 |
 |
-
■ Yet Another Android Rootkit - /protecting/system/is/not/enough
Black Hat Abu Dhabi 2011 発表資料
大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
このプレゼンテーションにおいては Android において root 権限を取得したとき何ができ、何ができないのかを解説し、その上で我々が作成した新しいタイプの Android rootkit を示す。この rootkit は root権限のみを必要とし、カーネルや ptrace システムコールを使用しない。また、既存の全てのセキュリティモジュールを回避することが可能である。 これらに加え、このプレゼンテーションでは Android 保護機構の難しさ、そして考えられる対抗策を紹介する。
---
This presentation explains what we can/cannot do if we gain root privileges on an Android device, and introduces a new kind of Android rootkit. This rootkit needs only root privileges (no kernel-mode, no ptrace) and bypasses all existing security modules. It also explains difficulties of protection mechanism and possible countermeasures.
-
■ Android:設計上の技術的な問題点 - 発表資料
Internet Week 2011 〜とびらの向こうに〜 スマートフォンセキュリティ 発表資料
大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
急速に普及が進んでいる Android におけるセキュリティ機構や Android アプリケーションの仕組みを紐解きつつ、Android をターゲットとしたマルウェアの説明や root 化の問題、現在の Android 向けアンチウイルスソフトウェアの問題点についての現状を報告する。
-
■ ScanNetSecurity寄稿 - [特別寄稿] メーカー別スマートフォンセキュリティ比較
大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
急速にビジネス現場への普及と利活用が進むスマートフォンの安全性に関し、Android、iOS、Windows Phone 7を、メーカー別に、共通点と相違点、脅威の現状、必要な対策について解説します。
-
■ Windows Phone 7 Internals and Exploitability - ホワイトペーパー
大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
Windows Phone 7は、AppleのiOS、GoogleのAndroidと競合するスマートフォン向けのオペレーティングシステムである。現状、競合と比べて後発であるなどの問題から普及はあまり進んでいないものの、アプリケーション配信プラットフォームとサンドボックスを備えた先進的なスマートフォン用オペレーティングシステムであり、第3の選択肢として普及が期待される。 しかし現時点では国内外を問わず、Windows Phone 7のセキュリティに関する詳細な分析報告は少ない。当文書では、我々がWindows Phone 7プラットフォームに対して行ったセキュリティ評価に関する初期報告を行う。
-
■ How Security Broken? - Japanese / English
PacSec 2011発表資料
大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
日本のスマートフォン用 OS マーケットシェアにおいてAndroid が首位を獲得したことが報道されるなど、Android のセキュリティはとても重要になっている。Android が Linux カーネルをベースにしているのはよく知られているが、セキュリティメカニズムは通常の Linux 環境とかなり異なる。 この資料では Android の内部構造 (Zygote, Prelinking, Intent やその他保護機構) と端末を狙う脆弱性攻撃の可能性、そして、現在のモバイルアンチウイルスソフトウェアが端末全体を守ることができず、対してマルウェアは幾つかの方法でシステムを乗っ取ることができる事実に関して解説、報告する。
-
■Inside Android Security
大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
2011年5月、Androidが国内におけるスマートフォン向けOSシェア1位になったこ とが報道された。先発のSymbianやiPhone等においては脆弱性攻撃を悪用したJailbreakやウイルス攻撃等の可能性が実証され、一部蔓延している状況にある。一方、Androidは当初からオープンプラットフォームであるためセキュ リティが懸念されており、昨今においてはその普及に伴いウイルスの急増が報告されている。本セッションでは、こられ背景を鑑み、Android 内部のセキュリ ティの仕組みとそれに起因する脆弱性攻撃の可能性、そして急速に進化しつつあ るマルウェアに対して、現状のAndroid 向けアンチウイルスソフトウェアは限定的な対策しか取れていない現状を報告する。
-
■仮想環境に依存せず詳細な解析能力を持つ動的解析システムの設計と実装 - 発表資料 / ホワイトペーパー
丹田賢(Satoshi Tanda)
技術本部 沖縄研究開発部 シニアソフトウェアエンジニア
新種・亜種のマルウェアは年々急増している。セキュリティベンダーは、これらのマルウェアを解析し対応しなければならないが、そのすべてを手動で解析することは困難である。この問題に対する解決策として、自動でマルウェアを解析する動的解析システムの利用があげられるが、既存の動的解析システムには、不十分な解析能力や仮想環境への依存性などといった問題が存在する。そこで本リサーチペーパーでは、仮想環境に依存せずマルウェアの実行を詳細に解析できる動的解析システムの設計と実装を行い、その有効性を評価した。
-
■ GRAPE: Generative Rule-based Generic Stateful Fuzzing
Nicholas Green
技術本部 ソフトウェア開発部 ジュニアソフトウェアエンジニア
We present GRAPE, a rule-based, generative, stateful fuzzer. GRAPE generates fuzz-cases from scratch, and can interpret and incorporate responses to its fuzz-cases in subsequent generations. GRAPE uses a simple scapy-inspired syntax to define the structure of packets (or files, etc) to be sent or received, and a YAML-inspired syntax to define the primitives used to build those structures. Fuzz-cases are arranged as scenarios to direct the generation of fuzz-cases past connections or log-ins, and towards vulnerable paths. This allows GRAPE to fuzz more complex protocols, like HTTP, or stateful protocols like SMTP.
-
■ EMETによるSEHOP実装の改良の提案 - Japanese / English
鈴木秀一郎 (Shuichiro Suzuki)
技術本部 先端技術研究部 シニアリサーチエンジニア
マイクロソフトは2010年9月、Enhanced Mitigation Experience Toolkit 2.0 (以降、EMET)をリリースした。EMETはWindows XP, Vista, 7やWindows Server 2003, 2008向けにいくつかのセキュリティ上の防御機能を提供している。EMETはそのうちの1つの防御機能として、SEHOPを提供している。SEHOPは Windows Vista SP1から取り入れられた防御機能であり、Windows XPには本来備わっていない機能であるが、EMETはこのSEHOPをWindows XPにも提供している。本リサーチペーパーでは、このSEHOPの効果について調査し、その問題点と、改良法について整理した。
---
Microsoft released the Enhanced Mitigation Experience Toolkit 2.0 (EMET) in September 2010. EMET provides several vulnerability mitigations for Windows XP, Vista, 7, Windows Server 2003 and 2008. EMET provides SEHOP as one of its mitigations. SEHOP was first introduced in Windows Vista SP1, and is not provided intrinsically for Windows XP. EMET provides SEHOP for Windows XP. This document reports on the effectiveness of EMET's SEHOP, and summarizes the problems and outlines some means by which it may be improved.
-
■ Exploring the x64 - Japanese / English
PacSec 2010発表資料
村上 純一 (Junichi Murakami)
執行役員 先端技術研究部長
x64アーキテクチャーを基にしたCPUは、近未来において多数派になるであろう。そこで私達は、x86 CPUでコードを走らせるのと同様な作法でx64 CPUでも走っているコードの分析、フック、インジェクション、エクスプロイットを行いたいと考えた。x86とx64は類似しているが、ディテールはかなり違うものであり、下層のレイヤーではx64に特有のテクニックが存在する。
---
CPUs based on the x64 architecture will be the majority in the near future. Accordingly, we want to analyze, hook, inject and exploit code running on them, in the same manner as we do code running on x86 CPUs. x86 and x64 seem similar, but the details are quite different, and techniques peculiar to x64 exist in the lower layers.
-
■ SEH overwrite and its exploitability
CanSecWest 2010発表資料
鈴木秀一郎 (Shuichiro Suzuki)
技術本部 先端技術研究部 リサーチエンジニア
SEH(Structured Exception Handling)オーバーライトを用いた攻撃は攻撃者から見た場合に有効な手段であったが、近年さまざまな保護機能が実装されその Exploitはより難しくなってきている。ただし、それでもなお攻撃可能性がなくなったわけではなく、特に一部の保護機能を有効にしていないシステムでは依然として攻撃対象となり得る。各保護機能によってどのような攻撃からシステムを守ることができ、どのような組み合わせをシステムに適用するべきかの考察を行う。
-
■ FFR GreenKiller - Automatic kernel-mode malware analysis system
村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
Recently kernel-mode malware, such as Rustock variants, have been increasing in number. In Userland, we already have enough tools and environments with which to analyze malware. However, in kernel land, many researchers are still using a kernel debugger. It is really painful work and can be made more efficient.
FFR GreenKiller is an automatic execution analysis system which uses virtualization technology and works under ring -1 privilege. We will introduce the advantages and mechanisms of its approach.
-
■ SEHオーバーライトの防御機能とそのExploit可能性
鈴木秀一郎 (Shuichiro Suzuki)
技術本部 先端技術研究部 リサーチエンジニア
SEH(Structured Exception Handling)オーバーライトを用いた攻撃は攻撃者から見た場合に有効な手段であったが、近年さまざまな保護機能が実装されその Exploitはより難しくなってきている。ただし、それでもなお攻撃可能性がなくなったわけではなく、特に一部の保護機能を有効にしていないシステムでは依然として攻撃対象となり得る。各保護機能によってどのような攻撃からシステムを守ることができ、どのような組み合わせをシステムに適用するべきかの考察を行う。
-
■ ITPro寄稿 - 悪魔のツール”ルートキット”最前線
村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
舟久保貴彦 (Takahiko Funakubo)
技術本部 先端技術研究部 リサーチエンジニア
・第1回 ルートキットの進化を追う
・第2回 ボットに組み込まれたルートキットを解析
・第3回 デバイス・ドライバを利用してOSを改変
・第4回 ルートキット実装の2大手口(その1)
・第5回 ルートキット実装の2大手口(その2)
・第6回 メモリー上のデータを見えなくする(前編)
・第7回 メモリー上のデータを見えなくする(後編)
・第8回 ルートキットの分類を再考
・第9回 発見不能!OSの下で動作するルートキット(前編)
・第10回 発見不能!OSの下で動作するルートキット(後編)
・第11回 SMM(システム管理モード)を悪用した見えない攻撃
・第12回 SMMを悪用したキーロガー
-
■ Inside "Winnyp" - Winnypの内部動作とネットワーククローリングシステムの全貌
PacSec 2008 発表資料
石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
日本では、匿名P2Pファイル共有交換システムによる機密情報の漏えいが慢性化しており、大きな社会的問題となっています。これら状況に対応すべく、我々は著名な匿名P2Pソフトウェアである「Winny」や「Share」のコードを静的解析し、内部動作やプロトコルの詳細を公の場で発表して対策を促すといった活動を行ってきました。このような活動により、WinnyやShareに関しては情報漏えい対策の大きなハードルとなっていた高い匿名性が失われつつあり、一定の成果を得られつつあります。しかし、Winnyとプロトコル互換性を持つ「Winnyp」に関しては過去に解析報告が無く、プロトコル認識によるフィルタリングやネットワークスキャン、および、情報漏洩が発生した際の調査などが実施できませんでした。そこで今回、Winnypに実装されている全コードを静的解析し、Winnypの内部動作やプロトコル、および、匿名性を高めるための各種実装を明らかにしました。本発表では、それらを細部まで解説するとともに、「どのIPアドレスのノードが何のファイルを共有しているのか」を調査するためのクローリング手法の詳細を解説します。また、今回開発したWinnypネットワーククローラーを動作させる事で得られたWinnypネットワークの現状について報告します。さらに、Winny、Winnyp、およびShareの静的解析を通じて得られた知見をベースとした、匿名P2Pファイル共有交換システム独特の静的解析アプローチについて解説します。
-
■ Inside "Winnyp" - Winnyp Internals and Concepts of Network Crawling
PacSec 2008 発表資料
石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
Leakage of highly classified information through anonymous P2P filesharing networks is becoming a major issue in Japan. In order to counter this threat we have statically analyzed the code of the popular anonymous P2P filesharing softwares "Winny" and "Share", publicly revealed their internals and protocols in detail and created defensive strategies. Apart from these efforts we managed to overcome the high anonymity of Winny and Share that has up until now been an issue while preventing data leakage. However while the filtering and network scanning capabilities of Winny have been uncovered, up until now equal functionality in the protocol compatible "Winnyp" were unharmed, making investigations and enactments upon information leakage outbreaks impossible. Therefore this time we have statically analyzed Winnyp's code completely, taken a look at all the internals and protocols as well as shed light on the many approaches taken to increase anonymity. For the main part, we will in explain how to figure out which node under which IP address shares what files by using crawler technology. We will report on the techniques used by the new Winnyp network crawler as well as the current state of the Winnyp network. Furthermore we will explain the best approaches to the statical analysis of anonymous P2P filesharing systems that we could gather while working on Winny, Winnyp and Share.
