水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 第4回まっちゃ445「インシデントレスポンスの現場から ~事件は会議室で起きているんじゃない。現場で起きているんだ。~」

第4回まっちゃ445「インシデントレスポンスの現場から ~事件は会議室で起きているんじゃない。現場で起きているんだ。~」

2009年1月31日(土曜日)

第4回まっちゃ445「インシデントレスポンスの現場から ~事件は会議室で起きているんじゃない。現場で起きているんだ。~」

公開: 2009年2月2日17時5分頃

LAC川口さんのお話。JSOCで検出されたものから分かったいろいろな話。

クライアントを狙った受動的・標的型攻撃

狙われるクライアント

  • IE
  • Adobe Reader
  • Flash Player
  • Real Player と Quick Time (アップデートが難しかったり)

USBメモリを経由するマルウェアが増加

MSの集計によると……
  • 日本はボット感染率が低い。CCCのおかげ?
  • 海外はヤバイ : 回線が細いとパッチ・パターン更新が大変
  • なんで中国は赤でなくオレンジ? → Windows Updateできないので「悪意あるソフトウェアの駆除ツール」がそもそも動作しない?
偽アンチウィルスソフト
  • "AntivirusXP 2008"
  • 年5599円 / 3年11296円……現実的な値段
  • 最近はボットと組み合わされている。インストールすると、一日に1000個単位で謎のexeが増えたりする
  • 偽ソフトを入れると UA が変化して二度目の感染はしないようになっている。言語によって感染対象を選別したりもしている
悪のアジト
  • SQLインジェクションで埋め込まれるURLの統計
  • 次々に移転し続ける、一週間もしたら使い捨て→フィルタリングが追いつかない
中国製攻撃ツール
  • 暗黒工作組
  • サポートあり、アップデートも頻繁。6000円/月くらい。
SQLインジェクション

見つからないように考えられている。頑張るだけ報われる、達成感のあるお仕事 (お金につながる)

件数の推移
  • 2000年くらいには攻撃の理論
  • 2003年、JSOCで初検知。当時は何故こんな面倒な攻撃を行うのか分からなかった (二階の窓をやらなくても玄関が開いている状態)
  • 2005年、ニュースに
  • 2008年10月、26万件
  • 2008年12月、1500万件

撃たれない企業には来ない。過去にやられた企業や、IISを使っている企業には良く来る。その差100~1000倍ほど。

今年の年末は非常に多く、詳細レポートを出すような契約でレポートが2000~3000ページにわたり、印字に15時間というケースも。

攻撃リクエストの変遷
  • 2007年 …… ntext のみにスクリプトを埋め込む
  • 2008年 …… varchar, sysname, text, ntextが対象
  • 最近の攻撃
    • "></title> が頭につくようになって効率UP! 属性値やtitle要素内にインジェクションされても動作する
    • 既にやられているかどうかチェックする (しないと、増殖して行く)
    • マルチバイト文字を含むリクエスト
    • Cookieへのインジェクション → WAF貫通力大。インテリジェンスでない機器では検出された。:-)
    • 冗長な % を含むインジェクション → ほとんどの機器を貫通。
攻撃元

McColo がインターネットから遮断される→スパムが減った? 日本においてはあまり影響なかったかも

  • 中国→韓国にシフトしている
  • 12/10 IE7 のゼロデイ攻撃コード出現、12/14からSQLインジェクション大幅増加、12/18 IE7 のパッチりリース
  • 浅田真央がキムヨナに勝ったのが原因?
謎の文字列

謎の符号化された文字列を埋め込む攻撃

昔から韓国方面で報告。解読はされていなかった。最近日本人が解読。

この攻撃は、中国政府・中国教育機関のドメインは攻撃しないようになっている模様。

XSS

送信元は国内が中心。大規模では行われていない

UTF-7 XSS やる人なんてまずいません。なのですぐ分かる。

わざわざXSSで攻撃する人はほとんどいない (面倒、もっと簡単な方法がある)。

MySQLの攻撃

特定のファイルを削除したりする攻撃、攻撃にはフルパスが必要→どこから取得している?

MySQLのエラーメッセージにフルパスが出ている

Moodleの脆弱性

オープンソースのeラーニングプラットフォーム。SQLインジェクションの脆弱性があった。

「使用ユーザー一覧」からたどって攻撃された形跡がある。一覧に載っていたところは全員攻撃を撃たれていると思って良い

認知されていない検査によるインシデント事例
  • 脆弱性のニュースを見て、過去に開発したシステムに脆弱性がないか心配→開発会社が無断で検査を実施→検知
  • 「同業者が対策しているか知りたかった」という理由で検査
メンテナンス用PCへの攻撃
  • グローバルIPの振られたPCがあったり
  • アンチウィルスのパッチ漏れがあったり (Windows Update はしていてもアンチウィルスは忘れる)
  • 知らないマシンがぶら下がっていたり
どうするか?

攻撃者はセキュリティシステムを回避する。2ヶ月スパンで新しい手法が出てくる。

鎖は一番弱いところが切れる。開発環境がやられていたりもする。

  • 実装前の対策
  • 見える仕組み
  • 組織内の連携 (連絡したら担当者いません、なんてのは避ける)

質疑は公開して良いかよく分からないので省略。

関連する話題: セキュリティ / メモ / SQLインジェクション

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト