DARK MATTER

CDI Engineer's Technical Blog

Server-Side Template Injection


技術部の松永です。

「サーバーサイド・テンプレート・インジェクション」という脆弱性をご存じでしょうか。
Webアプリケーションの開発やセキュリティテストに関わったことのある方でも、あまり聞き馴染みの無い脆弱性ではないかと思います。

サーバーサイド・テンプレート・インジェクション(Server-Side Template Injection:以後SSTIと表記)はサーバー内で任意の処理を実行される可能性のある非常に危険な脆弱性で、近年研究が進んでおり、PayPalやUberなど著名なサービスで実際に検出された事例があります。

弊社のWebアプリケーション診断サービスでもSSTI脆弱性を検出すべく研究を行い、オープンソースの脆弱性スキャナ開発に貢献しました。

本稿ではSSTI脆弱性の解説と、弊社の取り組みについて紹介します。

続きを読む

Web Cache Deception AttackをIISとARRで検証してみた

こんにちは。技術部の堀越です。

先日、セキュリティ研究者のOmer Gil氏によってPayPalがWebキャッシュを詐称した攻撃(Web Cache Deception Attack)に脆弱であると指摘されました。
この攻撃は、「Web Cache Deception Attack」と呼ばれており、ユーザの機微な情報が意図せずWebキャッシュサーバに保存され、誰でもキャッシュされた情報にアクセス出来てしまうという脆弱性です。
この攻撃手法は、受動的ではあるが攻撃成功時の影響範囲が広く、Akamaiからも注意喚起がされています。
そこで、今回はOmer Gil氏のブログ内でも公開されているIISとAplication Request Routing(ARR)を使い検証してみました。
本記事では皆さんが検証出来るように構築から順を追って記載しています。

続きを読む

twitterアカウントをC2サーバ代わりにするAndroidマルウェアの中身を覗く

こんにちは。情報分析部の西脇です。

前回からの連載に割り込んでしまう形になりますが、今回の投稿ではtwitterアカウントをC2(コマンド&コントロール)サーバ代わりにするAndroidマルウェアの仕組みを調査してみたいと思います。

今回扱うマルウェアが発見されたのは昨年の8月で、 こちらの記事によるとtwitterアカウントをC2サーバ代わりにするマルウェア自体は2009年から存在するようですが、Androidマルウェアとしては初めて観測されたと報じられています。

twitterのアカウントをC2サーバ代わりに利用されると、

  • twitter自体は通常のwebサービスなので、悪意のある通信だと気づきにくい
  • C2サーバを変更する・増やすことが容易(アカウントを新規作成すればよい)

などといった理由でマルウェアが発見しづらく、長期間感染している状態になってしまいかねません。

また、今回扱うマルウェアは感染した端末にほかのマルウェアをダウンロードする機能を持つため、知らない間に複数のマルウェアに感染してしまっていた、ということも起こり得ます。

そのため、今回発見されたマルウェアはどのようにtwitterアカウントをC2サーバとして利用しているのか、また、対策に役立つ特徴があるかに着目してマルウェアの仕組みを探っていきたいと思います。

逐一コードを追っていきますので、実装ではなく仕組みを簡潔に知りたい方はまとめの項をお読みください。

続きを読む
株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.