-
■ 「FFR EXCALOC」 コンパイラのセキュリティ機能に基づいたExploitabilityの数値化
Black Hat Japan 2008 発表資料
石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
最近のコンパイラには、さまざまなセキュリティ拡張が実装されています。これら機能により、アプリケーション作成者は、仮に脆弱なアプリケーションをリリースしてしまったとしてもExploitされる可能性を大幅に低減させる事ができるようになりました。しかし、これらのセキュリティ拡張が利用されていないコンパイラを使用して作成されたソフトウェアはいまだ多く存在します。これにより、近年の多くのコンパイラでサポートされているスタック保護や、OSで提供されている安全なヒープマネージメントが機能せず、いまだ traditionalな手法でExploit可能となるケースが多々見受けられます。そこで今回、サポート切れとなっている古いものを含む多数のコンパイラで生成されたオブジェクトの分析を行い、特徴パラメータを抽出し、ソフトウエアのExploitabilityについて数値化する研究を行いました。また、本アルゴリズムを用いたExploitabilityの数値化システムを開発し、一般に提供されている著名なソフトウエアに適用しました。そして、それらソフトウエアの脆弱性検査を行い、数値化されたExploitabilityとの比較を行いました。その結果、本システムを用いることでソフトウエアのExploitabilityを容易に分析できることが分かりました。本システムを用いることで、セキュリティアナリストは致命的な脆弱性が潜むであろうソフトウェアを効率よくピックアップすることが可能になり、効率よく脆弱性の発見を行うことが可能となります。
-
■ ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPS
Black Hat Japan 2008 発表資料
村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
近年、マルウェアのステルス化が進んでおり、従来に比べてより検出することが困難になっている。今日のマルウェアは、動的なコードインジェクション、ルートキット技術等の様々なステルス技術を備えている。更に、Trojan.Srizbiのように完全にカーネルモードで動作するマルウェアまで登場している。ルートキットやカーネルモードマルウェアに特化した検出ツールは、数多くリリースされているが、どちらも同じCPUの特権レベルで動作するためそれらはイタチごっこである。そこで今回、ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPSの開発を行った。これは、OSが実行される特権レベルより低い「Ring -1」で動作する。本セッションでは、今日のマルウェアが利用する様々なステルス技術、およびハイパーバイザーIPSを利用してこれらのマルウェアを防止する手段について説明する。
-
■ A Hypervisor IPS based on Hardware Assisted Virtualization Technology
Black Hat USA 2008 発表資料
村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
Recently malware has become more stealthy and thus harder to detect, than ever before. Current malware uses many stealth techniques, such as dynamic code injection, rootkit technology and much more. Moreover, we have seen full kernel mode malware like Trojan.Srizbi. Many detection tools were released that specialize in kernel mode malware and especially in the detection of rootkits. However, these tools are a cat and mouse game, because they and the malware are executed on the same privilege level. This is why we developed an IPS based on a hypervisor, which uses features of hardware virtualization. It is executed on Ring-1 and thus runs with higher privileges than the OS layer. In this session, we will talk about stealth mechanisms used by recent malware and demonstrate how to protect against such malware using Hypervisor IPS.
-
■ IPA - 近年の標的型攻撃に関する調査研究−調査報告書−
FFR研究開発部αUnitは、独立行政法人情報処理推進機構(IPA)の支援の元、特定の企業あるいは組織を標的とした攻撃を行う「標的型攻撃」に関する調査研究を行いました。「近年の標的型攻撃に関する調査研究」としてIPAのWebページに報告書が公開されています。
-
■ @IT寄稿 - 5分で絶対に分かるバッファオーバーフロー
石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
皆さんがよく利用しているアプリケーションにセキュリティホールが見つかり、「悪意のあるコードが実行される可能性がある」というような内容のニュースをよく耳にします。しかし、自分でインストールしたわけでもなければ、実行させたつもりもない「悪意のあるコード」がなぜ実行できるのでしょうか? 今回は、バッファオーバーフローを利用して、ほかのアプリケーション上で悪意のあるコードが実行される仕組みについて説明していきます。
-
■ @IT寄稿 - Inside LSM
村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
Linuxカーネル2.6以降にはセキュリティフレームワークとしてLSM(Linux Security Module)が実装されています。本記事ではLSMの仕組みとその活用方法を解説します。
・第1回 知られざるセキュリティフレームワーク「LSM」の役割
・第2回 オリジナルセキュリティモジュールの作成
・最終回 オリジナルセキュリティモジュールを拡張する
-
■ リバースエンジニアリングとセキュリティ脆弱性分析[PDF]
鵜飼裕司 (Yuji Ukai)
代表取締役社長
近年、0-day脆弱性なども多数悪用されるなど、脆弱性を狙った攻撃はより深刻化しつつあります。攻撃者側はリバースエンジニアリングを駆使して脆弱性を発見するなど、近年、攻撃者側の脆弱性発見・分析スキルのプロ化が進んでいます。そこで、本プレゼンテーションでは、近年の脅威と攻撃者が注目する脆弱性のトレンドやリバースエンジニアリングによる効率的な脆弱性発見のポイント、近年のファイルフォーマット系脆弱性と発見のコツ、ファイルフォーマット系脆弱性の実例と発見のアプローチなどを紹介します。
-
■ ITPro寄稿 - マルウェアの解析対策を無効にするAnti-Anti-Debuggingツールを開発
鵜飼裕司 (Yuji Ukai)
代表取締役社長
最近のMalwareは、解析対策の一環としてAnti-Debuggingを実装しているものが増えており、解析がやや面倒になっています。Anti-Debuggingの手法として最も利用されているIsDebuggerPresent()、およびPEB(Environment Block)のBeingDebuggedフラグ参照によるデバッガ検出を無効にする方法を解説します。
-
■ システムコールフックを使用した攻撃検出[PDF]
金居良治 (Ryoji Kanai)
取締役 最高技術責任者
システムコールフックという技術を通して、OS に対して独自に作成した拡張機能を追加するにはどのようにすれば良いのかを紹介します。本プレゼンテーションでは、書き込み属性のあるメモリ領域からのシステムコール呼び出しを禁止する、とう独自カーネルモジュルを作成しました。これにより、単純なスタック/ヒープベースのバッファオーバーフロー発生時のセキュリティリスクを低減する事が可能になります。
-
■ ITPro寄稿 - セキュリティチェックの定番「ポートスキャナ」
金居良治 (Ryoji Kanai)
取締役 最高技術責任者
・第1回 ポート・スキャナ,使いこなせますか
・第2回 OS情報検出のひみつ
・第3回 実際にOSを検出してみる
・第4回 新GUI:tracerouteからネットワーク図を自動描画
-
■ 最新ポートスキャナ対策[PDF]
金居良治 (Ryoji Kanai)
取締役 最高技術責任者
nmapや各種セキュリティ脆弱性スキャナには、対象でどのようなサービスが動作しているかをリモートから検出するためのポートスキャナが実装されています。ペネトレーションテストや脆弱性管理では必須の技術ですが、攻撃の前段階における調査手法一つとしても定着しています。本資料では、ポートスキャンを無効化するためのいくつかの技術を紹介します。また、システムの通常運用に影響を与えることなく、簡単にポートスキャンを無効化するフォティンフォティの独自手法を紹介します。
-
■ 組み込みシステムのセキュリティ[PDF]
鵜飼裕司 (Yuji Ukai)
代表取締役社長
近年、携帯電話や家庭用ゲーム機、情報家電など、さまざまな組み込み機器がインターネットに接続し、電子商取引などが活発に行われるようになってきました。しかし、セキュリティ研究は主にデスクトップPCやサーバで動作するOSやアプリケーションにフォーカスしており、組み込みシステムの分野では十分に議論がなされていません。しかし、組み込みシステムを狙う攻撃は年々増加しており、また、古典的な脆弱性を持つ製品も多数存在する事から、組み込みシステムは攻撃者にとって格好のターゲットになりつつあります。そこで本プレゼンテーションでは、組み込みシステムのバッファオーバーフロー脆弱性にフォーカスし、その脅威分析について解説します。
