(cache) sh4rk's BLOG

Windows Task Scheduler Service(CVEなし/BID44357)

On 2010年11月22日, In 攻撃手法, by sh4rk

ゼロデイかな。
Windowsのタスクスケジューラサービスの欠陥により、ローカルから権限昇格を受ける脆弱性。

Microsoft Windows is prone to a local privilege-escalation vulnerability that occurs in the Windows kernel.
An attacker can exploit this issue to execute arbitrary code with SYSTEM-level privileges. Successful exploits will result in the complete compromise of affected computers. Failed exploit attempts may cause a denial-of-service condition.

http://www.securityfocus.com/bid/44357

やってみた。

タスクスケジューラ処理の欠陥を利用し、管理者権限に所属するユーザ「sh4rk」を作成するタスクを実行させることに成功。
これにより、sh4rkユーザでターゲットの全制御が可能となった。

実証に成功した環境は以下のとおり。
Windows Vista SP2

対策は、まだ。

Memtest86+

On 2010年11月18日, In Tools, by sh4rk

CDブート/USBブートのメモリ診断ツール「Memtest86+」。
メモリが壊れてるか確認できる。

Based on the well-known original memtest86 written by Chris Brady, memtest86+ is a port by some members of the x86-secret team, now working at www.canardpc.com. Our goal is to provide an up-to-date and completly reliable version of this software tool aimed at memory failures detection.
Memtest86+ is, like the original, released under the terms of the Gnu Public License (GPL).
No restrictions for use, private or commercial exist other than the ones mentioned in the Gnu Public License (GPL).
Texts about the original version was taken from the original website and written by Chris Brady.

http://www.memtest.org/
http://www.memtest86.com/

インストール方法は以下のとおり。
(1)Memtest86+ USB Installer.exeをダウンロードする
(2)Memtest86+ USB Installer.exeを実行する

画面はこんな感じ。

USBからブートさせると、すぐ始まる。全テストが終了しても、再度初めからテストが開始され、手動でストップさせる必要がある。

チェック内容は以下のとおり。

▼Test 0 [Address test, walking ones, no cache]
全メモリの全アドレスビットを1つのアドレスパターンで検査
⇒アドレッシング問題を発見可

▼Test 1 [Address test, own address]
各アドレスにそれ自身のアドレスを書きこみ、その後整合性を検査
⇒Test0で発見できなかったアドレッシング問題を発見可

▼Test 2 [Moving Inversions, ones&zeros]
1と0だけのパターンで移動式反転法アルゴリズムを使用した検査
⇒時間をかけずにすべての「激しい」エラーを発見可

▼Test 3 [Moving inversions, 8 bit pat]
Test1と同じアルゴリズムで、8ビット幅の0と1の「ウォーキング」パターンを使用した検査
計20個のデータのパターンを使用
⇒「幅広い」メモリチップの微妙なエラーを発見可

▼Test 4 [Moving inversions, random pat]
TEST1と同じアルゴリズムで、乱数を利用したデータパターンとその補数を使用した検査
全部で60のパターンを使用
⇒データに敏感なエラーを発見可

▼Test 5 [Block move, 64 moves]
Robert RedelmeierのburnBX 検査
ブロック移動(movsl)命令を使うことによってメモリにストレスを与える
メモリは、8バイトごとに反転されたパターンをずらしたもので初期化される
その後、メモリの 4MB ブロックは、 movsl 命令を使うことの周りに移動させられる
移動が完了した後で、データパターンを調査
データはメモリ移動が完了された後で確認されるのため、どこでエラーが起こったかを知ることはできない
報告されたアドレスは、おかしくなったパターンが見つけられたところになる
メモリの移動が 8MB セグメントに強制されるので、欠陥のあるメモリのアドレスは、
報告されたアドレスから、少なくとも 8MB 以上離れる
BadRAM パターンを計算するためには使用されない

▼Test 6 [Moving inversions, 32 bit pat]
移動式反転法アルゴリズムの変形で、連続する全アドレスに左に1ビットずらしたパターンを使用した検査
開始ビット位置は通過するたびに左にずらされる
そのためとりうる全データのパターンを使用するには32回の通過が必要
⇒「幅広い」メモリチップのデータに敏感なエラーを発見可

