HOME » ＦＦＲＩセキュリティ BLOG » 2015年 » 2015年9月 » Monthly Research 「Black Hat USA 2015 サーベイレポート」

Monthly Research 「Black Hat USA 2015 サーベイレポート」

毎年8月にラスベガスで行われる世界最大のセキュリティカンファレンスであるBlack Hat USAが今年も開催されました。
今年のBlack Hat USAでは、1万1千人超の来場者が訪れ、110以上の研究発表が行われました。
ＦＦＲＩ代表の鵜飼が研究発表の審査員(レビューボード)の一員を務めています。
数多くの発表から我々が特に注目した発表についてご紹介します。

ＦＦＲＩリサーチャーが注目した研究発表

自動車のセキュリティ

Remote Exploitation of an Unaltered Passenger Vehicle

　クライスラーの Jeep をリモートから乗っ取り可能という脅威の実証が発表されました。
攻撃経路は Wi-Fi または携帯電話網であり、車載情報システム U-Connect が侵入口とのことです。
D-Bus を介してヘッドユニット上で任意コード実行可能にした後、アップデート機能を用いて CAN 通信を担うルネサス製マイコン V850 上で動作するファームウェアを改ざんしています。

How To Hack a Tesla Model S (DEFCON)

　 Tesla Model S の LAN(Ethernet) ポートを介した脆弱性攻撃の実証が発表されました。
攻撃により自動車の制御への介入した際にフェイルセール機構の発動を確認したとのことです。
Tesla は脆弱性に対し OTA でファームウェアのアップデートを実施しました。

Drive It Like You Hacked It: New Attacks and Tools to Wirelessly Steal Cars (DEFCON)

　 GM の車載テレマティクスサービスである OnStar RemoteLink アプリの脆弱性と PoC デバイスが発表されました。
PoC デバイスは、自動車の Wi-Fi 範囲内で RemoteLink アプリを使用した際に、アプリの認証脆弱性を利用してユーザー証明書を横取りするとのことです。
またユーザー証明書の横取りによって MITM 攻撃が可能となり、理論上アプリで操作可能なすべての操作をリモートから実行可能になるとのことです。
脆弱性は iOS アプリに存在しており、既に修正済みです。

IoT のセキュリティ

When IoT Attacks: Hacking a Linux-Powered Rifle

　Linux 搭載の自動照準の長距離狙撃ライフル TP750（TrackingPoint社製）のリモート攻撃に関する研究結果が発表されました。
ライフル自体がアクセスポイントになり、スマホなどから接続可能な状況であったこととハードウェアおよびソフトウェアのリバースエンジニアリングにより攻撃が可能であることがわかったとのことです。
メーカー側はこれらの一部の脆弱性については修正済みです。

ZigBee Exploited the Good, the Bad, and the Ugly

　今後のIoT社会を支える通信規格「ZigBee」に関する研究結果が発表されました。
今後普及が見込まれる ZigBee ですが、鍵情報が固定になるなどセキュリティ上の問題を抱えているとのことです。
発表者はTCP/IP など歴史を手本にセキュリティを考える必要があると指摘しています。

モバイルセキュリティ

Attacking your “Trusted Core” Exploiting TrustZone on Android

　ARM CPU の拡張機能 TrustZone によるセキュリティ機構を攻略する方法が発表されました。
TrustZone を使う TEE ソフトウェア(OS)を Huawei が独自実装しており、それに脆弱性があり、結果として TrustZone によるセキュリティ機構を破られたとのことです。
発表ではブラックボックスなアーキテクチャの分析手法と発見した 2 つの脆弱性による TrustZone 攻略法が解説され、端末に保存されている指紋画像の窃取やセキュリティ機能のバイパスの脅威が実証されました。

TrustKit: Code Injection on iOS 8 for the Greater Good

　iOS アプリ開発の規制緩和（Embedded Frameworks）を利用して非Jailbreak端末で機能フックを行うという手法とツールが発表されました。
iOS8以降ではサードパーティフレームワークを動的にロードすることができるようになりそれを利用することでコードを改編すること無く機能フックを実現できるとのことです。
「TrustKit」と名付けられたツールはオープンソースで公開されました。

