Windows標準の機能を使用した標的型攻撃の対策 ドライブ・バイ・ダウンロード編 #ssmjp /ssmjp1507-2

Windows標準の機能を使用した標的型攻撃の対策 ドライブ・バイ・ダウンロード編 #ssmjp /ssmjp1507-2

2015年07月の#ssmjp おかわり! http://ssm.pkan.org/?p=695 での発表資料です。

015facb974cbb9ef9df2840aed8eba34?s=128

Takuji Kitagawa

August 11, 2015
Tweet

Transcript

  1. 3.

    • 添付ファイル型 – 脆弱性を利用しない攻撃(実行ファイル型) • AES(ZoneID)の特性を活かす セキュリティ警告、SmartScreen、ソフトウェア制限ポリシ/AppLocker – 既知の脆弱性を利用した攻撃(Office、PDF reader等)

    • パッチの適用、保護されたビュー、EMET – ゼロデイ脆弱性を利用した攻撃(Office、PDF reader等) • 保護されたビュー、EMET • URLクリック型 (水飲み場攻撃、ドライブバイダウンロード攻撃と対策は共通) – 脆弱性を利用しない攻撃(実行ファイル型) • AES(ZoneID)の特性を活かす セキュリティ警告、 SmartScreen、ソフトウェア制限ポリシ/AppLocker – 既知の脆弱性を利用した攻撃(ブラウザ、プラグイン等) • パッチの適用、(Right)Click-to-Play、EMET – ゼロデイ脆弱性を利用した攻撃(ブラウザ、プラグイン等) • (Right)Click-to-Play 、EMET 標準機能による対策だけでも多層防御になります
  2. 6.

    ブラウザ・プラグインの脆弱性を狙った ドライブバイダウンロード攻撃 Javaの脆弱性を利用した攻撃が減少 • Javaのゼロデイの減少(Java7のサポート終了、Java8では脆弱性が 生じ難い設計になっている) • Javaの自動更新機能 • Chromeの既定でNPAPIのサポートが無効化

    • FireFox、IEで古いバージョンのJavaプラグインをブロック • JavaアプレットなどJREが必要となる環境の減少 • Jave6、Java7などの古いバージョンを更新せず使い続けている場合、 攻撃の被害に
  3. 11.

    • Flash Playerの脆弱性が現在も報告され続けている • Flashを無効化すると機能しなくなるサイト(動画、ゲーム等)がま だ大量に残っている • 業務関連でもFlash Playerが必要なサイトがある •

    Flash Playerのプラグインを完全に無効にすることは難しい • FirefoxではFlash以外のプラグインは既定で「実行時に確認」に なっているが、Flashだけは「常に有効化」になっている それだけ、Flashがまだ必要とされている ブラウザ・プラグインの脆弱性を狙った ドライブバイダウンロード攻撃 Adobe Flash Playerに対する攻撃が現在の主流に
  4. 13.

    Adobe Flash Playerに対する攻撃の対策 ブラウザ・プラグインを最新に更新することが基本 • Windows 8 IE10/ Windows 8.1

    IE11/ Windows 10 Edgeでは、 Windows UpdateでFlash Playerの更新が配信される • Windows Vista/Windows 7のIE(IE11も含む)では、Flash Playerの更新をインストールする必要がある • Chromeでは、Chrome自身の更新にFlash Playerの更新が含ま れる • Firefoxでは、Flash Playerの更新をインストールする必要がある。 古いバージョンのFlash Playerを使用している場合は警告が出る が、無視して実行することも可能
  5. 15.

    Flash Playerプラグインを最新に更新することが基本だが • 企業では動作検証のために、Windows Updateの公開から実際に クライアントに配布されるまでに一週間程度のタイムラグが生じ ることも • Windows7のIEの場合、企業ではSCCMの様な管理ツールを使っ てFlash

    Playerを自動配布していることが多いが、これもタイム ラグが生じる可能性。また、利用者にインストールを任せている 場合、正しく適用されていない場合も • Chromeでは、ブラウザを再起動しないと更新されないが、再起 動せずに使い続けている場合もある • Firefoxでは、古いバージョンのFlash Playerを使用している場合 は警告が出るが、警告を無視して実行することも可能
  6. 28.

    Click-to-Play • 正規サイトの改ざん(水飲み場攻撃も含む)では、正規サ イトそのものに、攻撃ツール(ExploitKit)が設置される のではなく、攻撃ツールが設置された外部の悪性サイトに リダイレクトするiflameや難読化したJavaScriptのみが正 規サイトに埋め込まれることが多い • Exploitコードは利用者に気付かれないようバックグラン ドで見えない形で実行される

    • 全てのサイトに対してプラグインの実行を許可していると、 悪性サイトからダウンロードされた脆弱性を突くプラグイ ンも自動的に実行されてしまう • Click-to-Playで必要な場合のみプラグインの実行を明示的 に許可することで、悪性サイトからのプラグインの実行の 可能性を出来るだけ少なくする
  7. 68.

    EMETのAttack Surface Reduction (ASR)により IEでイントラネット、信頼済みサイト以外でのFlashプラグインの読み込みを禁止する設定 Apps で iexplore.exe を選択 Show

    All Settings をクリックし Attack Surface Reduction のModulesに flash*.ocx を追加 Flashが必要なサイトをインターネットオプションで「信頼済みサイト」に追加する
  8. 74.

    ブラウザ毎の推奨設定 • Chrome 設定->プライバシー->コンテンツの設定->プラグイン 「プラグインコンテンツをいつ実行するかを選択する」をチェック 右クリックで要素毎に許可(RightClick-to-Play) • Firefox 「Click to

    Play per-element」拡張機能をインストール クリックで要素毎に許可(Click-to-Play)  右クリックが必須ではないので間違ってクリックしてしまう可能性も • IE EMETのAttack Surface Reductionにflash*.ocx を追加 プラグインの実行を許可するサイトを信頼済みサイトに追加  要素毎の許可は出来ないため、信頼済みサイトにマルウェアを仕込ま れた時の感染リスクは残る  EAF+などEMETの他の緩和策が攻撃を阻止できる可能性も  EMETにより正規のソフトウェアの動作に不具合が出る可能性もある
  9. 75.

    Flash Playerに関するブラウザ毎の特徴(推奨順) 1.Chrome • ブラウザ自体の更新にFlash Playerの更新も含まれる(ブラウザの更新方法も容易) • PPAPI(Pepper Plugin API)というサンドボックス化された安全な方法で実装されて

    いる(但し、サンドボックスをバイパスする攻撃コードも存在する) • 右クリックで要素毎に許可する設定が可能(RightClick-to-Play) 2.Firefox • 更新を都度インストールする必要がある • 古いバージョンでは警告が出るが無視して実行することも可能 • NPAPI(Netscape Plugin API)という古く、セキュリティ上の問題が指摘されてい る方法で実装されている(Chrome42でNPAPIを初期段階で無効化、Chorme45で 完全無効化) • 標準では要素毎の有効化は出来ない • 要素毎の有効化を可能とする拡張機能を入れても1クリックで有効になってしまう ので、クリックジャッキングなどによるバイパスや、間違ってクリックしてしまう ことが生じ易い 3.IE • Win8,8.1のIE11ではWindows Updateで更新が配布される • Vista,Win7では、更新のインストールが必要 • ブラウザの表示領域を専有するポップアップが毎回出る • 一時的な許可は出来ず、すべて永続的な許可となる • 要素毎の有効化は出来ず、サイト全体での有効化となる
  10. 77.
  11. 78.
  12. 86.

    Youtube Vimeo Daily motion Ustream Veoh Hulu ニコニコ 動画 GYAO!

    (Yahoo! 動画) FC2動画 ひまわり 動画 パンドラ TV Chrome44 (64bit) ◦ ◦ ◦ X X X X X X X X Firefox 39 ◦ ◦ ◦ X X X X X X X X IE11(Win8.1) ◦ ◦ ◦ X X X X X X X X Edge(Win10) ◦ ◦ ◦ X X X X X X X X 各動画サイトのHTML5対応状況 WindowsのブラウザでFlashを無効にして再生出来るかをチェック
  13. 110.

    • ブラウザ・プラグインを最新に更新することが基本 • Click-to-Playを設定し、要素毎に実行を許可することが望ましい  Chrome「プラグインコンテンツをいつ実行するかを選択する」  Firefox「Click to Play

    per-element」拡張機能 • Chromeの右クリックで実行を許可する方法(RightClick-to-Play)が より望ましい • IEでは要素毎に実行を許可することが難しい 本当に信頼できるサイトのみをインターネットオプションで信頼済み サイトに登録し、それ以外のサイトのFlashプラグインの読み込みを EMETのAttack Surface Reductionにより禁止する設定に • EMETをブラウザに対し有効にすることで緩和策となるが、不具合が 生じることも多いので、十分に検証した上で設定することを推奨 • 業務の都合でプラグインを更新できない場合、業務サイト用のブラウ ザ(IE)と外部サイト閲覧用のブラウザ(Chrome、FF)を分ける ブラウザ・プラグインの脆弱性を狙った ドライブバイダウンロード攻撃に対する対策
  14. 111.

    • 添付ファイル型 – 脆弱性を利用しない攻撃(実行ファイル型) • AES(ZoneID)の特性を活かす セキュリティ警告、SmartScreen、ソフトウェア制限ポリシ/AppLocker – 既知の脆弱性を利用した攻撃(Office、PDF reader等)

    • パッチの適用、保護されたビュー、EMET – ゼロデイ脆弱性を利用した攻撃(Office、PDF reader等) • 保護されたビュー、EMET • URLクリック型 (水飲み場攻撃、ドライブバイダウンロード攻撃と対策は共通) – 脆弱性を利用しない攻撃(実行ファイル型) • AES(ZoneID)の特性を活かす セキュリティ警告、 SmartScreen、ソフトウェア制限ポリシ/AppLocker – 既知の脆弱性を利用した攻撃(ブラウザ、プラグイン等) • パッチの適用、(Right)Click-to-Play、EMET – ゼロデイ脆弱性を利用した攻撃(ブラウザ、プラグイン等) • (Right)Click-to-Play 、EMET 標準機能を利用した多層防御
  15. 112.