8月に米国で開催されたセキュリティ会議「Black Hat」では,米ウェブセンスの研究者が注目していた講演がいくつかあった。その一つが,JavaScriptの第一人者であるBilly Hoffman氏の「Circumventing Automated JavaScript Analysis Tools」(JavaScript自動分析ツールの回避)だ。当社のセキュリティ・ラボでは,悪意のあるJavaScriptを多数調べており,最新の情報/研究報告を絶えず求めている。Hoffman氏は,JavaScriptとその悪用に関して,非常に重要な情報源となっている。
講演の中でHoffman氏は,悪質なWebページの作者に現在利用されている難読化JavaScript自動解読ツールの回避テクニックを,いくつか取り上げた。同氏が述べたポイントの一つは,自動解読ツールの動きは通常のWebブラウザと異なるため,動作分析で簡単に検出されてしまうことだ。
Hoffman氏は,悪人たちがWebブラウザのフィンガープリントを参照することで,簡単に偽装可能なユーザー・エージェントに頼ることなく,JavaScriptの動いているWebブラウザを検出する例をいくつか示した。その際取り上げられたのが,Webブラウザのエラー・チェック,HTTPヘッダーでのJavaScriptの使用,ネットワーク・テスト,バック・チャネル通信でのイメージの使用などだ。
同氏の講演で興味を引いたテクニックが二つあった。空白文字を使用したコンテンツの符号化と,米マイクロソフトの次期Webブラウザ「Internet Explorer(IE)8」で新たに加わったJavaScriptの機能だ。このうち,空白文字を利用した符号化は非常に興味深いものだった。JavaScriptの自動分析ツールの多くが,コードをトークン化して分析できるよう,コードから空白文字を取り除いてしまうからだ。
もう一つの興味深い点が,IE 8の新機能でデータURIに対応していることだ。この機能により,基本的にはドキュメントの内部やURI経由でデータにアクセスできるようになり,毎回データを取得する必要がなくなる。つまり,ドキュメント内にデータを取り込んでおける。
この方法はデータの種類を問わないため,例えば画像データ,Webページのコンテンツ・データの可能性もあれば,特別な形式で符号化された悪質なデータということもあり得る。まさに,攻撃用コンテンツを隠す新たな手段がもたらされたといってよい。同氏の講演をまとめると,悪意のある作者は様々なテクニックを意のままにあやつり,(自動解読ツールでない)本物のWebブラウザの内部に悪意あるコードを表示できるよう試みている。
その他,2日目の講演で面白かったのがMark Dowd氏とAlexander Sotirov氏による「How To Impress Girls with Browser Memory Protection Bypasses」(Webブラウザのメモリー保護をバイパスして,女の子を驚かせる方法)だ。両氏は,マイクロソフトのOS「Windows Vista」のメモリー保護機能を完全にすり抜けるテクニックを披露した。それによると,特別な.NETオブジェクトを利用して,パソコン内の好きなメモリー位置に任意のコンテンツをロードできる。
このテクニックは,Windows Vistaのセキュリティ機能「Address Space Layout Randomization(ASLR)」や「Data Execution Prevention(DEP)」を回避する。Windows Vistaに効果のあるエクスプロイトを作成する大きな一歩となる。こうしたテクニックやその派生テクニックは,たちどころにコンセプト実証(PoC)コードとなり,実際のエクスプロイトにつながるであろう。
2008年のBlack Hatカンファレンスを振り返ってみると,最も大きな話題はDan Kaminsky氏が報告したDNSのぜい弱性につきるだろう(発表内容(PowerPoint形式),関連記事:DNSサーバーに存在するぜい弱性の詳細情報が流出/詳細が明かされたDNSキャッシュ・ポイズニングの新手法)。このぜい弱性は,同カンファレンス開幕の何週間も前から大きく取り上げられており,ぜい弱性そのものについて(既にカンファレンス前に議論が重ねられていたため)会場が沸き立つことはなかった。
また今回は,カスタム.NETオブジェクト,Hibernateファイル,マイクロソフト「Office」のドキュメントなど,ファイルをベースとした各種エクスプロイトの利用に関する講演が目立った。解析回避を目的として開発された,悪意のあるコンテンツ(マルウエア,Webページ,ネットワーク・トラフィック)についての講演も数多くあったようだ。具体的な例を挙げると,最初に紹介したBilly Hoffman氏の講演,Joe Stewart氏の「Protocols and Encryption of the Storm Botnet」(Stormワーム・ボットネットのプロトコルと暗号化),Shawn Embleton氏およびSherri Sparks氏の「A New Breed of Rootkit:The System Management Mode(SMM)Rootkit」(「ルートキットの新種:SMM」)などだ。
全体的に見て,Black Hatカンファレンスは予想通り,研究者たちがそれぞれの研究について議論を重ね,新たな理論を広げることのできる素晴らしい場であった。
Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Black Hat USA 2008 Wrap Up」でお読みいただけます。
