Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

2015年7月31日 #ssmjp での資料です。

Takuji Kitagawa

August 02, 2015
Tweet

More Decks by Takuji Kitagawa

Other Decks in Technology

Transcript

  1. 1. WindowsやOffice、Adobe Reader等のパッチ適用率の向上 2. Adobe Reader や Officeへの保護ビュー(サンドボックス) 機能の導入 3.

    脆弱性を用いた攻撃の成功率の低下 4. 実行ファイルやショートカットの直接の送付は、多くのメール クライアントやメールサーバでブロックされる 5. 実行ファイル(ショートカット)を圧縮して標的型メールとし て送信 圧縮された実行ファイル形式の 標的型攻撃メール増加の理由は?
  2. 59 ZoneIDとは?  Windows XP SP2、Windows Server 2003 SP1以降で導入された Attachment

    Execution Service (AES)  アプリケーションは、IAttachmentExecute APIを使用する必要がある  (IAttachmentExecute APIを使用した)ブラウザでダウンロードしたファイ ルやメーラーで受信した添付ファイルにZoneIDがADS(代替データストリー ム)として付加される  ZoneIDを付加するブラウザ IE、Chrome、Firefox、Opera メーラ Windows Liveメール、Outlook、Thunderbird(38.0.1で確認)  実行ファイルやショートカットの場合、 「セキュリティの警告」を表示(Windows Vista,7) 「SmartScreen」によるチェックを実行(Windows 8以降)  Officeファイルの場合、「保護されたビュー」で開く(Office2010以降)  PDFファイルの場合、 「保護されたビュー」で開く(Adobe Acrobat Reader 既定では有効になっていない)
  3. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip Windows標準

    フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜 2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 ファイルマ ネージャか ら実行 ◦ ー ー ー ◦ ◦ ◦ ◦ 展開して 実行 ◦ X X X X ◦ X X ◦ セキュリティの警告が表示される X セキュリティの警告が表示されない ー 独自のファイルマネージャーがない ZoneIDの付加された圧縮ファイル(内容は実行ファイル) を各種アーカイバで開封した場合の動作比較(Windows7)
  4. 99 Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付 Outlook & Windows標準のアーカイバ (Windows7) 添付ファイルにZoneID (インターネット)が付 加される ZoneIDが欠落する

    デスクトップ等に ドラック&ドロップ 偽装アイコンは表示され ない ZoneIDが付加されていないため、 実行ファイルが警告なしに実行される
  5. 101 Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付 Outlook & Windows標準のアーカイバ (Windows7) 添付ファイルにZoneID (インターネット)が付 加される ZoneIDが維持される

    右クリックで名前を付 けて保存 ZoneID(インターネット)が付加 されているため、警告が表示される 偽装アイコンは表示され ない
  6. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip Windows標準

    フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 偽装アイコン が表示されな い ◦ X X X ◦ ◦ ◦ ◦ 実行ファイル の警告表示 ◦ X X X ◦ ◦ ◦ ◦ Officeファイ ルを保護され たビューで開 く ◦ X X X X ◦ ◦ ◦ ショートカッ トの警告表示 ◦ X X X X ◦ ◦ ◦ Outlookの添付ファイル(圧縮ファイル) を各種アーカイバで開封した場合の動作比較(Windows7)
  7. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip Windows標準

    フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 偽装アイコン が表示されな い ◦ X X X ◦ ◦ ◦ ◦ 実行ファイル の警告表示 ◎ 実行不可 X X X ◦ ◎ 実行不可 ◦ ◎ 実行不可 Officeファイ ルを保護され たビューで開 く ◦ X X X X ◦ ◦ ◦ ショートカッ トの警告表示 ◎ 実行不可 X X X X ◎ 実行不可 ◦ ◎ 実行不可 Windows Liveメールの添付ファイル(圧縮ファイル) を各種アーカイバで開封した場合の動作比較(Windows7)
  8. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip Windows標準

    フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 偽装アイコン が表示されな い ◦ X X X ◦ ◦ ◦ ◦ 実行ファイル の警告表示 ◦ X X X ◦ ◦ ◦ ◦ Officeファイ ルを保護され たビューで開 く ◦ X X X X ◦ X ◦ ショートカッ トの警告表示 ◦ X X X X ◦ X ◦ Thunderbirdの添付ファイル(圧縮ファイル) を各種アーカイバで開封した場合の動作比較(Windows7) PeaZipの動作がOutlook,Liveメールと異なるのは Outlook,LiveメールはTemporary Internet Filesに添付ファイルが保存されるがThunderbirdでは別の場所に保存されるため
  9. • Windows 8 以降で導入(Windows 10でも継続) • IE9以降で導入されたIE SmartScreen Application Reputationを

    Windowsに統合したもの • プログラムを実行時にZoneID>=3の場合、ファイルのハッシュ値やコー ドサイニング証明書の発行元をインターネット経由でマイクロソフトのク ラウドに送信、レピュテーション(評判・評価)を問い合わせる • レピュテーションの詳細仕様は公開されていない(攻撃者がレピュテー ションを獲得するのを避けるため)が、アンチウイルスの結果、ダウン ロード回数、URLのレピュテーションなどの機械学習により生成している と思われる • コードサイニング証明書で署名されたファイルは、早くレピュテーション を確立できる(EV証明書では更に早い) • 一度レピュテーションを確立した発行元(証明書)のレピュテーションは 別のプログラム(別のバージョン)にも受け継がれる Windows SmartScreen
  10. IE SmartScreen filter IE SmartScreen Application Reputation Windows SmartScreen UAC

    ブラウザ(IE)のみ Windows全般 IE8以降 IE9以降 Win8以降 Vista以降 URLのレピュテー ション ファイルのレピュテーション 権限昇格時 Win7以降の既定では Windowsの設定変更時 を除く • コード署名ありの場合、早くレピュテー ションを確立 • EVコード署名証明書の場合、更に早くレ ピュテーションを確立 • 一度レピュテーションを確立した発行元 (証明書)のレピュテーションは別のプ ログラムにも受け継がれる コード署名なしの場合 黄色で警告を表示 コード署名ありの場合 警告なしだがダイアロ グは出る Windowsの各種保護機能の比較
  11. • 標的型攻撃で使用されるマルウェアは、アンチウイルスによる検知を 避けるため、あえて異なるハッシュ値となるよう、ソースコートを一 部改変しての再ビルドや、パッカー(圧縮)、クリプター(暗号化) などが使用される(いわゆる未知のマルウェア) • ファイルのハッシュ値は、今までにない未知のものになる • プログラム実行時にSmartScreenによりハッシュが送信されると、 レピュテーションが確立されていないため警告が出る

    • 但し、攻撃者が正規のプログラムをリリースしてレピュテーションを 確立してから同じ証明書を使ってマルウェアにコード署名したり、既 にレピュテーションの確立した証明書を盗んでコード署名した場合な ど、抜け道の可能性がない訳ではない。 Windows SmartScreenが標的型攻撃に有効な理由
  12. John the Ripperのベンチマーク でも10数万から30数万倍の差 # john -test (略) Benchmarking: Office

    2007/2010 SHA-1/AES [32/64]... (4xOMP) DONE Raw: 95.0 c/s real, 24.8 c/s virtual (略) Benchmarking: PKZIP [32/64]... (4xOMP) DONE Many salts: 31394K c/s real, 7946K c/s virtual Only one salt: 13093K c/s real, 3463K c/s virtual
  13. 1. ZoneIDの役割 セキュリティ警告、Windows SmartScreen、保護されたビュー などWindows標準のセキュリティ機能の多くはZoneIDに依存し ている 2. メーラーやアーカイバ(解凍ソフト)に よるZoneIDの扱いの違い ZoneIDを付加しないメーラやZoneIDを欠落させてしまうアーカ

    イバがあるためせっかくのセキュリティ機能が動作しない 3. Windows標準のセキュリティ機能 セキュリティの警告、Windows SmartScreen ソフトウェア制限ポリシー/AppLocker、保護されたビューなど 標準の機能だけでも有用な対策となる 今日のポイントのおさらい
  14. • フォルダの表示設定の変更 – 「登録されている拡張子は表示しない」のチェックを外す • 添付ファイルにゾーン情報が保存されるメーラーを使用する (Outlook、Windows Live メール、Thunderbird等) •

    Windows標準のアーカイバを既定のアーカイバとする • サードパーティのアーカイバを拡張子に関連付けしない – パスワード付きZIPの作成のみ使用する • セキュリティの警告、SmartScreenの警告が出たら実行しない • 保護されたビューで「編集を有効」にしない • ソフトウェア制限ポリシー/AppLockerを設定し、デスクトップ及 び解凍先フォルダの意図しないプログラムの実行を制限する • 自分が普段使っているメーラ・アーカイバの組み合わせで偽装 ファイルがどのように表示されるか、どのような警告が表示され るか予行演習を行い、警告、ブロックされるような動作を身に付 ける 標的型攻撃メールに対する対策 まとめ
  15. • 添付ファイル型 – 脆弱性を利用しない攻撃(実行ファイル型) • AES(ZoneID)の特性を活かす セキュリティ警告、SmartScreen、ソフトウェア制限ポリシ/AppLocker – 既知の脆弱性を利用した攻撃(Office、PDF reader等)

    • パッチの適用、保護されたビュー、EMET – ゼロデイ脆弱性を利用した攻撃(Office、PDF reader等) • 保護されたビュー、EMET • URLクリック型 (水飲み場攻撃、ドライブバイダウンロード攻撃と対策は共通) – 脆弱性を利用しない攻撃(実行ファイル型) • AES(ZoneID)の特性を活かす セキュリティ警告、 SmartScreen、ソフトウェア制限ポリシ/AppLocker – 既知の脆弱性を利用した攻撃(ブラウザ、プラグイン等) • パッチの適用、(Right)Click-to-Play、EMET – ゼロデイ脆弱性を利用した攻撃(ブラウザ、プラグイン等) • (Right)Click-to-Play 、EMET 標準機能による対策だけでも多層防御になります