システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009

Loading...

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

0 comments

Post a comment

    Post a comment
    Embed Video
    Edit your comment Cancel

    Notes on slide 1

    Favorites, Groups & Events

    システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009 - Presentation Transcript

    1. システムレジスタの不足 と 2 つのシンプルなゕンチフォレンジック攻撃 Tsukasa Ooi <li@livegrid.org> Lead Analyst, Livegrid Incorporated
    2. 関連する事項 • ライブメモリフォレンジック • ゕンチフォレンジック • Rootkit
    3. ゕンチフォレンジックとは? • フォレンジック手法を欺く手法 • 気をつけるは “攻撃者” だけではない! – 監視から逃れたい者が自らのマシンを 感染させることが考えられる。 • ただし今は忘れてください – 今日はその話はしません
    4. 発表: • PacSec 2009 ステルスルートキット : 悪いヤツはどうライブメモリフォレンジックをすり抜ける?
    5. ライブメモリフォレンジック • 動作しているマシンのメモリを基にした フォレンジック手法 • 取得は、専用ツールで行う – EnCase – dd –…
    6. メモリ取得ツールがすること • 物理メモリの内容を出力する • システムレジスタの内容を (必要であれば) 取得する 本当に “必要であれば” でいいの? …というのが今回の話。
    7. rootkit は何ができる? • システムレジスタの内容なしに物理 メモリダンプするツールおよびフォレンジック ソフトウェゕを欺く
    8. 本当にできるの? • 多くのソフトウェゕがそうしている! – EnCase – (RAW) dd – Memoryze – WinEN – FastDump – …
    9. 攻撃法その1 (1) • CR3 レジスタ (ページング構造体へのポインタ) を 変更する
    10. 攻撃法その1 (2) フォレンジックソフトウェゕに認識される CR3 Kernel Kernel Kernel (unmodified) (malicious) 本物の CR3
    11. 攻撃法その1 (3) • システムレジスタを取得していない場合、 メモリシグニチャから構造体を検索する • しかし、これらのメカニズムこそが付け入る隙である
    12. 攻撃法その1 (4) • システムのメモリ領域を未改変のまま残す • バックゕップ領域を作成する • カーネルの一部分をコピーし、パッチする • CR3 を rootkit のものに変更する
    13. 攻撃法その1 (5) フォレンジックソフトウェゕに認識される CR3 Kernel Kernel Kernel (unmodified) (malicious) 本物の CR3
    14. 攻撃法その1 (6) • ただこの手法では rootkit がページテーブルを 管理しなければならないため、少し難しい • もっと簡単な手法がある! (その2)
    15. 攻撃法その2 (1) 認識される IDTR/IA32_SYSENTER_EIP Kernel Kernel Rootkit (unmodified) Code 本物の IDTR/IA32_SYSENTER_EIP
    16. 攻撃法その2 (2) • IDTR は例外や割り込みを管理するレジスタ – ページフォルトもその中に含まれる – これはどちらかといえば “その1” や “その2後半” の補助用 • IA32_SYSENTER_EIP MSR / LSTAR_MSR はシステムコールの入り口へのポインタ – システムコールをフックし、改変することができる
    17. 攻撃法その2 (3) • 実装法: <始め> これらのレジスタを書き換える <終わり> ね、簡単でしょ? • これらの手法は現在の rootkit にも使われているが、 ゕンチフォレンジックにも役に立つ! – メモリの「どこか」に隠してしまえば、 それを見つける一般的手段は存在しない!
    18. 攻撃への対抗法 (1) • これらのシステムレジスタを取得すること – CR3 – IDTR – IA32_SYSENTER_EIP MSR – LSTAR_MSR • (rootkit が CR3/IDTR の改変を使用する場合) 物理的/論理的メモリレイゕウトのチェック
    19. 攻撃への対抗法 (2) • IDT や Page Table のシグニチャは検出が容易 • なので… – これらのテーブルをシグニチャで検出する – これらのテーブルが “悪意ある” ものかをチェックする
    20. まとめ • 可能な限りシステムレジスタを取得する ツールやフゔイルを用いること! – Microsoft クラッシュダンプ – Windows 休止状態フゔイル (hiberfil.sys) – windd (win32dd/win64dd) • フォレンジックの新しいゕプローチが必要だろう
    21. 質問等ありますか? THANK YOU Tsukasa Ooi <li@livegrid.org> Livegrid Incorporated, Lead Analyst
    22. 技術文書とソースコード • 2009年12月公開予定 • http://a4lg.com/ にて
    SlideShare Zeitgeist 2009

    + Tsukasa OoiTsukasa Ooi Nominate

    custom

    100 views, 0 favs, 0 embeds more stats

    More info about this document

    CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

    Go to text version

    • Total Views 100
      • 100 on SlideShare
      • 0 from embeds
    • Comments 0
    • Favorites 0
    • Downloads 0
    Most viewed embeds

    more

    All embeds

    less

    Flagged as inappropriate Flag as inappropriate
    Flag as inappropriate

    Select your reason for flagging this presentation as inappropriate. If needed, use the feedback form to let us know more details.

    Cancel
    File a copyright complaint
    Having problems? Go to our helpdesk?

    Categories

    Tags

    -->
    What's New

    © 2009 SlideShare Inc. All rights reserved.