セキュリティミニキャンプin沖縄に参加しました
二日間行われた専門講座に行ってきました。その時の技術的な内容について随分端折って書きます。細かい話は後日応用と一緒にやりたいと思っている。
マルウェア動的解析の自動化
私が書くような内容は何もなくてスライドを見てくれって感じですが、一応書きます。やったこととか感想とか。
やったことは、DECAF(Qemuの改造でデバッグのために便利にしてる)を使って、Out-of-VMなアプローチからマルウェアを解析するということ。実際にはマルウェアではなくてマルウェアっぽい動きをする(アンチデバッグな機能を持った)PEなのですが。 これを、主にAPIコールのフック→書き換えを使ってアンチデバッグの回避というイタチごっこをやっていました。これの内容自体はセキュリティキャンプ(全国)でやったものらしくて、そちらではIDAを用いてバイナリを解析してどのAPIをフックするかというところからだったらしいですが、ミニなのでPEのソースコードは与えられていました。IDAでも頑張りましたが。 どうやってフックするかといいますと、DECAFのプラグインを作ります。Cで書きます。お手本のプラグインがあって、そいつを拡張しました。どういうふうに拡張するかというと、フックできるAPIの種類を増やします。もともとはIsDebuggerPresentしかフックできなかったものを、Sleepもフックできるようにする。 やるだけ作業という感じで、IsDebuggerPresent用のものを全部コピーして、IsDebuggerPresent→Sleepに置換して、あと必要な部分(引数とか)を書き換えたらそれでフックできます。そして、DECAFに用意されているAPIを叩いて、呼ばれた時の引数を書き換えたりします。 というのが、Sleep以外にもいくつかあって、それをどんどん攻略していく形になるのだと思うのですが、阿呆なハマり方をしたりして、そんなにたくさんはできませんでした。GetTickCountの戻り値を書き換えたあたりで時間切れ。
車載LANを流れるメッセージの解析
車載LANのプロトコルであるところのCANの仕組みや、Pythonを使っての読み書きをやりました。CANはデータリンク層あたりだった気がするのでレイヤ低めです。ELM327をつかうと、実際に流れている電気信号をシリアルコンソールに流してくれるっぽいので、さらにそれをpythonのCANライブラリ(python-obd)を使って読みました。 ライブラリが充実してるしpythonだしてコーディングは難しくなくて、だいたい文字列処理をうまくやるだけでした。
組込みシステム解体新書(入門編)
とあるルータのボードを解析したりしてました(解析=どのへんが電源でどのへんが処理部で……をみわける)。さらに、そのルータにはご丁寧にデバッグ用のピンがさしてあったのでCPU(?)のデータシートと付きあわせて、どのピンがどの動作に関わっているかを調べました(テスタのはしをちょんちょんしてピンと足がつながっているか確かめます)。そして、デバッグ用のICを経由してPCにつなぎ、JTAG(組み込みなCPUのオンボードデバッグのための規格)から神になる……はずでしたがうまく行かず。う〜ん。これも課題ですね。
ファジング実践
ファジングはFuzzと呼ばれるエラーを引き起こしそうなデータを投げつける、ブラックボックステストのようなものです。これでいくらかの脆弱性を探します。 今回は、Peachというツールを使って、lighttpdというapacheみたいな奴の古いバージョンに見られた脆弱性を殴りに行きました。もともと用意されている設定ファイルでは弱くて脆弱性殴れないので、設定ファイルをいじってサンプル強くして殴りに行きました。HTTPのリクエスト投げてたのですが、設定でいろいろ(UAとか、Acceptとか)なヘッダの要素(?)を増やしてから殴りなおすと、lighttpdがCPUを100%占有して固まりました。 たくさんのデータを投げてたので、データの数や種類を変えて、そのような事態を起こす原因となったデータを絞り、その中身を見てどのような部分が脆弱性を産んだのか調べて治す……のですが、今回は絞るとこまででした。
感想とか
めちゃめちゃいろんな学びだったのにこんなに短くなってしまってまともにかけてないの悲しい。今回は特にハードっぽいところへの怖さ(知らぬがゆえの恐怖)が随分なくなったのでよかったです。
