管理者が知っておきたい 攻撃ツールの基礎の基礎(7)「攻撃ツールのポイントの見つけ方」 | ScanNetSecurity
2024.05.05(日)

管理者が知っておきたい 攻撃ツールの基礎の基礎(7)「攻撃ツールのポイントの見つけ方」

春から連載を開始した株式会社ラックの五島氏によるこの連載も、いよいよ攻撃ツールの中身を解剖する最終章に入りました。ご期待下さい。

●攻撃ツールについて
MS06-050 の脆弱性は、Microsoft Office という広く普及している製品であるため注目度が高く、何種類もの

特集 特集
facebookLINE
春から連載を開始した株式会社ラックの五島氏によるこの連載も、いよいよ攻撃ツールの中身を解剖する最終章に入りました。ご期待下さい。

●攻撃ツールについて
MS06-050 の脆弱性は、Microsoft Office という広く普及している製品であるため注目度が高く、何種類もの攻撃ツールが存在しますが、ここでは Perl で記述された攻撃ツールを例にして解説します。

【攻撃ツール例 (言語: Perl)】
注:攻撃ツールのポイントとなる部分のみを抜粋して掲載しています。
================================================================
【Excel ファイル作成部】
use Spreadsheet::WriteExcel;
# Perl で Excel ファイルを作成するためのモジュールを宣言
my $workbook = Spreadsheet::WriteExcel->new("ファイル名");
# Excel ファイルの作成
[snip]


【BOf データ作成部】
$a="aaaaaaaaax53x59x53...x4Cx45x5Aaaaaaaaaa\" x 80; ・・・ (1)
[snip]

my $shellcode = "シェルコード"; ・・・ (2)
[snip]

$worksheet->write_url(0, 0, "$a", "ClickMe!"); ・・・ (3)
[snip]

seek ass,7233,0;
print ass "xEBxF4...";
seek ass,7223,0;
print ass "xE9x8A..."; ・・・ (4)
seek ass,6449,0;
print ass "xEBx1A...";
[snip]

================================================================
【Excel ファイル作成部】から分かるように、この攻撃ツールは攻撃コード (シェルコード) を含む Excel ファイルを作成するタイプのツールです。作成された Excel ファイルをユーザに開くように誘導し、操作させることで、攻撃が可能となります。

実際に攻撃ツールを実行すると、悪意あるハイパーリンクを含む Excel ファイルが作成されます。Excel ファイルを開いてみると "ClickMe!" と書かれたハイパーリンクがセル A1 に確認でき、このハイパーリンクをクリックすると BOf が発生して 49152/tcp ポートにバックドアが作成される、という流れになります。

●実際に攻撃ツールの中身を見る
それでは、上記で紹介した攻撃ツールを簡単に解説したいと思います。

1. シェルコードの用意
まずは攻撃の要となる攻撃コード、いわゆるシェルコードです。
【BOf データ作成部】の(2)で、BOf によって実行させるシェルコードを用意し、"$shellcode" 変数に格納しています。ここに「攻撃を受けたホストの 49152/tcp ポートにバックドアを作成する」という内容のシェルコードが入ります。

この攻撃ツールでは Excel ファイルのデータとしてシェルコードを埋め込んでいますが、Excel 自体がこのシェルコードのデータを解釈して実行するわけではありません。あくまでも、データとしてメモリ領域上に配置させておくことが目的であることに注意してください…

【関連記事】
管理者が知っておきたい 攻撃ツールの基礎の基礎
第一回「防御の知識だけでは対応できない」
https://www.netsecurity.ne.jp/3_8711.html
第二回「攻撃ツールの種類」
https://www.netsecurity.ne.jp/3_8756.html
第三回「攻撃ツールの特徴」
https://www.netsecurity.ne.jp/3_8801.html
第四回「攻撃ツールの開発言語」
https://www.netsecurity.ne.jp/3_9048.html
第五回「攻撃ツールの自動作成」
https://www.netsecurity.ne.jp/3_9094.html
第六回「攻撃ツールを分析する」
https://www.netsecurity.ne.jp/3_9958.html

【執筆:五島 扶美恵】
株式会社ラック(http://www.lac.co.jp/)
SNS事業本部 JSOC事業部 技術部
ぺネトレーションテストを専門とする。コンサルティング事業部、コンピュータセキュリティ研究所等を経て、現在はラック脆弱性データベース「SNSDB」の情報調査や脆弱性の検証等を担当している。
【関連URL】
JSOC
http://www.lac.co.jp/business/jsoc/
株式会社ラックのペネトレーションテスト
http://www.lac.co.jp/business/sns/consulting/inspection/diagnosis.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 特集 特集 記事
TOP