Security

2017年09月20日

白猫プロジェクトや黒猫のウィズで有名なコロプラさんの暗号技術がゴミだった話 その1

【非SSL認証】他のゲームもいくつか調べてみたのでまとめ(8/26更新)【BM】
以前、ゲームの通信を 非SSLでやってるアプリの一覧を書いたときに、 白猫プロジェクトや黒猫のウィズで有名な コロプラさんが、独自暗号をかけているけど、SSL使ってないので丸見えだという話をしたと思います。

ちょっと時間がかかったのですが、解析が一部終わったので報告させていただこうと思います

・AES256 を使って暗号をかけているのだけど、SALTを 無効にしているため、誰が実行しても、同じ暗号文字列になる。 しかも、文字列の並びが同じ部分は同じ文字列になる
・どのゲームも同じ暗号モジュールを使っている


wcat2
実際の暗号結果がこんな感じ。

たぶん、暗号のEncode、Decode の仕組みが分からないから、SALT を無効にして、復号プログラムを作りやすくしたんじゃないかと推測するんだけど。馬鹿じゃないんですかね?

パケットもこの方式で暗号化されてたら、解読簡単だと思います。

もう少し解析してみるのでお楽しみに! ・ω・



blackwingcat at 18:31|PermalinkComments(0)

2017年09月17日

CCleaner の マルウェアコードを解析してみた その3

CCleaner の マルウェアコードを解析してみた その2
CCleaner の マルウェアコードを解析してみた その1

パート3はあんまり解析と関係ありませんが追加情報があったのと一部翻訳に誤りがあったので紹介します

Morphisec Discovers CCleaner Backdoor Saving Millions of Avast Users
Morphisecは、顧客のサイトで2017年8月20日と21日に不正なCCleaner.exeのインストールを最初に特定して防止しました。一部の顧客は、2017年9月11日に予防された攻撃のログをMorphisecと共有しました.Morphisecはすぐに予防ログを調査し始めました。

この実行可能ファイルは、7月にAvastが購入したオリジナルのPiriform社によって署名されていましたが、CCleanerのバージョン5.33ではコードの内部注入動作と反射DLLのロードをメモリに直接表示しました。

MorphisecのユニークなMoving Target Defenseサイバーセキュリティソリューションは、最初にシンガポールのお客様の1人に悪意のあるファイルを停止させました。まず、私たちが攻撃を防ぎ、Endpoint Threat Preventionソリューションが顧客を安全に保つことができたことに満足していました」とMorphisecのMichael Gorelik VP R&Dは述べています。

最初の調査の直後に、Morphisecはすべての顧客に通知し、Avastに最初に連絡し、その結果をAvastが問題を識別するのを助けるために報告しました。 2017年9月12日にリリースされたCCleaner 5.34のアップデート版には、悪質なコードは含まれていませんでした。
このブログ記事によると、Morphisec Cyber Security と言うチームが発見したそうです。

ってことは、CNET さんどころか、GIGAZINEさんも間違ってるということか・ω・

イスラエルのセキュリティー企業、「ハッキング不可能」なバージョンのWindowsを開発中?
イスラエルのセキュリティー関連スタートアップ企業 Morphisec が、「ハッキング不可能なバージョンのWindows」を開発しているそうだ(Business Insiderの記事Softpediaの記事Slashdotの記事)。

このプロジェクトはベングリオン大学のCyber Security Research Centerで、軍用アプリケーション向けに100%ハッキング不能なOSを作る研究から始まったものだという。

Morphisecで開発中のWindowsは、特定のWindowsアプリケーションで「すべてのメモリーをランダム化」することでゼロデイ攻撃を不可 能にするとのこと。これ以上の説明がないのでOSが備えるASLRなどの仕組みを利用するのか、独自に実装されたものなのかは不明だが、 Morphisecでは誤検知なしに100%ゼロデイ攻撃を阻止できると主張しているという。なお、Microsoftはプロジェクトにかかわっていない とのことだ。

Morphisec といえば こんな記事がありましたね



blackwingcat at 12:30|PermalinkComments(0)

2017年09月16日

CCleaner の マルウェアコードを解析してみた その2

CCleaner の マルウェアコードを解析してみた その1
というわけで、実際にコード解析してみました。

逆アセンブルしてみたところ、EXEファイルをメモリ上に生成して実行する処理を発見

実行時には暗号化されてるけど、起動するときに、ヒープメモリ上に悪意のあるコードを展開する仕組みになってる。
また、接続先や、リクエストなどの固定文字列なども簡単に暗号化されてる。

抽出してみたところ12Kほどのバイナリが出てきました
; Imports from KERNEL32.dll
     extrn VirtualAlloc
     extrn LocalFree
     extrn LocalAlloc
     extrn lstrcmpiA
     extrn OpenProcess
     extrn GetVersionExA
     extrn VirtualFree
     extrn GetLocalTime
     extrn Sleep
     extrn GetComputerNameExA
     extrn GetComputerNameA
     extrn ExitThread
     extrn GetFileAttributesA
     extrn LoadLibraryA
     extrn GetProcAddress
     extrn GetTickCount
     extrn CreateThread
     extrn GetCurrentProcess
     extrn CloseHandle
;
; Imports from ADVAPI32.dll
     extrn LookupPrivilegeValueA
     extrn AdjustTokenPrivileges
     extrn RegOpenKeyExA
     extrn RegCloseKey
     extrn OpenProcessToken
;
; Imports from SHELL32.dll
     extrn SHELL32.680
;
; Imports from SHLWAPI.dll
     extrn SHEnumKeyExA
     extrn SHGetValueA
     extrn SHSetValueA
;
; Imports from iphlpapi.dll
     extrn IcmpCreateFile
     extrn IcmpSendEcho
     extrn IcmpCloseHandle
     extrn GetAdaptersInfo
;
; Imports from WTSAPI32.dll
     extrn WTSFreeMemory
     extrn WTSEnumerateProcessesA
;
; Imports from PSAPI.DLL
     extrn GetModuleFileNameExA
;
; Imports from WININET.dll
     extrn InternetCloseHandle
     extrn InternetReadFile
     extrn InternetQueryDataAvailable
     extrn HttpSendRequestA
     extrn InternetSetOptionA
     extrn InternetQueryOptionA
     extrn HttpAddRequestHeadersA
     extrn InternetConnectA
     extrn InternetOpenA
     extrn HttpOpenRequestA
;
; Imports from WS2_32.dll
     extrn WS2_32.115
     extrn WS2_32.52
;
; Imports from MSVCRT.dll
     extrn time
     extrn sprintf
     extrn strlen
     extrn strncpy
     extrn memcpy
     extrn srand
     extrn rand
利用関数はこんな感じ

悪意のあるコードが走るのはCCleaner 起動のタイミング

抽出したバイナリは
2017/08/01 08:24:34
VC++6.0でコンパイルされてるっぽい?
https://www.virustotal.com/#/file/96b6824d9272100e4467e94f2eb6ae07abf262070520ea992e45318d67e49b82/detection

ccc4


一方、問題の CCleaner v5.33.0.6162
2017/08/03 09:25:13
VC++2015でコンパイルされてる

https://www.virustotal.com/#/file/6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9/detection

ccc3

コードトレースしてみたら、インストールされてるアプリ一覧や、コンピュータ情報にアクセスした上でそれを POST する仕組みになってるようでした・ω・

ccc
これ見ると、送信先は 216.126.225.148 ( yellow.alskcrs.xyz

リクエストヘッダは Host: speccy.piriform.com (たぶん偽装)

HttpSendRequest で Base64っぽくエンコードされた5百数十バイトのデータが送出される


送出されるデータの暗号化前のデータがこちら

ccc2
最近開いたファイルや、インストール済みプログラムのインストール先のフルパスが送信されているようだ




blackwingcat at 12:30|PermalinkComments(0)

2017年09月15日

CCleaner の マルウェアコードを解析してみた その1

人気のPC最適化ソフト「CCleaner」にマルウェアが仕込まれる - CNET Japan
コンピュータ最適化ソフトウェア「CCleaner」がハッカーに改ざんされ、数百万台のデバイスがコントロールされかねない状態になっていた。このプログラムの開発元でロンドンに本拠を置くPiriformが現地時間9月18日に明らかにした。

 不正なプログラムが仕込まれたCCleanerは人気の高い無料ソフトウェアで、1週間に500万件ほどダウンロードされている。CCleanerを利用すると、クッキーや不要なプログラムを削除し、コンピュータや「Android」スマートフォンの動作を高速化してくれる。

 Piriformによれば、感染したソフトウェアを使っているユーザーの数は227万人に上るという。ただし同社は、動揺せず落ち着いて対処するようユーザーに求めている。

 「われわれはこの問題にすぐに対処しており、どのユーザーにも危害が及ぶことはなかった」と、同社は声明の中で述べている。

 CCleanerに対する攻撃が見つかったのは12日のことで、発見したのは、チェコに本拠を置き、7月にPiriformを買収したセキュリティソフトウェアメーカーのAvastだ。Piriformによれば、8月にリリースされた2つのバージョンのCCleanerがこの攻撃の影響を受けたという。
これほんと?

