第3回東北情報セキュリティ勉強会 復習用?まとめ
まず、攻撃スクリプトにリダイレクトされると、アクセスしてきたのが攻撃対象のブラウザかどうかをチェックする。攻撃対象外の時には404を返す。 #THK_ITS
2010-02-20 15:36:51次に、CWS,PDF,IE+MSOfficeWebcomponentsが脆弱かどうかを判別して、脆弱な部分を利用してダウンローダーを起動する。 #THK_ITS
2010-02-20 15:38:26#THK_ITS アクセスごとに異なる難読化を施すので、単純なパターンマッチだと検出できない (難読化を解除すれば中身は同じ)
2010-02-20 15:42:37攻撃手段判別スクリプトは難読化されているのだが、ダウンロード時に難読化を動的に生成するので、単純にキーワードを見張るだけでは攻撃手段判別スクリプトかどうかわからない。(もちろん難読化をはずせば同じものになるが) #THK_ITS
2010-02-20 15:43:14PDFを攻撃の手段とする場合、flatdecode (PDFのzlibでの暗号化)を用いてコードを隠し、それをとくとJaaScriptが現れる。 #THK_ITS
2010-02-20 15:45:29CWSファイル。FWSをzlibで暗号化したもの。これをFWSに戻すと不明なバイナリが含まれている。これは独自の暗号+復号ツールで、それをとくと次のCWSが現れる。これの中に入っている文字列をASCII2Binaryすると #THK_ITS
2010-02-20 15:48:08最後にIEの脆弱性を利用した場合。Exeが単純に感染する。 cf. Kates(Danol) bakやsysなどの拡張子でdllを生成。 #THK_ITS
2010-02-20 15:51:02Processにインジェクションする。ちなみにこのコードに一時バグが入っていたらしく、再起動後PCが異常動作する例が10月に頻発し、PCメーカーに問い合わせがきたことも。 #THK_ITS
2010-02-20 15:53:52(うまく動かないので調整の裏で) Gumblarに関する統計情報。2009年5月,7月に小さな波、10月から12月にかけて大きな波、そして今年の1月にまた波がある。 #THK_ITS
2010-02-20 15:59:27#THK_ITS 本来ならexeというexeが動かなくなり、正常終了すらできない。んで、強制リセットをかけ、再度起動すると、真っ黒画面 + マウスカーソルだけ という状態に
2010-02-20 16:07:54Drivers32にmidi9という項目が作れるかどうかで一時的に感染したかどうかはチェックできる(自己消滅する版もあるので、あくまでデモ用のチェック手段) #THK_ITS
2010-02-20 16:09:38