読者です 読者をやめる 読者になる 読者になる

DARK MATTER

CDI Engineer's Technical Blog

Web Cache Deception AttackをIISとARRで検証してみた

こんにちは。技術部の堀越です。

先日、セキュリティ研究者のOmer Gil氏によってPayPalがWebキャッシュを詐称した攻撃(Web Cache Deception Attack)に脆弱であると指摘されました。
この攻撃は、「Web Cache Deception Attack」と呼ばれており、ユーザの機微な情報が意図せずWebキャッシュサーバに保存され、誰でもキャッシュされた情報にアクセス出来てしまうという脆弱性です。
この攻撃手法は、受動的ではあるが攻撃成功時の影響範囲が広く、Akamaiからも注意喚起がされています。
そこで、今回はOmer Gil氏のブログ内でも公開されているIISとAplication Request Routing(ARR)を使い検証してみました。
本記事では皆さんが検証出来るように構築から順を追って記載しています。

続きを読む

twitterアカウントをC2サーバ代わりにするAndroidマルウェアの中身を覗く

こんにちは。情報分析部の西脇です。

前回からの連載に割り込んでしまう形になりますが、今回の投稿ではtwitterアカウントをC2(コマンド&コントロール)サーバ代わりにするAndroidマルウェアの仕組みを調査してみたいと思います。

今回扱うマルウェアが発見されたのは昨年の8月で、 こちらの記事によるとtwitterアカウントをC2サーバ代わりにするマルウェア自体は2009年から存在するようですが、Androidマルウェアとしては初めて観測されたと報じられています。

twitterのアカウントをC2サーバ代わりに利用されると、

  • twitter自体は通常のwebサービスなので、悪意のある通信だと気づきにくい
  • C2サーバを変更する・増やすことが容易(アカウントを新規作成すればよい)

などといった理由でマルウェアが発見しづらく、長期間感染している状態になってしまいかねません。

また、今回扱うマルウェアは感染した端末にほかのマルウェアをダウンロードする機能を持つため、知らない間に複数のマルウェアに感染してしまっていた、ということも起こり得ます。

そのため、今回発見されたマルウェアはどのようにtwitterアカウントをC2サーバとして利用しているのか、また、対策に役立つ特徴があるかに着目してマルウェアの仕組みを探っていきたいと思います。

逐一コードを追っていきますので、実装ではなく仕組みを簡潔に知りたい方はまとめの項をお読みください。

続きを読む

セキュリティ診断の内製化に向けて 第一回〜Webアプリケーション脆弱性診断ツールの実力を引き出すコツ〜

技術部の津野田です。

昨今、Webアプリケーションに対するセキュリティ診断の内製化の動きが活発になっています。 本日より、当社のお仕事が減らない程度に、セキュリティ診断の内製化に役立つ情報をざっくばらんに不定期発信して行く予定です。

第一回目は、内製化の際に多く利用されるWebアプリケーション脆弱性診断ツール(以下、脆弱性診断ツール)の実力を、さらに引き出すためのコツについてお話したいと思います。

なお、本稿では特定の製品に関するご案内はしていません。 具体的な設定手順や方法などについては、脆弱性診断ツールのマニュアルをご確認ください。

続きを読む
株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.