FFR yarai vs 国内防衛産業企業に対する標的型攻撃(情報元のブックマーク数)
yaraiで標的型攻撃を試してみました。
弊社では、本攻撃に用いられた脆弱性攻撃「CVE-2011-0611」の解析を行いました。今回解析した脆弱性攻撃は、Metasploitにて再現を行いました。
http://www.fourteenforty.jp/products/yarai/CVE2011-0611/
CVE-2011-0611をMetasploitでやってみた系
FFR yaraiでは当該マルウエアが悪用するCVE-2011-0611脆弱性を利用した攻撃をブロックする事ができます。図1に、FFR yaraiが動作する環境にてMetasploitによるCVE-2011-0611脆弱性攻撃が行われた際のスクリーンショットを示します。
http://www.fourteenforty.jp/products/yarai/CVE2011-0611/
環境依存度が低く安定した攻撃コードとか・・・・orz
Flash10o.ocxを決め打ちなのかな???
Metasploitにおける脆弱性攻撃を解析を実施した結果、シェルコード実行の環境依存性は低く、安定した攻撃コードの実行が可能な脆弱性である事が分かりました。Metasploitの攻撃コードはInternet Explorer経由で脆弱性攻撃を実施するものであり、脆弱性攻撃実行前にHeap Sprayを実施しています。脆弱性攻撃は、Flash10o.ocx内の以下のコードで発動します。
http://www.fourteenforty.jp/products/yarai/CVE2011-0611/
そして実行・・・
検証環境では0x0c0c0c0cはHeap Sprayされた領域と重なるため、0x0c0c0c0cにジャンプ後は命令0x0c(or al,0ch)を実行し続け、最終的にはHeap Sprayされた領域に混入されたshellcodeが実行されます。
http://www.fourteenforty.jp/products/yarai/CVE2011-0611/
