春から連載を開始した株式会社ラックの五島氏によるこの連載も、いよいよ攻撃ツールの中身を解剖する最終章に入りました。ご期待下さい。─●攻撃ツールについてMS06-050 の脆弱性は、Microsoft Office という広く普及している製品であるため注目度が高く、何種類もの攻撃ツールが存在しますが、ここでは Perl で記述された攻撃ツールを例にして解説します。【攻撃ツール例 (言語: Perl)】注:攻撃ツールのポイントとなる部分のみを抜粋して掲載しています。================================================================【Excel ファイル作成部】 use Spreadsheet::WriteExcel; # Perl で Excel ファイルを作成するためのモジュールを宣言 my $workbook = Spreadsheet::WriteExcel->new("ファイル名"); # Excel ファイルの作成[snip]【BOf データ作成部】 $a="aaaaaaaaax53x59x53...x4Cx45x5Aaaaaaaaaa\" x 80; ・・・ (1)[snip] my $shellcode = "シェルコード"; ・・・ (2)[snip] $worksheet->write_url(0, 0, "$a", "ClickMe!"); ・・・ (3)[snip] seek ass,7233,0; print ass "xEBxF4..."; seek ass,7223,0; print ass "xE9x8A..."; ・・・ (4) seek ass,6449,0; print ass "xEBx1A...";[snip]================================================================【Excel ファイル作成部】から分かるように、この攻撃ツールは攻撃コード (シェルコード) を含む Excel ファイルを作成するタイプのツールです。作成された Excel ファイルをユーザに開くように誘導し、操作させることで、攻撃が可能となります。実際に攻撃ツールを実行すると、悪意あるハイパーリンクを含む Excel ファイルが作成されます。Excel ファイルを開いてみると "ClickMe!" と書かれたハイパーリンクがセル A1 に確認でき、このハイパーリンクをクリックすると BOf が発生して 49152/tcp ポートにバックドアが作成される、という流れになります。●実際に攻撃ツールの中身を見るそれでは、上記で紹介した攻撃ツールを簡単に解説したいと思います。1. シェルコードの用意まずは攻撃の要となる攻撃コード、いわゆるシェルコードです。【BOf データ作成部】の(2)で、BOf によって実行させるシェルコードを用意し、"$shellcode" 変数に格納しています。ここに「攻撃を受けたホストの 49152/tcp ポートにバックドアを作成する」という内容のシェルコードが入ります。この攻撃ツールでは Excel ファイルのデータとしてシェルコードを埋め込んでいますが、Excel 自体がこのシェルコードのデータを解釈して実行するわけではありません。あくまでも、データとしてメモリ領域上に配置させておくことが目的であることに注意してください…【関連記事】管理者が知っておきたい 攻撃ツールの基礎の基礎第一回「防御の知識だけでは対応できない」https://www.netsecurity.ne.jp/3_8711.html第二回「攻撃ツールの種類」https://www.netsecurity.ne.jp/3_8756.html第三回「攻撃ツールの特徴」https://www.netsecurity.ne.jp/3_8801.html第四回「攻撃ツールの開発言語」https://www.netsecurity.ne.jp/3_9048.html第五回「攻撃ツールの自動作成」https://www.netsecurity.ne.jp/3_9094.html第六回「攻撃ツールを分析する」https://www.netsecurity.ne.jp/3_9958.html【執筆:五島 扶美恵】株式会社ラック(http://www.lac.co.jp/)SNS事業本部 JSOC事業部 技術部ぺネトレーションテストを専門とする。コンサルティング事業部、コンピュータセキュリティ研究所等を経て、現在はラック脆弱性データベース「SNSDB」の情報調査や脆弱性の検証等を担当している。【関連URL】JSOChttp://www.lac.co.jp/business/jsoc/ 株式会社ラックのペネトレーションテストhttp://www.lac.co.jp/business/sns/consulting/inspection/diagnosis.html ──※ この記事は Scan購読会員向け記事をダイジェスト掲載しました購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