▼Test 7 [Random number sequence]
乱数列をメモリに書込む検査
乱数の種をリセットすることにより同じ乱数列が参照のために作成される
初期パターンで確認した後にその補数によるパターンで次のパスで確認される
移動式反転法と異なり、前方へのみへの検査

▼Test 8 [Modulo 20, ones&zeros]
Modulo-X アルゴリズムを使用した検査
TEST1と同様に、1と0のデータパターンを使用した検査
⇒移動式反転法ではキャッシュやバッファによって妨害されて発見できないエラーを発見可

▼Test 9 [Bit fade test, 90 min, 2 patterns]
ビットフェード検査
全メモリをパターンで初期化した後に90分間停止
その後メモリのビットが変化していないかを確認
全てのビットが ON または OFF のパターンが使用
この検査には3時間の時間が必要
※通常検査に含まれていないため、構成メニューから利用すること

以上。

Katana(Hack From A Cave)

On 2010年11月18日, In Tools, by sh4rk

なんだかちょいちょい有名みたいなので。
USBメモリ用のポータブルなマルチブートのセキュリティアプリ詰め合わせツール。

Katana is a portable multi-boot security suite which brings together many of today’s best security distributions and portable applications to run off a single Flash Drive. It includes distributions which focus on Pen-Testing, Auditing, Forensics, System Recovery, Network Analysis, and Malware Removal. Katana also comes with over 100 portable Windows applications; such as Wireshark, Metasploit, NMAP, Cain & Able, and many more.

http://www.hackfromacave.com/

インストールは手順は以下のとおり。
(1)Katana RARファイルをダウンロードする
(2)RARファイルを展開し、USB直下に全部コピーする
(3)USB直下にコピーしたbootフォルダへ移動し、bootinst.batを実行

使ってみた。

USB起動させることで、各種OSのマルチブートに成功。

ブートできるOSは以下のとおり。
Backtrack (Pen-Testing)
the Ultimate Boot CD (System Tools)
Ultimate Boot CD for Windows (Portable Windows (Not installed by default))
Ophcrack Live (Password Cracking)
Puppy Linux (Minimalistic Linux)
CAINE (Forensics)
Trinity Rescue Kit (System Tools / Antivirus)
Clonezilla (System Backup)
Kon-Boot (System Password Bypass)
Derik’s Boot and Nuke (Wipe Disk)

以上。

偽ウイルス対策ソフト詐欺

On 2010年11月12日, In 攻撃手法, by sh4rk

なんだか偽ウイルス対策ソフトの詐欺がはやっているようで。
Skypeチャットで警告メッセージが送られ、アクセスを誘導し、ウイルス対策ソフトを購入させられる詐欺。
コンピュータ知らない人が見たら騙されちゃうだろうなぁ。

アクセスしてみた。

アクセス後、システムスキャンが始まり、ウイルスが検出された旨の警告が表示され、ウイルス対策ソフトの購入ページに誘導される。
実際に「スキャン」「ウイルス検出」されていないにもかかわらず、あたかも購入しないといけないと思わせている。

対策は、「気をつける」しかないのかなぁ。

インシデントレスポンス(初期対応・証拠保全)

On 2010年11月11日, In Tips, by sh4rk

「インシデントレスポンス」ということで、バックアップ作成までやってみた。

■概要
障害機器を保全・解析のため、ディスクバックアップを行う。
調査対象機器を直接操作すると、システム関連の情報が書き換わる可能性がある。
障害の状況を保持したまま調査するため、USBブートのOSを使用し、外付けHDDにディスクバックアップを行う。

■前提
フォレンジック用OS「DEFT Linux v5.1」
調査対象機器「DELL VOSTRO 1000」
解析用PC「Windows XP」

■手順
手順は以下のとおり。

(1)フォレンジック用OS「DEFT Linux」のUSBブート版を作成する
(2)DEFT Linuxを起動する
(3)解析用PCからDEFT Linux（調査対象機器）へSSHでログインする
(4)外付けHDDにディスクバックアップを行う

