先月の終わりにBlack Hat Japanに行って来ました。今回は初日しか参加できなかったのですが、Black Hat USAで聞き取れなかったBilly Hoffman氏のWebワームのセッションを再度聞くことができました。
このセッション、「The Little Hybrid Web Worm that could」では、クライアントとサーバの両方に感染でき、アンチウィルスやIDSのシグネチャをバイパスできてしまうHybrid Web Wormの脅威について紹介されました。
Hybrid Web Wormは、PerlとJavaScriptでコーディングされ、サーバ上ではPerlのコードを実行、クライアントではJavascriptを実行する。これにより、サーバ、クライアントの両方に感染可能となる。またソースコードミューテーションを行う事で、アンチウィルスやIDS/IPSのパターンマッチングによるチェックをバイパスする。具体的には、Control flow mutation (while loopをfor loopに変えるなど)、variable mutation(変数名を変える)などの手法を使う。更には自動的に感染手法を変える「自動アップデート機能」を持たせる方法についても紹介された。多くの脆弱性情報サイトは、解説文のパターンが同じな為、自動的に脆弱性の情報を取得し、に取り込む事が可能だという。このような手法を使って感染力が強化されたハイブリッドワームが登場した場合、現状では対策は非常に困難だという。
Special
- PR -| aaa | 2007/11/18 22:14 |
|
なんか、凄い脅威ですね。 | |
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- アプリケーション(1件)
オルタナティブ・ブログは、専門スタッフにより、企画・構成されています。入力頂いた内容は、アイティメディアの他、オルタナティブ・ブログ、及び本記事執筆会社に提供されます。
富士通社長が語るICTベンダーとしての心得
求む、クックパッド男子
37歳の常識――我々は一生学び続ける
Lyncが実現する“どこでもドア”
“コステロ”じゃないよ“コストロ”だよ