ラスベガスで、Black Hatブリーフィングの初日が終了しようとしている。Black Hatは最大のセキュリティ・カンファレンスの1つで、常に熟練リサーチャーたちが研究発表に招かれている。
BlackLightルートキット・スキャニング・テクノロジに深く関わってきたため、私は多くのRootkitトラック・セッションに出席して過ごした。初日にはいくつか、興味深いプレゼンテーションがあった:
Stoned Bootkit, Peter Kleissner
Peterは、Master Boot Recordを使用して、ブートプロセスの早い段階でアクティベートするルートキットを作成するための、オープンな開発フレームワークについて発表した。同テクノロジの大部分は以前のリサーチで周知のものだが、恐ろしいのはStoned Bootkitの拡張性にある。
Peterは簡単に、いくつかの拡張例に触れた。一つの例は、環境保護という目的で、ACPIを使用してCPUを減速させるCO2ルートキット・プラグインだ! さて、これはまったく素晴らしいが、私の考えでは、Stoned Bootkitフレームワークの最も熱心なユーザは、同マルウェアのオーサー・コミュニティにいるだろうと思う。私の言葉を額面通り受け取って欲しいのだが、彼らがコミュニティに参加しているのは、熱帯雨林を守るためでは無いはずだ。
Ring -3 Rootkitsの紹介, Alexander Tereshkin および Rafal Wojtczuk
ルートキットは発達し続けている。先年は、ユーザモード(Ring 3)からカーネル(Ring 0)へ、カーネルからハイパーバイザ(Ring -1)に進み、そしてついにはシステム管理モード(Ring -2)まで進んでいる。
AlexanderとRafalは、Intel AMT実行環境で、悪意あるコードを実行する可能性について調査した。AMTはリモート管理のためのものだが、残念なことに、良き人々にとってはリモート管理であっても、攻撃者にとってはルートキットによるバックドアを意味している。しかし、これがルートキット・カウントダウンの終結でないことは間違いない。Ring -4 ルートキットがどこで動作するかなど、誰が推測したいと思うだろうか? とは言え、我々は間もなく知ることになるだろうと、私は確信している。
もちろん、すべてがルートキットについてだ、という訳ではない。初日には、SSL/TLSのビルディングブロックの1つである、X.509に関する2つの興味深い講演があった。
その中で、Moxie MarlinspikeとDan Kaminskyがそれぞれに、ほとんどのインプリメンテーションに関わる問題を発見した。すなわち、攻撃者がすべてのWebサイトで有効であるように見える証明書を作成することを可能にする問題だ。証明書のネームフィールドに、巧みに空文字を埋め込むことにより、ブラウザが悪意ある証明書を正当なWebサイトに誤ってマッチングさせるのだ。どちらのリサーチャーも素晴らしい仕事をしている!
ラスベガスからサインオフ
Antti
PS. もし皆さんがBlack Hatに出席されているなら、木曜の午後に行われるミッコのConfickerワームに関する講演をぜひお聞き頂きたい。
BlackLightルートキット・スキャニング・テクノロジに深く関わってきたため、私は多くのRootkitトラック・セッションに出席して過ごした。初日にはいくつか、興味深いプレゼンテーションがあった:
Stoned Bootkit, Peter Kleissner
Peterは、Master Boot Recordを使用して、ブートプロセスの早い段階でアクティベートするルートキットを作成するための、オープンな開発フレームワークについて発表した。同テクノロジの大部分は以前のリサーチで周知のものだが、恐ろしいのはStoned Bootkitの拡張性にある。
Peterは簡単に、いくつかの拡張例に触れた。一つの例は、環境保護という目的で、ACPIを使用してCPUを減速させるCO2ルートキット・プラグインだ! さて、これはまったく素晴らしいが、私の考えでは、Stoned Bootkitフレームワークの最も熱心なユーザは、同マルウェアのオーサー・コミュニティにいるだろうと思う。私の言葉を額面通り受け取って欲しいのだが、彼らがコミュニティに参加しているのは、熱帯雨林を守るためでは無いはずだ。
Ring -3 Rootkitsの紹介, Alexander Tereshkin および Rafal Wojtczuk
ルートキットは発達し続けている。先年は、ユーザモード(Ring 3)からカーネル(Ring 0)へ、カーネルからハイパーバイザ(Ring -1)に進み、そしてついにはシステム管理モード(Ring -2)まで進んでいる。
AlexanderとRafalは、Intel AMT実行環境で、悪意あるコードを実行する可能性について調査した。AMTはリモート管理のためのものだが、残念なことに、良き人々にとってはリモート管理であっても、攻撃者にとってはルートキットによるバックドアを意味している。しかし、これがルートキット・カウントダウンの終結でないことは間違いない。Ring -4 ルートキットがどこで動作するかなど、誰が推測したいと思うだろうか? とは言え、我々は間もなく知ることになるだろうと、私は確信している。
もちろん、すべてがルートキットについてだ、という訳ではない。初日には、SSL/TLSのビルディングブロックの1つである、X.509に関する2つの興味深い講演があった。
その中で、Moxie MarlinspikeとDan Kaminskyがそれぞれに、ほとんどのインプリメンテーションに関わる問題を発見した。すなわち、攻撃者がすべてのWebサイトで有効であるように見える証明書を作成することを可能にする問題だ。証明書のネームフィールドに、巧みに空文字を埋め込むことにより、ブラウザが悪意ある証明書を正当なWebサイトに誤ってマッチングさせるのだ。どちらのリサーチャーも素晴らしい仕事をしている!
ラスベガスからサインオフ
Antti
PS. もし皆さんがBlack Hatに出席されているなら、木曜の午後に行われるミッコのConfickerワームに関する講演をぜひお聞き頂きたい。
