ntdll.dllの書き換えとCRCチェックの回避 - KENJI’S BLOG
ntdll.dllはシステムディレクトリに格納されており、WFP(Windows File Protection)で守られているわけですが、これを、sfc_os.dllがエクスポートしている、エクスポート序数が「5」の関数とか、sfc.dllのエクスポート序数「2」の関数を使うことで、WFPを無効にして、ntdll.dllを書き換えられます。 しかし、ntdll.dllはWindowsシステム上例外的に重要なDLLで、ntdll.dllを強引に書き換えてWindowsを再起動すると、ブルースクリーンにエラーが表示され、2度とWindowsが起動しなくなります。 STOP: c0000221 Unknown Hard Error \SystemRoot\System32\ntdll.dll ntdll.dllを好きなように書き換えただけなのに、二度とWindowsが起動できなくなるなんてヒド
Flashアニメでrootkitに感染、チベット騒乱便乗攻撃止まず
北京五輪とチベット騒乱に便乗したマルウェアが相次いで出現している。セキュリティ企業の米McAfeeによると、Fribetというトロイの木馬が出現したのに続き、手の込んだFlashムービーでrootkitに感染させる手口が新たに見つかった。 問題のFlashムービーは「RaceForTibet.exe」というファイル名が付いている。実行すると、複雑な演技を披露した中国人選手に対し、審判全員が零点を付けるアニメが再生され、中国とチベット関連の写真がフラッシュバックで表示される。 政治的メッセージがあるように見せかけたこのムービーが再生されている陰で、PCには多数のrootkitが、ユーザーの目に見えない形で植えつけられている。これらrootkitはキーロガーとして動作し、感染マシンから収集した情報を隠しファイルに保存して、中国にあるリモートのIPに送信する。 今後もマスコミの騒ぎや国際的関心の
マスターブートレコードに感染するrootkit攻撃が発生
PCを起動すると最初に読み込まれるHDDのマスターブートレコードを狙ったrootkit攻撃が発生している。 PCのHDDのマスターブートレコード(MBR)に潜むrootkitが出回っているのが見つかった。セキュリティ各社が伝えている。 SANS Internet Storm CenterやSymantecによると、このMBR rootkitはユーザーが特定のWebサイトを閲覧すると、Microsoft製品の脆弱性を突いてインストールされる。感染すると、コンピュータのMBRを上書きしてしまう。MBRはPCを起動すると最初に読み込まれる部分。 現時点で悪用されているのは2003年から2006年にかけてMicrosoftがパッチを公開済みの脆弱性で、rootkitはWindows XPのみで機能するようだという。 MBR rootkitはセキュリティ企業のeEyeが2005年にコンセプト実証(P
第7回 メモリー上のデータを見えなくする(後編)
セキュリティ・コンサルタント 村上 純一 さて,前編では仮想アドレスの仕組みを解説した。これでメモリー上のデータを隠ぺいするツール「Shadow Walker」を説明するための土台は整ったことになる。 ではShadow Walkerについて述べよう。Shadow WalkerはOSやプロセスによるメモリー・アクセスをフィルタして,対象のメモリー上のデータを隠ぺいする。これを実現するために以下の三つ技術を実装している(図1)。 (1)OSやプロセスによるメモリー・アクセスをフィルタする (2)メモリー・アクセスの種類(読み出し・書き込み・実行)を識別する (3)メモリー・アクセスが「読み出し」または「書き込み」の場合は偽のデータにアクセスさせる 具体的には,(1)のためにページ・テーブルのPresentビットを書き換え,必ず例外ハンドラに処理が飛ぶようにする(図1【ポイント1】)。さらに処理
キャッシュ構造とTLB
セキュリティ・コンサルタント 村上 純一 前回に引き続いてルートキットで利用される技術について紹介したい。今回紹介するのは,「Shadow Walker」という技術だ。前回ルートキットの技術を二つに分類したが,これはそのうちの実行パスの改ざんに当たる技術といえる。 Shadow Walkerは,Sherri Sparks氏とJamie Butler氏によって2005年に米国で開催されたBlackHatブリーフィングスで発表されたもので,メモリーへのアクセスをフィルタし,メモリー上のデータを隠ぺいする技術である。 これを利用することで例えばシグネチャ・ベースのメモリー・スキャン(※メモリー上からマルウエアのシグニチャにマッチするデータを検索する手法)からカーネル空間にロードされたルートキットのコードを隠ぺいすることができる。 Shadow Walkerは,i386以降のx86プロセッサが備え
第1回 ルートキットの進化を追う
セキュリティ・コンサルタント 村上 純一 昨今,ボットやスパイウエアなどのマルウエアによる被害が増加している。こうした最近のマルウエアには,ユーザーから自身の姿を隠すために,ルートキットと呼ぶソフトウエアが併用されていることが多い。ところが,ルートキットの危険性の認知はその被害の規模に反して低い。これはルートキット自体が「隠れることを目的とする」という性質を持つことに起因していると思われる。そこで,本稿ではルートキットの現状に至るまでの経緯と,その実態を紹介する。 1997年から始まった 1997年ごろに登場した初期のルートキットは,SolarisやBSD,LinuxといったUNIXを対象としたものがほとんどだった。こうした初期のルートキットは,名前から推測できるようにツールキットとしての意味合いが強く,侵入者がコンピュータのコントロールを奪取するための不正プログラムの“詰め合わせ”だった
ホワット・ア・ワンダフル・ワールド WARNING: "sys_call_table" undefined!
Linux Kernel Hacking LKMによるシステムコールのフック を見て,テキトーに #include <linux/module.h> #include <linux/kernel.h> #include <linux/init.h> #include <linux/utsname.h> /* struct old_utsname */ #include <asm/unistd.h> /* __NR_uname */ extern void *sys_call_table[]; int (*orig_uname)(struct old_utsname *buf); MODULE_DESCRIPTION("Uname Module"); MODULE_LICENSE("GPL"); MODULE_AUTHOR("aloha"); static int my_uname(stru
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
