情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

2.脅威 > 2.6 攻撃ツール

過去問(H26SC春午前2問1)には、「RLO(Right-to-Left Override)を利用した手口の説明」として、「文字の表示順を変える制御文字を利用し,ファイル名の拡張子を偽装する」とある。
なかなか興味深い。
RLOとは、そのスペルにあるように、右(Right)から左(Left)への置き換え(Override)だ。
日本語は左から右へ文字が流れる。
でも、アラビア語などは逆の右から左だ。そのために、逆に流すことができる。

やり方はとても簡単。
実際にやってみよう。
メモ帳で leocod.exe と書く。
ここで、oの後ろで右クリック、Unicode制御文字の挿入でRLO する。
rlo
すると leexe.doc という表示になる。
これをコピーして exeファイルの名前を変更すればいい。
一見するとdocファイルの拡張子だ。
 ※アイコンの変更方法は、別途書きたい。

読み方は「エクスプロイトコード」である。
Exploitという言葉の解釈は、多少分かれる。しかし、Exploitコードと、「コード」をつけた場合は、ハッキングツールと考えればいい。コードという言葉がついているように、攻撃するためのプログラム(スクリプト)だ。
たとえば、Land攻撃を行うためのExploitコードがland.cであり、広く公開された。
dcf52feb

じゃあ、
Exploitコード=ハッキングツール
と考えていいですか?


ちまたによく出回っているハッキングツールは、いろいろな攻撃ができたり、対象が限定されないものだ。一方、Exploitコードは、特定の脆弱性に対するスクリプトなので、若干ニュアンスが違う。
過去問を見てみよう。
この問題では、「Web販売システムで使用中のWebサーバプログラムに脆弱性が発見されたとの情報が提供された。このWebサーバプログラムの脆弱性情報を図3に示す」として、以下の情報が記載されている。
・HTTP POSTメソッドにおいて,HTTPヘッダ内にRFCで定義されていない“X-Sender"というヘッダフィールドを指定することで,任意のOS コマンドを実行させることが可能である。その際,  OSコマンドはWebサーバプログラムの動作権限で実行される。
・そのほかのメソッドでは,この脆弱性は報告されていない。
・Exploitコードが公開されている。 (H21SC春午後1問2)
929c854c
これは分かりやすいです。
Webサーバに脆弱性があり、それを攻撃する手法というかツールがExploitコードとして公開されているんですね。
脆弱性だけでなく攻撃手法まで公開されているのだから、危険です!


その通り。この問題は以下の設問がある。
設問1 〔脆弱性の評価〕について答えよ。
(2)Q課長が,攻撃が実際に行われる可能性が高いと考えた根拠は何か。25字以内で述べよ。
答えは何ともシンプルで、以下である。
「・攻撃手法が公開されている。」
「・Exploitコードを基にした攻撃が予想される。」
sef4
このExploitコードがサーバやPCに埋め込まれたら、ウイルスソフトで検知しないのですか?
検知するものも当然あるが、検知できないものが多いだろう。

「企業内ネットワークやサーバにおいて、侵入者が通常のアクセス経路以外で侵入するために組み込むもの(H22秋FE午前問44)」は何か。
不正侵入の手口について問われている。
正解は、バックドア。
日本語訳すると、裏口のドア。自由に出入りできる裏口を用意し、不正アクセスをするのである。

「不正侵入してOSなどに不正に組み込んだものを隠ぺいする機能をまとめたツール(H21春SC午前2問12)」を何と言うか
これは知らないと解けないですね。
root権限(管理者権限)を持つツール群(kit)というのが、ルートキットの名前の由来だろう。
正解は、ルートキット(rootkit)です。不正侵入者用のバックドアとして活用されるでしょう。このツールを使えば、気づかれないようにしながらコマンドを実行したり、サービスを動かしたりすることができます。
別の過去問(H28秋SG午前問14)では、rootkitに関して「サーバにバックドアを作り,サーバ内での侵入の痕跡を隠蔽するなどの機能をもつ不正なプログラムやツールのパッケージ」と述べられています。

また、H20SV午後1問1では、「rootkitのように、関連するファイル屋プロセス情報をOSから見えなくする仕組み」と述べられている。
設問3(3) rootkitがファイルやプロセスを見えなくする仕組みを、30字以内で述べよ。
(H20SV午後1問1より)
これは難しい。
試験センターの解答例は、「システムコールを横取りして、その応答を偽装する」

C&C(Command and Control)サーバとは、インターネットからPCのマルウェアに対してCommandを送って、遠隔でControlするサーバである。
情報処理技術者試験では、「指令サーバ」と表現されることがある。
過去問(H28秋SG午前問12)では、「ボットネットにおけるc&cサーバの役割」として、「侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。」とあります。
C&Cサーバ_情報セキュリティスペシャリスト試験
PCに感染したマルウェアへの通信プロトコルは、httpやhttpsが利用されることが多い。
情報セキュリティスペシャリスト試験を目指す女性SE 

へーそうなんですね。
以前のボットネット通信では、IRCが多かった気がします。
感覚論でしかないが、今は3分の2くらいhttp(https)のようだ。その理由について過去問(H26春FE午前問44)では、次のように述べられている。
「Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い」

マルウェアがC&Cサーバと通信する動作の一例については、過去問(H25SC秋午後Ⅱ問1)に、「図2 マルウェアPの特徴」として掲載されている。
・C&C (Command & Control)サーバとの通信にはHTTPを用いる。
・C&Cサーバとの通信をRC4で暗号化する。
・ブラウザのプロキシ設定を参照する。
・C&Cサーバからファイルをダウンロードして実行できる。
・C&Cサーバから指令を受けて,任意のシェルコマンドを実行できる。
・キーロギングし,その結果をC&Cサーバにアップロードできる。
・PC上の任意のファイルをC&Cサーバにアップロードできる。
・細工されたWebサイトやPDFファイルの閲覧時に,JREやPDF閲覧ソフトに敖弱性があると感染する。

この問題の続きを見てみよう。
攻撃者は、どうやってFWの向こう側からPCを遠隔操作するのかが記載されている。
X氏 :攻撃者は,マルウェアPを使って社内のPCを操作していたようです。
O部長:本社の環境では,インターネットからの通信はFWで制限しています。また,各PCからは,プロキシを経由しないとインターネットにはアクセスできないはずです。攻撃者はなぜ,インターネットから社内のPCを操作できるのですか。
X氏 :マルウェアPはブラウザのプロキシ設定を参照してプロキシ経由でC&Cサーバにアクセスしますが,PCからC&Cサーバヘの方向だけでHTTPリクエストが発生します。このとき,マルウェアPに対する指令が[ b ]に含まれているので,攻撃者はPCを操作できるというわけです。

設問2(4) 本文中の[ b ]に入れる適切な字句を,10字以内で答えよ。
設問解説であるが、bには「HTTPリクエスト」に対するサーバからの応答である「HTTPレスポンス」が入る。

通信先
以下の資料に、「標的型メール攻撃に使用された不正プログラム等による通信の接続先」が掲載されている。
これがC&Cサーバと同じと考えられる。
中身は以下の資料を確認してもらいたいが、1位が米国(25%)、2位が韓国(17%)、3位が香港(12%)となっている。
https://www.npa.go.jp/keibi/biki3/250822kouhou.pdf

試験には出ないでしょうし、過去にも問われていない(はず)です。
あくまでも、自分の納得性を高めるための参考程度に読んでほしい。

攻撃ツール
攻撃ツールが公開されると、脆弱性をついた攻撃が一気に普及する。例えば、2013年には、「Apache Struts 2」の脆弱性を突いた攻撃が一気に増えたが、それは、攻撃用のツールが出回ったからである。

LOIC (Low Orbit Ion Cannon)
簡単にDDoSを仕掛けられるツールとして有名。ただ、有名になったこともあり、多くのDDoS対策、WAF製品などで、LOICに対する防御対策がなされていることが多い。


便利なツール
攻撃用のツールではなくても、その便利さから攻撃者のツールになりえるものがある。

SHODAN
複合機が丸見えになる恐れ (2/2)
http://itpro.nikkeibp.co.jp/article/COLUMN/20120220/382087/?ST=attack&P=2

Googleハッキング

SNS(Facebookなど)
たとえば、某企業を攻撃しようとするなら、その社員にアクセスする必要がある。それが今は簡単に検索できる。
さらに、情シスの人であることや、機密情報を持っている立場であることも調べられるだろう。
 
パーセントエンコーディング
URLエンコーディングという場合もある。文字を違うコードで表すのである。
たとえば、SQLインジェクションではサニタイジングされてしまうような文字を、違うコードで表記する。
(例) ' → %27

簡単にエンコードとでコードをしてくれるサイトもある。たとえば以下。
 
Amazonなどのサイトを見ていると、%がたくさんのURLを見たことがあります。もしかして、あれもそうですか?
たとえばこんなの

そうです。上記のサイトででコードすると、以下になります。



2009年頃から登場し、JR東海やローソン、ホンダなど、有名な企業のホームページが改ざんされた。

過去問(H22年SC秋午後Ⅰ問4)では、Gumblar攻撃の内容がG攻撃として述べられている。
(1)利用者PCのブラウザから、改ざんされたWebサイトにアクセスすると、トロイの木馬型の不正プログラムを送り込むWebサイト(以下、不正プログラム送り込みサイトという)に強制的にリダイレクトされる。
(2)利用者が気づかないうちに、不正プログラム送り込みサイトから、利用者PCのブラウザ経由で不正プログラムがダウンロードされ、実行される。すると、利用者PC上のアプリケーションの脆弱性を突いて不正プログラムに利用者PCが感染する。悪用される脆弱性は複数報告されている。
(3)不正プログラムに感染した利用者PCから、この利用者が管理するWebサイトにFTPでアクセスする設定となっていると、不正プログラムが、FTPサーバのIPアドレスや、FTPクライアントのパスワード保存機能からFTPアカウントのIDとパスワードを盗み出して、攻撃者のサーバに送付する。
(4)攻撃者は、送付されてきたFTPサーバのIPアドレスやFTPアカウントのIDとパスワードを使って、利用者が管理するWebサイトに侵入してページを改ざんしたり、不正プログラム送り込みサイトに作り変えたりする。これによって、上記(1)の改ざんされたWebサイトや不正プログラム送り込みサイトが増える。
図2 G攻撃のシナリオ(攻撃フェーズ)
素材3_1_Gumblar




 
sef5 
でもこれ、おかしくないですか?
FTPのID/Passを入手したとしても、どうやって社外から内部のWebサーバにアクセスするのですか?
普通は、社内からしかアクセスさせないはずです。
 
その考えは正しい。
本来はそうあるべきだ。しかし、社外からFTPアクセスを許可させているところは意外に多い。たとえば、SIerに委託していて、社外からID/Passだけでログインさせているとか、ハウジングやホスティングの場合も社外からできる。最近はクラウドサービスが増えているから、社外からできることがほとんどである。 

このページのトップヘ