手順の詳細は、以下のとおり。

(1)フォレンジック用OS「DEFT Linux」のUSBブート版を作成する
【解析用PCにて】
以下から最新版のDEFT Linuxをダウンロードする。
http://www.deftlinux.net/
今回は、USB版である「deftpen5.1.dd」(971MB)を利用する。

以下から最新版のDDforWindowsをダウンロードする。
http://www.si-linux.co.jp/wiki/silinux/index.php?DDforWindows
今回は、「DDWin_Ver0996.zip」を利用する。

DDforWindowsを起動し、「ディスク選択」でUSBドライブを指定する。
「ファイル選択」で、「deftpen5.1.dd」を指定する。
指定後、「書込」ボタンを押下する。

⇒これにより、フォレンジック用OS「DEFT Linux」のUSBブート版が作成される。

解析用PC（Windows XP）のIPアドレスを「192.169.0.100」にする。

(2)DEFT Linuxを起動する
【調査対象機器にて】
調査対象機器のUSBポートに、ブート用USB（DEFT Linux）を挿す。
調査対象機器の電源を入れ、「F12」ボタンを押下し、Boot Menuを起動する。
Boot Menuブートメニューの起動デバイスにて、「USB-ZIP」を選択する。
Language画面にて、「日本語」を選択する。
起動画面にて、「Start DEFT Linux v5.1」を選択する。

Linux deft 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009 i686

  ##################################################################
  ##################################################################
  ##                                                              ##
  ##                   Welcome to DEFT Linux v5x                  ##
  ##                                                              ##
  ##                                                              ##
  ##        DEFT comes with ABSOLUTELY NO WARRANTY, to the        ##
  ##             extent permitted by applicable law.              ##
  ##                                                              ##
  ##                                                              ##
  ##                     www.deftlinux.net                        ##
  ##                                                              ##
  ##################################################################
  ##################################################################

  To access official DEFT support forum, please visit:

http://forum.deftlinux.net

  If you find a bug, use DEFT forum or e-mail to:
  bug@deftlinux.net

  Exec startx if you need DEFT in graphical mode!

root@deft:~#

⇒これにより、日本語対応のDEFT Linuxが起動する

(3)解析用PCからDEFT Linux（調査対象機器）へSSHでログインする
【DEFT Linux(調査対象機器)】
LANケーブルで、調査対象機器と解析用PCを直結する。
直結後、ログからリンクアップしたインタフェース名を確認する。

root@deft:~# dmesg | tail
（省略）
[  321.000231] b44: eth2: Link is up at 100 Mbps, full duplex.
[  321.000241] b44: eth2: Flow control is off for TX and off for RX.
root@deft:~#

⇒これにより、インタフェース名が「eth2」であることがわかる

SSHでログイン可能にする。

root@deft:~# ifconfig eth2 192.168.0.200/24
root@deft:~#
root@deft:~# /etc/init.d/ssh start
 * Starting OpenBSD Secure Shell server sshd                                       [ OK ]
root@deft:~#
root@deft:~# passwd
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
root@deft:~#

⇒これにより、指定したパスワードでDEFT Linux（調査対象機器）（192.168.0.200）へSSH接続が可能となる

(4)外付けHDDにディスクバックアップを行う
【解析用PC（Windows）】
SSH（Teraterm等）で、DEFT Linux（調査対象機器）（192.168.0.200）にログインする。

