Hybrid Web Worm

先月の終わりにBlack Hat Japanに行って来ました。今回は初日しか参加できなかったのですが、Black Hat USAで聞き取れなかったBilly Hoffman氏のWebワームのセッションを再度聞くことができました。

このセッション、「The Little Hybrid Web Worm that could」では、クライアントとサーバの両方に感染でき、アンチウィルスやIDSのシグネチャをバイパスできてしまうHybrid Web Wormの脅威について紹介されました。

Hybrid Web Wormは、PerlとJavaScriptでコーディングされ、サーバ上ではPerlのコードを実行、クライアントではJavascriptを実行する。これにより、サーバ、クライアントの両方に感染可能となる。またソースコードミューテーションを行う事で、アンチウィルスやIDS/IPSのパターンマッチングによるチェックをバイパスする。具体的には、Control flow mutation (while loopをfor loopに変えるなど)、variable mutation(変数名を変える)などの手法を使う。更には自動的に感染手法を変える「自動アップデート機能」を持たせる方法についても紹介された。多くの脆弱性情報サイトは、解説文のパターンが同じな為、自動的に脆弱性の情報を取得し、に取り込む事が可能だという。このような手法を使って感染力が強化されたハイブリッドワームが登場した場合、現状では対策は非常に困難だという。