Monthly Archives: 8月 2009

史上初の盗聴ウイルス?

0
Posted by n on 2009年8月29日 – 1:48 AM
Filed under malware

米シマンテックが[Skype]を使った会話を盗聴するトロイの木馬を発見したと報じていますね。
実際にリリースされているものはコンセプトコードレベルで
C++で書かれたソースコードでバックドア機能は現在のところ有していないようです。

skype_virus_code 仕組みとしては
盗聴機能を有したトロイの木馬が暗号化される前の送信データと
復号後の受信データをmp3で保存し
そのデータ保存用サーバに送信するというような仕組みのようです。

SkypeTap_overview 音声データを盗聴するウイルスは史上初だそうです。
Webカメラの映像を盗み出すトロイの木馬なら過去に沢山あったように記憶しているので
今回のウイルスが史上初というのは正直、意外でした。
[Cain]というツールでは、パケットをキャプチャし、VoIP通信をレコーディングする機能があります。
[Cain]はアンチウイルスソフトで、[Security Assessment Tool]や[HACKINGTOOLS]などとして
検出されるという記憶があるので「あれ?史上初でしたっけ?」と思ったのですが
今回のウイルスのように自身が外部に送信するといった機能は有していないため、こちらが史上初とされたのかもしれませんね。

しかし、会議室での会話や身近な人間の音声通信なら、物理的な盗聴と同じで価値のある情報なのかもしれませんが、面識もないような人物の音声通信を集めてどのような価値があるのか。と考えてみましたが、単純に覗き見趣味ということくらいしか思いつきません。標的型攻撃を行って特定組織の情報を盗み出すためのツールの一つとしてはよいのかもしれませんがあまりスマートではない気がします。
企業の音声通信が漏れました!
という事件があれば、見た目のインパクトは大きいとは思うのですが、、、

今回、公開されたものはコンセプトコードということなので、今後、登場してくるマルウェアの1つの機能として組み込まれてい中で洗練されていく様には注目していたいと思います。

NetWalkerに一目惚れ

0
Posted by n on 2009年8月28日 – 12:57 AM
Filed under 未分類

9月25日に「NetWalker」というモバイルネット端末がSharpから発売されるそうです。(ホワイトとブラックのみ。レッドは10月下旬。)

l_yuo_sharp 基本的なスペック(抜粋)は以下の通り。・OS: Ubuntu 9.04(シャープカスタマイズ版)
・CPU: Freescale i.MX515 マルチメディア・アプリケーション・プロセッサ
・メモリ: 512MB(固定)
・本体メモリ:4GBフラッシュメモリー
・ユーザエリア:約2GB
・ディスプレイ: 5型ワイドTFT液晶、WSVGA(1,024×600ドット)、LEDバックライト
・記憶デバイス: 4GBフラッシュメモリー/ユーザーエリア約2GB
・ネットワーク: IEEE 802.11b/g
・カードスロット: microSDメモリーカード×1(16GBまで)
・入出力: ヘッドフォン、USB 2.0×1、miniUSB 2.0/miniABコネクタ×1(ホスト機能のみ)
・バッテリ: 内蔵リチウムイオンバッテリ/約10時間
・サイズ/重量: A6サイズ・約161.4(W)×108.7(D)×19.7~24.8(H)mm/約409g
ユーザ領域が約2GBだそうですが、そこはmicroSDでカバーできそうですね。
何よりボクの注目はOSが「Ubuntu」であることです。
昔、Linux Zaurusを使っていた自分としては、このサイズにこのOSとなると懐かしい気持ちが込み上げてきてなりません。
ネットワークは、無線LANのみだそうですが、USB経由でのイーモバは対応予定だそうです。
ここの部分さえクリアされればかなりの確率で買ってしまいそうです。
あとは、操作性がしっくりくるかどうかだけといった感じです。発売されたら実機を触りにいこうと思います。

SubSeven is BACK!

0
Posted by n on 2009年8月26日 – 12:18 AM
Filed under malware

いわずと知れたバックドアツールのSubSevenが帰ってきたようです。

http://www.subseven.org/

subseven_return 現在はフォーラムやIRCが開設され、開発が進められているようです。
学生の頃、学校で仕掛けられているのを発見したりしたものですが、あの頃とは違いバックドアも進化を遂げて、Malwareという言葉も生まれ、商売道具として扱われる昨今です。今後、この復活を遂げた「SubSeven」がどのような進化をするのかということは、コンピュータセキュリティを生業としている1エンジニアとして興味津々です。フォーラムにアカウントも作成して、しばらくウォッチしたいと思います。

Amap オプションメモ

0
Posted by n on 2009年8月25日 – 1:11 PM
Filed under memo, tool

今更ながらですが、オープンポートやポートなどの応答からアプリケーションマッピングを
行なうツールである「Amap」のオプションメモを作ってみました。
# 文章中にでてくるトリガー(trigger)というのは送信するパケット情報のことをそう呼んでいるのだと思います。

公式サイトはこちらRead More »

mdd オプションメモ

0
Posted by n on 2009年8月24日 – 12:23 PM
Filed under forensic, memo

Windowsのメモリダンプを取得するツール[mdd]のオプションメモです。
[win32dd]よりもダンプする速度が速いと思います。
オプションも簡潔ですので個人的にはこちらが手っ取り早くお勧めです。
メモリダンプ取得の進捗がタイトルバーに表示されるところも好感度が高いです。

公式サイトはこちら

Usage:mdd < -o OUTPUTFILE> [-qvcw]

オプション効果
 -o OUTPUTFILE 
 出力するメモリダンプファイル名を指定。
 
 -q 
 エラー以外の出力を表示しない。
 
 -v 
 冗長モード。マッピングの失敗したオフセットを表示。
 
 -w 
 GPLのための再分配状態。
 
 -q 
 GPLのための保証内容。
 

メモリダンプ取得例
Read More »

Linux Kernel の sock_sendpage() におけるNull Pointor参照外しの脆弱性検証メモ

0
Posted by n on 2009年8月20日 – 11:30 PM
Filed under exploit

Linux Kernelのsock_sendpage()におけるNull Pointor参照外しの脆弱性の検証を行いました。
検証を行った対象OSは。
Ubuntu 9.04(2.6.28-11-generic)
RedHat EL 5(2.6.18.8.el5)
です。

この脆弱性を利用することで一般ユーザからrootへと権限昇格を行うことが可能であるか否かの検証結果は以下の通りです。 Read More »