(cache) sh4rk's BLOG

Windows Kernel(CVEなし/BID-47897 )

On 2011年5月19日, In 脆弱性検証, by sh4rk

これはやだなぁ。
Windowsのカーネル処理の欠陥により、ローカルからDoS攻撃を受ける脆弱性。

Microsoft Windows is prone to a local denial-of-service vulnerability that occurs in the Windows kernel.
An attacker can exploit this issue to cause an affected computer to become unresponsive, resulting in a denial-of-service condition.

http://www.securityfocus.com/bid/47897

やってみた。

本脆弱性を利用することで、DoS攻撃（BSoD（Blue Screen of Death))に成功。おそろしや。
VM上のWindowsでやったが、起動しなくなってしまった。

実証に成功した環境は以下のとおり。
Windows Vista SP2

対策は、まだ。

Windowsのスタートアップ（自動起動）

On 2011年5月18日, In Tips, by sh4rk

ワンクリックウェアとかに利用されてるので。
Windowsのスタートアップ（自動起動）設定箇所についてのまとめ。

自動起動方法は以下のとおり。
(1)レジストリ「HKLM」での設定
(2)レジストリ「HKCU」での設定
(3)「スタートアップフォルダ」での設定
(4)「タスクマネージャ」での設定

起動順序は以下のとおり。
マシン起動→サービスプログラム起動→ログオン画面→ログオン
→レジストリ「HKLM」のRunOnce
→レジストリ「HKLM」のRun
→レジストリ「HKCU」のRun
→[スタートアップ] フォルダ
→レジストリ「HKCU」のRunOnce

やってみた。

なぜか、タスクスケジュールがうまくいかない。なんでだろう。

自動起動の設定詳細は以下のとおり。

(1)レジストリ「HKLM」での設定
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

キー名とコマンドラインが格納される。
ログインする全ユーザに適用される。
本レジストリの変更はAdministrators権限が必要。
RunOnceは、実行後削除され、次回起動時には実行されない。（Runは実行後削除されないため、次回起動時にも実行される）

コマンドでの設定例は以下のとおり。
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v hklm-run /t REG_SZ /d “mshta http://localhost/hklm-run”
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v hklm-run /t REG_SZ /d “mshta http://localhost/hklm-runonece”

(2)レジストリ「HKCU」での設定
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

キー名とコマンドラインが格納される。
当該ログインユーザだけに適用される。（その他のユーザには適用されない）
本レジストリの変更はAdministrators権限が必要。
RunOnceは、実行後削除され、次回起動時には実行されない（Runは実行後削除されないため、次回起動時にも実行される）

コマンドでの設定例は以下のとおり。

REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v hkcu-run /t REG_SZ /d “mshta http://localhost/hkcu-run”
REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v hkcu-run /t REG_SZ /d “mshta http://localhost/hkcu-runonece”

(3-1)「All Usersのスタートアップフォルダ」での設定
C:\Documents and Settings\All Users\スタートメニュー\プログラム\スタートアップ

スタートアップフォルダ（全ユーザ共通定義定義）にファイル（プログラムファイル、ショートカットファイル）が存在すれば、スタートアップ時に自動実行される。
そのマシンにログインする全ユーザに適用される。
本フォルダの変更は、Administrators権限が必要。

(3-2)「各ユーザのスタートアップフォルダ」での設定
C:\Documents and Settings\[ユーザー名]\スタートメニュー\プログラム\スタートアップ

スタートアップフォルダ（ユーザ別定義）に、ファイル（プログラムファイル、ショートカットファイル）が存在すれば、スタートアップ時に自動実行される。
当該ログインユーザだけに適用される。（その他のユーザには適用されない）
本フォルダの変更は、Administrators権限、または、そのユーザで可能。

(4)「タスクマネージャ」での設定
C:\Windows\System32\Tasks

[スタート]→[コントロールパネル]→[タスク]から変更可能。
ログイン以外にも指定日時、毎分等の設定が可能。

コマンドでの設定例は以下のとおり。
（ログオン時）
SCHTASKS /Create /SC ONLOGON /TN mshta-schedule /TR “mshta http://localhost/schedule”

（毎分）
SCHTASKS /Create /SC MINUTE /MO 1 /TN AUTO_BUILD /TR “mshta http://localhost/schedule”

/SC スケジュール頻度を指定（/MOで詳細に指定)
/TN タスク名
/TR 実行タスク

参考：
http://support.microsoft.com/kb/179365/ja
http://support.microsoft.com/kb/314866/ja

以上

FFFTPのログイン情報の取得と適用

On 2011年5月16日, In Tips, by sh4rk

FTPを利用してのファイルアップロード・ダウンロードを行うツール「FFFTP」
FFFTPのログイン情報の取得と適用方法。

ログイン情報（ユーザ名・パスワード）は以下に格納されている
HKEY_CURRENT_USER\Software\sota\FFFTP\Options\Host[番号]\
の
UserName、Password