調査対象機器のUSBポートからキーボードを抜く。（USBポートの空きを作るため）
調査対象機器のUSBポートに外付けHDDを挿す。
外付けHDDを接続後、ログから接続したHDDのデバイス名を確認する。

root@deft:~# dmesg | tail
[ 1571.172901] scsi 7:0:0:0: Direct-Access              USB Reader       0001 PQ: 0 ANSI: 0 CCS
[ 1571.173978] sd 7:0:0:0: Attached scsi generic sg3 type 0
[ 1572.190789] sd 7:0:0:0: [sdc] 15724544 512-byte logical blocks: (8.05 GB/7.49 GiB)
[ 1572.191642] sd 7:0:0:0: [sdc] Write Protect is off
[ 1572.191650] sd 7:0:0:0: [sdc] Mode Sense: 03 00 00 00
[ 1572.191658] sd 7:0:0:0: [sdc] Assuming drive cache: write through
[ 1572.197387] sd 7:0:0:0: [sdc] Assuming drive cache: write through
[ 1572.197455]  sdc: sdc1
[ 1572.212793] sd 7:0:0:0: [sdc] Assuming drive cache: write through
[ 1572.212867] sd 7:0:0:0: [sdc] Attached SCSI removable disk
root@deft:~#

⇒これにより、デバイス名が「sdc1」であることがわかる。

外付けHDDをマウントする。

root@deft:~# mkdir /mnt/usb
root@deft:~#
root@deft:~# mount /dev/sdc1 /mnt/usb/
root@deft:~#
root@deft:~# mount
（省略）
/dev/sdc1 on /mnt/usb type vfat (rw)
root@deft:~#

⇒これにより、マウントできていることがわかる。

バックアップするディスクのデバイスを確認する。

root@deft:~# hdparm -i /dev/sda

/dev/sda:

 Model=Hitachi, FwRev=SB2OC7KP, SerialNo=SB22DBKGGVBS9N
 Config={ HardSect NotMFM HdSw>15uSec Fixed DTR>10Mbs }
 RawCHS=16383/16/63, TrkSize=0, SectSize=0, ECCbytes=4
 BuffType=DualPortCache, BuffSize=7516kB, MaxMultSect=16, MultSect=16
 CurCHS=16383/16/63, CurSects=16514064, LBA=yes, LBAsects=156301488
 IORDY=on/off, tPIO={min:120,w/IORDY:120}, tDMA={min:120,rec:120}
 PIO modes:  pio0 pio1 pio2 pio3 pio4
 DMA modes:  mdma0 mdma1 mdma2
 UDMA modes: udma0 udma1 udma2 udma3 udma4 *udma5
 AdvancedPM=yes: mode=0x80 (128) WriteCache=enabled
 Drive conforms to: ATA/ATAPI-7 T13 1532D revision 1:  ATA/ATAPI-2,3,4,5,6,7

 * signifies the current active mode

root@deft:~#

⇒これにより、デバイス名「sda」が内臓HDDであることがわかる。

外付けHDDにディスクバックアップを行う。

root@deft:~# dcfldd if=/dev/sda conv=noerror hash=md5 hashconv=before | tee /mnt/usb/sda.dd | md5sum > /mnt/usb/sda.md5.txt
2560000 blocks (80026Mb) written.Total (md5): b862e98d26c9daa82b0fcca0c1c7d61d

2560000+1 records in
2560000+1 records out
root@deft:~#
root@deft:~# cat /mnt/usb/sda.md5.txt
b862e98d26c9daa82b0fcca0c1c7d61d  -
root@deft:~#

⇒これにより、バックアップファイル名「/mnt/usb/sda.dd」が保存される。
⇒「/dev/sda」のMD5値と「/mnt/usb/sda.dd」が同一であることから、正常にバックアップできていることがわかる。
⇒実測値で、約500MB/分の転送量だった（80GB÷（0.5GB/分）=160分）

以上

Linux Kernel(CVE-2010-4158)

On 2010年11月11日, In 脆弱性検証, by sh4rk

Kernelの処理の欠陥により、ローカルからDoS攻撃を受ける脆弱性。
ログインできることが前提だけど。

(追記：2010/11/17)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4158

やってみた。

一般ユーザでログイン後、不正コードを実行することで、システムをフリーズされることに成功。

実証に成功した環境は以下のとおり。
CetOS 5.4(final)
Kernel 2.6.18-164.el5

対策は、未詳。

Target

On 2010年11月9日, In Tools, by sh4rk

結構いいかも。
プレゼンテーションとか画面録画時に、マウスクリックのジェスチャー、その他をわかりやすくできるツール「Target」。
もっと使いやすいのあれば教えてほしい。