マルウェア・脆弱性攻撃

ROPInjector: Using Return-Oriented Programming for Polymorphism and AV Evasion

　DEP 回避ではなく、AntiVirus 回避に ROP を使う手法が発表されました。
AntiVirus 回避、元の PE の非破壊などの4 つの試みを実施し、ROPInjector による悪性コードの注入を 7 つのステップで実行することでほぼ100％の確率で57のアンチウイルスソフトの検知を回避したとのことです。
発表者は現在のシグネチャベースの検出方法(パターンマッチング)はもはや有効ではない、振る舞い分析を徹底的に行うのは困難である、更には全てを信頼しないというデフォルトポリシー（ホワイトリスト）が必要であると語りました。

Exploiting the DRAM rowhammer bug to gain kernel privileges

　メモリエラーによるビット反転（Rowhammer 問題）を悪用し権限昇格を行う手法が発表されました。
Rowhammer とは DRAM の微細化に伴って深刻化しているメモリセル間の干渉によるビット反転エラーの問題です。
反復するメモリエラーである Rowhammer を巧妙に利用することで権限昇格を行えるとのことです。
発表ではChrome の Native Client (NaCl) サンドボックスのバイパスやLinux カーネルでの権限昇格など2つのExploitの例が示されました。

WSUSPect - Compromising the Windows Enterprise via Windows Update

　Windows Update を介したエンタープライズ Windows 環境への攻撃手法が発表されました。
Microsoft は WSUS のセキュリティとして SSL の利用を推奨しているものの、デフォルトでは SSL は無効であり、SSL 未使用の場合 MITM 攻撃ができる環境にあったとのことです。
加えてWinnows Update はユーザーのプロキシ設定を読み込む事を利用し攻撃を成立させることができるとのことです。
発表では2つの具体的な攻撃シナリオが発表されました。

Server-Side Template Injection: RCE for the Modern Web App

　動的にWEBページを生成するテンプレートエンジンの設計上の脆弱性を突き、リモードコード実行を行う手法が発表されました。
攻撃成立原理はテンプレートエンジンへ値を代入する際に、直接ユーザーからの入力を許している場合に、不正なテンプレート構文を注入され、任意のコマンド実行などに繋がるとのことです。
FreeMarker, Velocity, Smartyなど、多くのテンプレートエンジンが影響を受けます。

リバースエンジニアリング

Using Static Binary Analysis To Find Vulnerabilities And Backdoors in Firmware

　IoT 機器のファームウェアのバイナリ解析手法に関するもので、発表者が所属している ShellPhish と呼ばれる CTF などを中心に活動しているグループが構築した脆弱性分析システムの一部について発表されました。
解析には、”angr”（バイナリ解析フレームワーク）を使用しており、主に、認証バイパスに関する脆弱性を検出するための ”Symbolic Execution Engine” について解説しています。

まとめ

　自動車や IoT のセキュリティの研究への注目が高まってきていると感じますが、それらのセキュリティの攻略には IT 以外の専門知識や対象のモノ自体が必要で汎用コンピューターに比べて攻撃コストは高くなります。
脅威が情報以外に及ぶ恐れがありますが、「普通の IT 機器と同様の脆弱性が存在する」、「知識・モノ・時間があれば突破できるセキュリティ」などIoTセキュリティは情報機器と同レベルであると考えます。
そしてマルウェアに関する複数の発表で従来のパターンマッチングの限界が明示されていることも注目ポイントです。
モバイルでは比較的安全と思われていた iOS への攻略に関する研究が増えており、今後の脅威が顕在化する恐れがあります。

Monthly Researchのダウンロードはこちら（日本語 / English）

Black Hat　レビューボード　ＦＦＲＩ代表・鵜飼裕司

SLIME: Automated Anti-sandboxing disarmament system（Black Hat Asia 2015発表資料

Monthly Research 「OS X と iOS における脅威について」

Monthly Research 「Windows10 IoTのセキュリティについて」

Monthly Research 「次世代の車載ネットワークと現状のセキュリティ研究動向」