調べて見た
Hackers Hid Backdoor In CCleaner Security App With 2 Billion Downloads -- 2.3 Million Infected
"2.27 million is certainly a large number, so we're not downplaying in any way. It's a serious incident. But based on all the knowledge, we don't think there's any reason for users to panic," Vlcek added. "To the best of our knowledge, the second-stage payload never activated... It was prep for something bigger, but it was stopped before the attacker got the chance." He said Cisco Talos wasn't the first to notify Avast of the issues, another unnamed third party was.
同氏は、「Cisco TalosはAvastに最初に通報したのではなく、別の無名な第三者 通報した」と語った。

これ、最初に見つけたの、Avastではなく Cisco Talos 全然関係ないセキュリティリサーチチームじゃね?
CNETさん間違えてませんか? ・ω・

記事その3

・Avastの最高技術責任者 は Cisco Talos が 最初にAvastではなく別のセキュリティベンダーに報告したことに不満を持っている?
アバストと AVG は去年合併された
個人情報保護機能を目玉にしていたAVGは、2015年から 個人情報販売始めた
CCleaner の Piriform社 が AVGに買収されたのは今年の7月
・個人情報収集のマルウェアの実コードがコンパイルされたのは 8月1日(後述)
・AVG も Avast も該当ファイルを検出できない(9/19現在) (後述)

|。・ω・) 。 o (あっ…(察し))



blackwingcat at 18:30|PermalinkComments(7)

2017年09月14日

2017年8 / 9月のWindows Update と2000/XPSP2との関係

ちょっと調査が大変になったので直リンクベースで案内することにします

ie8-windowsxp-kb4036586-x86-embedded-jpn.exe   
検索結果Internet Explorer 用の累積的なセキュリティ更新プログラム2017 年 9 月
Windows 2000 部分対応

windowsxp-kb4035055-x86-embedded-jpn.exe
Win32k の情報漏えいの脆弱性を解決するセキュリティ更新プログラム: 2017 年 8 月
Windows 2000 非対応

windowsxp-kb4034034-x86-embedded-jpn.exe
リモートでコードが実行される脆弱性を解決するための Windows Search のセキュリティ更新プログラム: 2017 年 8 月
Windows 2000 非対応

windowsxp-kb4035056-x86-embedded-jpn.exe
リモートでコードが実行される脆弱性を解決するための Express 圧縮フォントのセキュリティ更新プログラム: 2017 年 8 月
Windows 2000 対応 (T2embed)

windowsxp-kb4034775-x86-embedded-jpn.exe   
リモートでコードが実行される脆弱性を解決するための Microsoft Jet データベース エンジンのセキュリティ更新プログラム: 2017 年 8 月


windowsxp-kb4039111-x86-embedded-jpn.exe   
KERNEL32/OLE32/RPCSS/XPSP4RES/XPSP2RES/WORDPAD の更新の不具合修正パッチ
ただし、XPSP2RES が英語版しか封入されていないバグが残ったまま
Windows 2000 部分対応

windowsxp-kb4039384-x86-embedded-jpn.exe
Windows Uniscribe の脆弱性を解決するためのセキュリティ更新プログラム2017 年 9 月  
Windows 2000対応 (usp10)


|。・ω・) 。o (マイクロソフトちゃんと仕事して!)

関連サイト:
Software Update Services および Windows Server Update Services におけるコンテンツの変更について (2017 年)


関連記事:
2017年1月のWindows Update と2000/XPSP2との関係
2017年2/3月のWindows Update と2000/XPSP2との関係
2017年4月のWindows Update と2000/XPSP2との関係
2017年5月のWindows Update と2000/XPSP2との関係
2017年6月のWindows Update と2000/XPSP2との関係
2017年7月のWindows Update と2000/XPSP2との関係



blackwingcat at 18:30|PermalinkComments(0)

2017年09月07日

IExpress のKB2533623 対応版 作ったよ ・ω・ v2

IExpress のKB2533623 対応版 作ったよ ・ω・


先日作った iexpress に セットアップを Windows 2000で動かすと エラーが出る不具合がありました。
(なぜか、Windows 2000だけ、インポートテーブルの無効化した version.dll を参照してエラーになるようでした)

というわけで、 v2 です。
ちなみに、このセットアップで作った 拡張カーネルv 2.9 のインストーラーだと平気なんですね…。
謎いです

ダウンロード
iexpressv2.cab




blackwingcat at 18:30|PermalinkComments(0)
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation