第3回東北情報セキュリティ勉強会　復習用？まとめ

@U40

あいぽんをexploitの実演なう～♪ #THK_ITS

@shidho

スマートフォンのセキュリティは、動いているサービスによる。Serverアプリも公開されているため、条件がそろえばRemoteからの乗っ取りも可能なうえ、PCに似ているのでケータイに比べて解析されやすい。 #THK_ITS

@shidho

「そういえば、ARM使っているDSとか、PSPとか、WiiとかもHackされまくってるよね。PS3は未だ破られていないらしいけど、解析は進んでいるみたい」 #THK_ITS

@Liliaceae

PowerShellのお話おわり。 #THK_ITS

@iwdd

ぱわーしぇるは呪文。ちぃ、覚えた。 #THK_ITS

@shidho

Q スマートフォンのソフトウェアを書いている人が、Jailbreakなどへの対策をするにはどうすればいいのか? 低レイヤーの勉強は大変すぎないか? #THK_ITS

@shidho

A. ハード提供側が、開発者にいじらせる部分を減らす方法しかないのではないか。 #THK_ITS

@shidho

Q. Web脆弱性がスマートフォンでされないのはなぜか? A.PCと問題を共有しているため、スマートフォン特有の脆弱性と見られないのではないか? #THK_ITS

@Magistol

gumblerのお話 #THK_ITS

@shidho

Gumblarについて。ちなみに会場のほとんどがGumblarについて少なくとも名前は知っているレベル。 #THK_ITS

@k_oi

#THK_ITS 今調べると、ガンプラーは、1,400,000から1,450,000と増えてるw

@shidho

Web誘導感染型のウィルスで、FTPアカウントの窃取、Webサイトの改竄を行う。 #THK_ITS

@shidho

最近はガンブラーという言葉が一人歩きしすぎて、SQLインジェクションでもガンブラー、Web誘導するだけでもガンブラーいわれていることも。 #THK_ITS

@shidho

Gumblarを分類すると、Gumblar.xと*.ru:8080にわかれそう。(一つの分類) #THK_ITS

@k_oi

#THK_ITS Gumblar: Gumblar.x(亜種) と *.ru:8080(GNU GPL)系に大別される (分け方にはいろいろある)

@shidho

Gumblar.xのほうから。GENOウィルス=Gumblarは2009年春に流行。この亜種、Gumblar.xが10月中旬頃から観測されだした。 #THK_ITS

@shidho

GENOウィルスを難読化をはずして読んでみると、攻撃スクリプトを他のサイトから読み込むようになっていた。ただ、難読化が徒となって怪しさ倍増だった。 #THK_ITS

@k_oi

#THK_ITS Gumblarはソースコード中に怪しいJavaScriptコードが見える。Gumblar.xは<script src=... /> の一行だけでぱっと見判らないし、src内も正規ドメインなので、わかりにくい

@shidho

いっぽう、Gumblar.xは攻撃スクリプトも通常のページに置いてそこにアクセスさせるため、異常に(見た目の点で)気がつきにくかった。 #THK_ITS

@k_oi

#THK_ITS Pegel.* (*.ru:8080系) /*GNU GPL*/> 、/*CODE1*/ /*Exception*/ などなど

@shidho

次に、Pegel.* 難読化を施しているのでこちらは目立つ。*.ru.8080にコードをおいてあることが多く、*.ru:8080などと呼ばれている。 #THK_ITS

@shidho

どちらもAdobe Readerの脆弱性を使う。ほかに、GumblarはFlash,MSOffice,IEなどの脆弱性も、PegelはMDAC,SnapshotViewer,JREなどの脆弱性を。 #THK_ITS

@shidho

動作的には、Gumblar-xはupdate機能が、PegelはDownloader,偽アンチウィルス、SpamBotの機能がある(rootkit,FTP窃取は共通) #THK_ITS

@k_oi

#THK_ITS Gumblar.xはFTPアカウントの盗取・ルートキット・自分自身のアップデート。Pegelは自分自身はアップデートしないが、たくさんのスパム系をダウンロードし、SpamBot(珍しい)になる

@shidho

国内感染数はGumblar-x:Pegelで10:1くらいの割合。Gumblar-xのほうが圧倒的に多い。 #THK_ITS