管理者が知っておきたい 攻撃ツールの基礎の基礎(7)「攻撃ツールのポイントの見つけ方」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

管理者が知っておきたい 攻撃ツールの基礎の基礎(7)「攻撃ツールのポイントの見つけ方」

特集 特集

春から連載を開始した株式会社ラックの五島氏によるこの連載も、いよいよ攻撃ツールの中身を解剖する最終章に入りました。ご期待下さい。

●攻撃ツールについて
MS06-050 の脆弱性は、Microsoft Office という広く普及している製品であるため注目度が高く、何種類もの攻撃ツールが存在しますが、ここでは Perl で記述された攻撃ツールを例にして解説します。

【攻撃ツール例 (言語: Perl)】
注:攻撃ツールのポイントとなる部分のみを抜粋して掲載しています。
================================================================
【Excel ファイル作成部】
use Spreadsheet::WriteExcel;
# Perl で Excel ファイルを作成するためのモジュールを宣言
my $workbook = Spreadsheet::WriteExcel->new("ファイル名");
# Excel ファイルの作成
[snip]


【BOf データ作成部】
$a="aaaaaaaaax53x59x53...x4Cx45x5Aaaaaaaaaa\" x 80; ・・・ (1)
[snip]

my $shellcode = "シェルコード"; ・・・ (2)
[snip]

$worksheet->write_url(0, 0, "$a", "ClickMe!"); ・・・ (3)
[snip]

seek ass,7233,0;
print ass "xEBxF4...";
seek ass,7223,0;
print ass "xE9x8A..."; ・・・ (4)
seek ass,6449,0;
print ass "xEBx1A...";
[snip]

================================================================
【Excel ファイル作成部】から分かるように、この攻撃ツールは攻撃コード (シェルコード) を含む Excel ファイルを作成するタイプのツールです。作成された Excel ファイルをユーザに開くように誘導し、操作させることで、攻撃が可能となります。

実際に攻撃ツールを実行すると、悪意あるハイパーリンクを含む Excel ファイルが作成されます。Excel ファイルを開いてみると "ClickMe!" と書かれたハイパーリンクがセル A1 に確認でき、このハイパーリンクをクリックすると BOf が発生して 49152/tcp ポートにバックドアが作成される、という流れになります。

●実際に攻撃ツールの中身を見る
それでは、上記で紹介した攻撃ツールを簡単に解説したいと思います。

1. シェルコードの用意
まずは攻撃の要となる攻撃コード、いわゆるシェルコードです。
【BOf データ作成部】の(2)で、BOf によって実行させるシェルコードを用意し、"$shellcode" 変数に格納しています。ここに「攻撃を受けたホストの 49152/tcp ポートにバックドアを作成する」という内容のシェルコードが入ります。

この攻撃ツールでは Excel ファイルのデータとしてシェルコードを埋め込んでいますが、Excel 自体がこのシェルコードのデータを解釈して実行するわけではありません。あくまでも、データとしてメモリ領域上に配置させておくことが目的であることに注意してください…

【関連記事】
管理者が知っておきたい 攻撃ツールの基礎の基礎
第一回「防御の知識だけでは対応できない」
https://www.netsecurity.ne.jp/3_8711.html
第二回「攻撃ツールの種類」
https://www.netsecurity.ne.jp/3_8756.html
第三回「攻撃ツールの特徴」
https://www.netsecurity.ne.jp/3_8801.html
第四回「攻撃ツールの開発言語」
https://www.netsecurity.ne.jp/3_9048.html
第五回「攻撃ツールの自動作成」
https://www.netsecurity.ne.jp/3_9094.html
第六回「攻撃ツールを分析する」
https://www.netsecurity.ne.jp/3_9958.html

【執筆:五島 扶美恵】
株式会社ラック(http://www.lac.co.jp/)
SNS事業本部 JSOC事業部 技術部
ぺネトレーションテストを専門とする。コンサルティング事業部、コンピュータセキュリティ研究所等を経て、現在はラック脆弱性データベース「SNSDB」の情報調査や脆弱性の検証等を担当している。
【関連URL】
JSOC
http://www.lac.co.jp/business/jsoc/
株式会社ラックのペネトレーションテスト
http://www.lac.co.jp/business/sns/consulting/inspection/diagnosis.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×