Spectre / Meltdownのスキャナがリモートクライアントの脆弱性をどうやって調べるのか気になったので作った資料です。 This material made because I was wondering how the Specter / Meltdown scanner will look for remote client vulnerabilities.

1. 脆弱性スキャナNessusの観察
～パケットモニタリングを添えて～

2. 観察対象と動機
Spectre / Meltdown はOS上のメモリを読み取られる脆弱性
パケットを送り込んで遠隔コード実行可能なものではないはず
どうやってリモートから脆弱性の有無を判断するんだろう・・・？
Spectre and Meltdownテンプレート
注：テンプレートとは
脆弱性スキャナのパラメータやプラグインのプリセットのこと
テンプレートを使用せず自分で同じ条件のスキャナを組むこともできる

3. 検証環境
Win10-Host
Win7-Guest
allow tcp 445
注１：
Administratorアカウントが有効になっていないと
脆弱性を検出できなかった
注２：
SMBが有効かつ445ポートが空いていないと
脆弱性を検出できなかった

4. 脆弱性の検出結果
Meltdown/Spectreに対する
セキュリティアップデートの状況に
問題が見つかった
KB4056897/KB4056894が必要
ntoskrnl.exeのバージョンが低い
（カーネルパッチが当たっていない）
どうやってこの結果を調べたのか？

5. レジストリキーの列挙
リモートレジストリサービス（WINREG）
へのアクセスを観測
OpenHKLM：
HKEY_LOCAL_MACHINEを開く
OpenKey：
指定のレジストリキーを開く
QueryInfoKey：
サブキーの数と更新日を得る
EnumKey：
サブキーを列挙する
システムに適用されているKBが
このレジストリキーに列挙されている
プラグインで指定したKBが見つからなければアラートを上げる

6. システムファイルの確認
システムファイル
ntoskrnl.exe ： Windowsカーネル
itss.dll ： ヘルプファイル用ライブラリ
win32k.sys ： Windowsカーネルドライバ
bcrypt.dll ： 暗号モジュール
srv.sys： SMBドライバ
プラグインで指定したファイルのバージョンが古ければアラートを上げる
備考： 名前付きパイプ
IPC$/svcctl： Windowsサービス制御
IPC$/winreg ： リモートレジストリサービス
IPC$/lsarpc ： 認証情報の取得

7. 結論
Win10-Host
Win7-Guest
レジストリキー
システムファイル
1
2
3
5
6
１．
AdministratorアカウントでIPC$に接続する
２．
WINREG経由でレジストリにアクセスする
３．
KBの適用状況一覧を取得して脆弱性が残ってい
るか確認する
４．
AdministratorアカウントでC$に接続する
５．
C:/Windows/System32/にアクセスする
６．
システムファイルを取得して脆弱性が残っている
か確認する
4

8. おまけ：他のテンプレートは何をしているのか

9. WannaCry Ransomeware
１．マルウェアスキャナ（tenable_mw_scan）を
対象クライアントに書き込む
２．svcctl 経由でtenable_mw_scanを起動する
３．スキャン結果が記載されたtxtを取得する
備考： tenable_mw_scan：
既知のマルウェアのハッシュ値と比較して
システム内のWannaCryを検出する実行ファイル
PeekNamedPipe Requestに対して
STATUS_INSUFF_SERVER_RESOURCESが返る
＝ Eternal Blueが利用可能な状態
脆弱性の有無を確認
感染の有無を確認
備考： Metasploitでも同じ手法で脆弱性の有無を調査する

10. Basic Network Scan
名前付きパイプへのアクセスが多数
RPC経由でシステム情報を収集している
※WannaCryテンプレートのようなカスタムスキャナは無い
オープンポートをスキャン
一通りのサービスポートをSYNスキャン
Listen状態のポートは更に情報取得を試みる
5357 ：WSD
49154-49157：lsass
135, 139, 445：SMB/RPC
システム情報収集