取得するには以下のとおり。

regedit /e FFFTP.reg “HKEY_CURRENT_USER\Software\sota\FFFTP”

⇒FFFTP.regというファイルでログイン情報が保存される

適用するには、上記で作成したregファイルをダブルクリック。

やってみた。

レジストリ情報を盗まれることで、FFFTP情報が判明し、被害の拡大につながることに。

対策は、なし。なんかあるのかなぁ。

WinSCPのログイン情報の取得と適用

On 2011年5月16日, In Tips, by sh4rk

SSHを利用してファイルをやりとりするためのツール「WinSCP」
WinSCPのログイン情報の取得と適用方法。

ログイン情報（ユーザ名・パスワード）は以下に格納されている
HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions\[セッション名]\
の
UserName、Password

取得するには以下のとおり。

regedit /e WinSCP.reg “HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions”

⇒WinSCP.regというファイルでログイン情報が保存される

適用するには、上記で作成したregファイルをダブルクリック。

やってみた。

レジストリ情報を盗まれることで、WinSCP情報が判明し、被害の拡大につながることに。

対策は、ログイン情報保存時に「パスワードを保存」のチェックをはずす。

VideoLAN VLC(CVE-2011-1574)

On 2011年5月9日, In 脆弱性検証, by sh4rk

VLC media playerの処理の欠陥により、リモートから任意のコードを実行される脆弱性。

This vulnerability is an input validation error in libmod_plugin as included with VideoLAN VLC 1.1.8.
All versions prior to version 1.1.9 are affected. By creating a malicious S3M file, a remote attacker could execute arbitrary code.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1574

やってみた。

VLC用のファイルを開くことで、任意のコード（今回は電卓（calc.exe）起動）に成功。

実証に成功した環境は以下のとおり。
Windows XP SP3
VLC 1.1.7

対策は、最新版のVLCを使用する。
http://www.videolan.org/vlc/

iPhoneTrackerWinを利用しての位置情報閲覧

On 2011年4月29日, In Tools, by sh4rk

今話題なので。
iPhoneの位置情報を時間ごとに可視化できるようにしたツール「iPhoneTrackerWin」
iPhoneは、GPSを使っての位置情報計算の時間短縮のため、iPhone周辺のWi-Fiと基地局の位置情報をキャッシュし、それを利用しGPS衛星を迅速に見つけている。
今回は、そのキャッシュ情報を使用してiPhoneの移動情報を閲覧してみる。

This application maps the information that your iPhone is recording about your movements. It doesn’t record anything itself, it only displays files that are already hidden on your computer. The idea and some of the implementation is bluntly copied from the original open-source Mac application iPhone Tracker.

http://huseyint.com/iPhoneTrackerWin/
参考：iPhoneTracke(for Mac)：http://petewarden.github.com/iPhoneTracker/

やってみた。

今回は「/private/var/root/Library/Caches/locationd/consolidated.db」を読み込ませた結果。
行動範囲が東京で、関西にも行ったことがわかる。

検証した環境は以下のとおり。
iPod Touch iOS 4.2.1

以上。

Privacy Blockerを利用した個人情報保護

On 2011年4月26日, In Tools, by sh4rk

Androidにインストールしたアプリケーションによる個人情報漏えいを防止するツール「Privacy Blocker」

機能は以下のとおり。
・情報漏えいする可能性のある機能が指定したアプリケーションにあるかどうかのスキャン
・スキャン結果の閲覧
・情報漏えいする可能性のある機能の修正
・修正されたアプリケーションのインストール・バックアップ
・Eメール・Facebook・Twitter経由でのスキャン結果の送信
・アプリケーションの削除

https://market.android.com/details?id=com.xeudoxus.privacy.blocker

使ってみた。

今回はアプリケーション「Bump」に対して実行し、3件の情報漏えいの可能性のある箇所を発見。

検証した環境は以下のとおり。
Android 2.2.1
Privacy Blocker 1.3.2

以上。

Skype(BID-47403/CVEなし)

On 2011年4月26日, In 脆弱性検証, by sh4rk

へぇ。
Skypeの設定保存方法の仕様の欠陥により、リモートから機密情報が取得される脆弱性。

Skype for Android is prone to an information-disclosure vulnerability.
Remote attackers can exploit this issue to gain access to sensitive information. This may aid in further attacks.

http://www.securityfocus.com/bid/47403/

やってみた。

本脆弱性を利用することで、端末に保存されたSkype情報を窃取することに成功。

実証に成功した環境は以下のとおり。
Android 2.2.1
Skype 1.0.0.831

対策は、最新版のSkypeを利用する。
http://blogs.skype.com/security/2011/04/privacy_vulnerability_in_skype_1.html

Wireshark(CVE-2011-1591)

On 2011年4月26日, In 脆弱性検証, by sh4rk

これは危ないなぁ。
Wiresharkの処理の欠陥により、任意のコードを実行される脆弱性。

a stack buffer overflow in Wireshark <= 1.4.4 When opening a malicious .pcap file in Wireshark, a stack buffer occurs, resulting in arbitrary code execution.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1591

やってみた。

悪意あるパケットキャプチャファイルを開くことにより、任意のコード（今回はcalc.exe）の実行に成功。

実証に成功した環境は以下のとおり。
Windows XP SP3
Wireshark 1.4.4

対策は、最新のバージョンにアップデートする。
http://www.wireshark.org/download.html

SNSからの出会い系詐欺

On 2011年3月28日, In 攻撃手法, by sh4rk

facebookからの出会い系詐欺がはやっているようなので。
mixiでもGREEでもその他SNSなら何でも同じだけど。

仕組み・流れは以下のとおり。
　(1)不特定多数のターゲットに、携帯電話に返信を誘導するSNS内メッセージを自動的に送信
　(2)返信してきたターゲットに、出会い系サイトに誘導するメールを自動的に送信
　(3)出会いサイトに登録したターゲットに、ポイント（有料）を消費させるため出会い系サイト内メッセージを送信
これにより、ポイントを購入させ利益を得る。

具体的な流れは以下のとおり。

(1)不特定多数のターゲットに、携帯電話に返信を誘導するSNS内メッセージを自動的に送信
facebookにて、以下のようなメッセージをターゲットに送る。（ツールで自動的にクロールして送信されている）

【件名】突然すみません！
【本文】
実は私、仕事が芸能関係で、某男性タレントとかのマネージャーやってるんです。
今メッセさせてもらったのはタレント本人の希望でどうしてもお話したいと‥。
もしよろしければ少しお時間いただけませんか？
本人は最近まではテレビや取材、雑誌の特集などで忙しく、私から見ても精神的に疲れてるようで・・
お恥ずかしい話、私では彼をケアできなくて…ここまで心を閉ざすのは初めてなんです。
急なお願いになりますが、彼を助けてあげてはくれませんか？
実は本人と一緒に友達を探しながら色々辿って見ていたら、
何か感じる所があったらしく、メッセージを出しておいてくれないか、と言われました。
私はマネージャーとしてどうにか彼を支えたいと思い、
事務所に内緒で彼の要望に答えてあげようと思ったのですが、結局は事務所にばれてしまいました。
当然のことですが、本人がネット上で一般の方に連絡をするようなことは固く禁じられています。
名前も出せないので、本人はfacebookに登録すらすることが出来ません。
●●●@ezweb.ne.jp
ここにメールをしてもらってもいいですか？本人と連絡が取れるように致します。

わたしのfacebookの登録が事務所から見られてしまうと何をしようとしているかが分かってしまう可能性があるので、退会をする予定です。
そうするともうfacebook内で連絡を取る事が出来なくなってしまう為、
メッセージでお返事頂いても私からお返事は返せませんし本人の名前を記録に残るメッセで送ることも出来ないのです。
（名前をネット上で公表したりしてしまった日にはあっさりクビになっちゃいます＞＜）

…もちろん、これは私と本人からの一方的なお願いになりますので、
色々なご事情で彼と連絡を取って頂くことがご無理であれば仕方ありません。
このままメッセージを削除して頂ければこちらから二度とメッセージを送ることもありませんし、連絡等一切行いません。
でも、来てくれる事を待っています。彼を助けてください。
●●●@ezweb.ne.jp
メールを頂く事がご無理であればこれでお別れになってしまいますが、また、お会い出来る機会があれば幸いです。
それでは。

上記例では、携帯メールアドレスを提示しワンテンポ置くことで、出会いサイトアドレスを公にさせない、かつ、信頼して返信したターゲットに絞っている。

(2)返信してきたターゲットに、出会い系サイトに誘導するメールを自動的に送信
信頼して上記携帯メールアドレスへ返信すると以下のようなメールが送信される。（ツールで自動的に送信される）

【件名】ありがとうございます
【本文】
メールありがとうございます！

色々な事情があり今回のお願いになったのですが、本人は連絡を取れることを心待ちにしております。
この後は直接本人とやり取りをして頂きたく思いますので、本人が登録をしているSNSのURLをお知らせします。
本人のメールアドレスは事務所にて厳重に管理されており、私が直接教えてしまうと大問題になってしまう為、SNSで直接本人から聞いて頂きやり取りをして下さい。

