[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:05234] Re: IIS への SSL な攻撃を検知するには?
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:05234] Re: IIS への SSL な攻撃を検知するには?
- From: Kanatoko <anvil@xxxxxxxxxxx>
- Date: Sun, 18 Apr 2004 16:03:07 +0900
伊原さん:
> 攻撃が成功した場合は、恐らくメモリ上に悪意あるプロセスが存在する
> 状況になり
バッファオーバーフローの攻撃が決まりメモリ上で悪意あるコードが動作する場
合( SQL Slammerみたいなケース)、今まで動いていたプロセスがそのまま悪意
あるプロセスに変わっちゃうような感じなんではないかと思います。つまり、プ
ロセスIDとかはいっしょでそのまま動作が悪者になる、みたいな感じです。
#それを悪意あるプロセス、と呼ぶのかな?
#要は、新しいプロセスが起動するわけではない、ということを確認しておきます。
> 攻撃そのものが SSL を狙うということで、攻撃パケットも SSL 経由に
> なり NIDS は検知できないかもしれません。
今回の脆弱性についてはあまり知らないのですが書いちゃうと(笑)SSLのコネク
ションを確立する過程に問題があるようなので、もしかしたら暗号化される前に
何らかのペイロードみたいなものを探すことができるかもしれません。これは
OpenSSL系の穴についてもそうだと思います。
#IISの環境を持っていないので遊べません…とほほ
> この状態で、侵害の発生を検知するにはどうすりゃいいんですかね?
> メモリ上に存在する“悪意あるプロセス”を保全するにはメモリ内容を
> ダンプすれば可能ですが、そもそも“悪意あるプロセス”がメモリ上に
> 存在することを特定する、すなわち“すでに侵害されている”ことをど
> のように確認するか・・・
ところで、SQLSlammerなどの過去のメモリ常駐型ワームについて、ダンプしたメ
モリ内容から感染を確認されたことがある方っていらっしゃるのでしょうか。原
理的には可能かなぁ、とは思うのですが。
--
Kanatoko<anvil@xxxxxxxxxxx>
http://www.jumperz.net/
irc.friend.td.nu:6667 #ouroboros