱性攻撃を防御し、
既知・未知の脅威から大切な情報資産を守ります。
標的型攻撃に特化した
プログレッシブ・ヒューリスティック技術で
未知の脅威に対抗する
日本発の次世代セキュリティ
プログレッシブ・ヒューリスティック技術とは
・従来型のパターンマッチングに一切依存しない
・攻撃の進化を先読みして進化し続ける先読み技術
- 33. FFRI,Inc.
Black Hat USA 2013年の一部の発表について概要
Exploiting Surveillance Cameras - Like a Hollywood Hacker
複数のネットワーク対応セキュリティカメラに存在する脆弱性の指摘と脅威に関する発表
THE OUTER LIMITS: HACKING THE SAMSUNG SMART TV
サムソンの Smart TV の脆弱性と攻撃の脅威についての発表
HACKING, SURVEILLING, AND DECEIVING VICTIMS ON SMART TV
ファームウェアの解析によって発見したSmart TV の脆弱性に関する発表
33
Black Hat USA 2013
- 34. FFRI,Inc.
34
Exploiting Surveillance Cameras - Like a Hollywood Hacker
BlackHat USA 2013において発表
https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-
Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf
複数のネットワーク対応セキュリティカメラを調査、攻略
脆弱性を悪用することで外部からカメラを自由に制御可能に
撮影映像の不正閲覧、映像の差し替え、機器の停止等
1モデルで発見した攻撃が他の複数メーカー、モデル製品にも適用可能
1機種で発見した脆弱性を用いて最大40機種に同様の攻撃が可能
インターネット上に接続された脆弱なカメラをgoogle、shodan等で検索可能
「thttpd/2.25 content-length:4121」等
発見された脆弱性はいずれも古典的なものばかり(攻撃に要する技術障壁は低い)
Windows、Linux等のPCプラットフォームでは既に撲滅されている
Black Hat USA 2013
- 36. FFRI,Inc.
例1) Linksys WVC80N
Web管理画面を制御するCGIにバッファーオーバーフロー脆弱性が存在
長い文字列を含むリクエストを送るとバッファオーバーフローが発生
「GET /img/snapshot.cgi?aaaaaaaa......aaaaa HTTP/1.0」
上記「aaa....」の部分に適切な機械語に格納することで任意コードが実行可能
発表者は、管理者用パスワードの搾取を実証
脆弱性の性質上、一度攻撃方法を確立させれば絨毯爆撃が可能
shodan等で脆弱なカメラを検索し、リスト化
各カメラに攻撃コードを含むGETリクエストを自動送信
36
出典:https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf
Black Hat USA 2013
- 37. FFRI,Inc.
例2) 3SVision N5071
Web管理画面の管理者ID、パスワードがファームウェア中にハードコードされている
基本的なリバースエンジニアリングの知識があれば誰でも特定可能
壁面据え付け型のため様々な施設で防犯用として利用されている模様
計40機種以上の製品も同様の攻撃が可能なことを確認
37
出典:https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf
Black Hat USA 2013
- 38. FFRI,Inc.
例3) Trendnet TV-IP410WN
バックドアアカウントが存在、例2同様ファームウェア解析で容易に特定可能
Web経由でカメラのストリーミング映像をブラウザ上で閲覧可能
ストリーミング配信は内部のmjpg.cgiが担当
当該プログラム(デーモン)を停止すると「最後に映った画像」が表示され続ける
mjpg.cgiを静止画像を表示し続けるプログラムに差し替えることも可能
38
最後に映った画像 実際の画像
#!/bin/sh
echo -ne “HTTP/1.1 200 OK¥r¥n Content-Type: image/jpeg¥r¥n¥r¥n”
cat /tmp/static_img.jpg
出典:https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf
Black Hat USA 2013
- 39. FFRI,Inc.
Black Hat USA 2014年の一部の発表について概要
SATCOM TERMINALS: HACKING BY AIR, SEA, AND LAND
衛星通信端末における複数のバックドア、プロトコル、暗号の脆弱性の存在を指摘とデモ。
ファームウェアのリバースエンジニアリング方法の解説
CELLULAR EXPLOITATION ON A GLOBAL SCALE: THE RISE AND FALL OF THE
CONTROL PROTOCOL
携帯電波(GSM/CDMA/LTE)による制御プロトコルを解析して、OTAでコード実行(ロック解除、
jailbreak)の可能性と脅威について解説
BADUSB - ON ACCESSORIES THAT TURN EVIL
汎用的なUSBコントローラのファームウェアを改ざんすることによって、密かに悪意のあるコードを実行
できるという指摘とデモ
39
Black Hat USA 2014
- 40. FFRI,Inc.
Black Hat Europe 2014年の一部の発表について概要
Lights off! The darkness of the smart meters
実際のスマートメータをリバースエンジニアリングし、プロトコルや機能を推定
Don’t trust your USB! How to find bugs in usb device drivers
ファジングでUSBデバイスドライバのバグを見つけるツールの発表
Hack Your ATM with friend’s Rasberry.Py
ATMのハッキングを、Rasberry Piを使って行う発表
Firmware.RE: Firmware unpacking, analysis and vulnerability-discovery as a
service
組み込みデバイスのファームウェアの脆弱性調査に関する発表
40
Black Hat EU 2014
- 41. FFRI,Inc.
自動車のセキュリティ
Remote Exploitation of an Unaltered Passenger Vehicle
• Charlie Miller & Chris Valasek
How To Hack a Tesla Model S (DEFCON)
• Marc Rogers & Kevin Mahaffey
Drive It Like You Hacked It: New Attacks and Tools to Wirelessly
Steal Cars (DEFCON)
• Samy Kamkar
IoT のセキュリティ
When IoT Attacks: Hacking a Linux-Powered Rifle
• Runa A. Sandvik & Michael Auger
ZigBee Exploited the Good, the Bad, and the Ugly
• Tobias Zillner & Sebastian Strobl
41
Black Hat USA 2015
Black Hat USA 2015年の一部の発表について概要
- 43. FFRI,Inc.
検討した3つの攻撃手法
バッファオーバーフローによるスタック上の関数ポインタ上書き
• 前提条件が厳しい
バッファオーバーフロー等によるTriCore独自のコンテキスト保存領域の上書き
• 実際に攻撃される可能性あり
割り込み・トラップハンドラの上書き
• プロテクトされており不可
評価ボードを用いたデモ
CANバス経由でデータを送りつけ、
バッファオーバーフローを発生させて
点灯しないはずのLEDを点灯させた
43
TriCoreで動作する自動車用ECUソフトの攻撃手法に関する
検討と試行(2)
CODE BLUE 2014
- 44. FFRI,Inc.
まとめ
ECUソフトにメモリ破壊脆弱性が存在する場合、任意コードを実行できる可能性はあ
る
今後、ECUソフトが複雑化し、処理する情報の種類・量が増加すると、実際のECUソ
フトにも脆弱性が多数発見される可能性がある
• 対策として、ECUソフトに対する脆弱性検査やセキュアプログラミング・適切なメモリ
保護の適用などが必要になると考えられる
課題
PCやスマートフォンなどと違って、脆弱性の実証と対策は環境、コスト的な理由で容易
ではない点が懸念点
• 検証のために車体が必要
• ソフトのアップデートが容易にできない
44
TriCoreで動作する自動車用ECUソフトの攻撃手法に関する
検討と試行(3)
CODE BLUE 2014
- 47. FFRI,Inc.
pool.ntp.orgによるIPv6のPassive Scan
Shodan Prjectがntpサーバをpool.ntp.orgに提供
そのntpサーバにてIPv6ノードのPassive Scanを開始
IPv6ノードの受動的スキャンによるノード検出が行われており、セキュリティコミュニティで
議論が発生
47
https://isc.sans.edu/forums/diary/Targeted+IPv6+Scans+Using+poolntporg/20681/