こんな感じ。誰かのを拝借。

指定の範囲をハイライトできたり、クリックすると波紋でたり、ショートカットキーを押すと表示されたり、タイマーにも使える。

ダウンロードは以下から。
(今工事中みたい→)http://www.nullmass.com/
（ミラー）http://download.cnet.com/Target/3000-2075_4-11030125.html

以上。

ProFTPd(CVE-2010-3867)

On 2010年11月5日, In 脆弱性検証, by sh4rk

んー、うまくいかない。
FreeBSDのProFTPdの処理の欠陥により、リモートから任意のコードが実行される脆弱性。

(2010/11/09追記)
ぁ、うまくいってた。
FreeBSD系だとシェル奪ってもコマンド実行結果しかでないのね。

ProFTPD is prone to a remote stack-based buffer-overflow vulnerability and a directory-traversal vulnerability because the application fails to perform adequate boundary checks on user-supplied data.
A remote attacker can exploit the buffer-overflow vulnerability to execute arbitrary code with SYSTEM-level privileges. Failed exploit attempts will result in a denial-of-service condition.
A remote attacker can exploit the directory-traversal vulnerability to download and upload arbitrary files outside of the FTP server root directory. This may aid in further attacks.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3867

やってみた。
なんかできない。なんか設定かなぁ。

(2010/11/09追記)
やってみたらできた。

任意のコードを実行する（TCP/45295にシェルを渡す）ことに成功。

実証に失敗した環境は以下のとおり。
FreeBSD 8.0
ProFTPD 1.3.3a

(2010/11/09追記)
実証に成功した環境は以下のとおり。
FreeBSD 8.1
ProFTPD 1.3.3a

対策は、1.3.3c以上にアップデート。
http://www.proftpd.org/docs/NEWS-1.3.3c

Internet Explorer(CVE-2010-3962)

On 2010年11月5日, In 脆弱性検証, by sh4rk

ゼロデイですね。危ない。
Internet Explorerの処理の欠陥により、リモートから任意のコードが実行される脆弱性。

この脆弱性は、Internet Explorer の無効なフラグの参照が原因で起こります。特定の状況で、オブジェクトが削除された後でも、無効なフラグの参照がアクセスされる可能性があります。特別に細工された攻撃では、解放されたオブジェクトにアクセスしようとして、Internet Explorer でリモートでコードが実行される可能性があります。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962

やってみた。

IEでWebアクセスされるだけで、バックドア(TCP/4444)を作成するコードを実行させ、侵入に成功した。

実証に成功した環境は以下のとおり。
Windows Vista SP2
Internet Explorer 8.0.6001.18943

対策はまだ。
http://www.microsoft.com/japan/technet/security/advisory/2458511.mspx

Adobe Flash Player(CVE-2010-3654)

On 2010年11月2日, In 脆弱性検証, by sh4rk

ゼロデイですね。かなり騒がれてますね。
Adobe Flash Playerの処理の欠陥により、リモートから任意のコードを実行される脆弱性。

Adobe Flash Player 10.1.85.3 and earlier on Windows, Mac OS X, Linux, and Solaris and 10.1.95.2 and earlier on Android, and authplay.dll (aka AuthPlayLib.bundle or libauthplay.so.0.0.0) in Adobe Reader and Acrobat 9.x through 9.4, allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption and application crash) via crafted SWF content, as exploited in the wild in October 2010.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3654

やってみた。

PDFファイルを開かせることにより、任意のコード(今回はcalc.exe)の実行に成功。
リバースコネクトうまくいかないなぁ。

実証に成功した環境は以下のとおり。
Windows XP SP3
Adobe Reader 9.4
Adobe Flash Player 10,1,85,3

対策は、まだ。
http://www.adobe.com/support/security/advisories/apsa10-05.html

(2010/11/05追記)
対策は、Adobe Flash Player 10.1.102.64以上にアップデート。
http://www.adobe.com/support/security/bulletins/apsb10-26.html

sh4rk's BLOG