手間をおかけして申し訳ありません！

彼からのメッセージも預かっていますので、そちらも併せて確認してくださいね！

http://●●●.net/●●●/index.php?MM=●●●&FC=●●●&CD=●●●&MS=●●●

今回の事が私にとってとても大事なことだった為、ご協力頂けてとても嬉しいです！

事務所に管理されているこのアドレスではメールをやり取りすることが出来ない為、私からこのアドレスでのお返事はここまでとさせて頂きます。
彼の招待を受けて頂いた後、改めて彼と共にご挨拶させて頂きますのでよろしくおねがいいたします！

本文内のURLにアクセスすることで出会いサイトに登録させられる。
なお、上記メールのヘッダ情報は以下のとおり。

Delivered-To: ▲▲▲@gmail.com
Received: by 10.143.162.2 with SMTP id p2cs22404wfo;
Sun, 27 Mar 2011 09:21:03 -0700 (PDT)
Received: by 10.42.176.74 with SMTP id bd10mr5080944icb.256.1301242333386;
Sun, 27 Mar 2011 09:12:13 -0700 (PDT)
Return-Path:
Received: from mptpm.com (s80.GtokyoFL18.vectant.ne.jp [222.230.110.80])
by mx.google.com with ESMTP id yc10si8769117icb.113.2011.03.27.09.12.12;
Sun, 27 Mar 2011 09:12:13 -0700 (PDT)
Received-SPF: neutral (google.com: 222.230.110.80 is neither permitted nor denied by best guess record for domain of nobody@mptpm.com) client-ip=222.230.110.80;
Authentication-Results: mx.google.com; spf=neutral (google.com: 222.230.110.80 is neither permitted nor denied by best guess record for domain of nobody@mptpm.com) smtp.mail=nobody@mptpm.com
Received: by mptpm.com (Postfix, from userid 99)
id 9E3AF2DA0F4; Mon, 28 Mar 2011 01:12:11 +0900 (JST)
From: ●●●@ezweb.ne.jp
Subject: =?ISO-2022-JP?B?GyRCJCIkaiQsJEgkJiQ0JDYkJCReJDkbKEI=?=
To: ▲▲▲@gmail.com
Message-Id: <20110327161211.9E3AF2DA0F4@mptpm.com>
Date: Mon, 28 Mar 2011 01:12:11 +0900 (JST)

これにより、mptpm.comのPostfix上から送信されていることがわかる。（ezwebの携帯から送信されていない）
よって携帯メールへ送信されたメールを攻撃者のサーバの自動転送し、上記メールを送信していると推測できる。

(3)出会いサイトに登録したターゲットに、ポイント（有料）を消費させるため出会い系サイト内メッセージを送信
出会い系サイトに登録すると、サイト内で以下のようなメッセージが送られてくる。（ツールで自動的に送信される）

★*･゜ﾟ･*みんなのSNS☆:.｡. .｡.:*

　ひみつ☆ﾏﾈｰｼﾞｬｰさんからのメールです☆彡[写真付き]

☆彡タイトル☆彡
いくらお伝えしても貴女には届かないのでしょうか？彼の携帯アドレスとなりますので確認可能なら今お願いします！

メールの続きはココから

http://●●●.net/auto_auth.php?pp=●●●&guid=●●●

——————————–
個人情報を記載してるメールについては個人情報保護の観点により一定の時間を過ぎますと削除される事が御座いますのでお早めにご確認下さい

上記出会いサイトは、サイト内でメッセージのやりとり（受信・送信）するために「ポイント」が必要になる。
ポイントは有料であり、メッセージのやりとりを続けさせ、ポイントを購入させることで、利益を得る。

ポイントを使い切ると、サイト運営サポートから、登録メールアドレス宛に以下が送られてくる。

【件名】※アドレスメールが届きました
【本文】
お客様宛てに【アドレスメール】が届きましたが、お客様はお試し会員の為、受取ることができませんでした。
下記より無料で出来る、会員登録を行いますと受取ることが出来ます。
…～……～…～……～…
　今すぐ無料で出来る　　【後払い会員登録】
　　　↓↓↓↓

http://●●●.net/machk.php?op=●●●

…～……～…～……～…
後払い登録を行いますと
・アドレスメールの受信無料でできます
・毎月必ず当たる無料ポイントのご案内が届く
・ポイントがなくてもサイト利用が出来る
などお得な特典が盛り沢山です！
是非ご活用下さい。
…～……～…～……～…
　今すぐ無料で出来る　　【後払い会員登録】
　　　↓↓↓↓

http://●●●.net/machk.php?op=●●●

…～……～…～……～…

「後払い」にさせることでメッセージのやり取りを続けさせ、使ったポイントを後から請求するという流れ。

対策は「気をつける」しかないのかなぁ。

以上。

sh4rk's BLOG