フロスト&サリバンのSWGにおいてイノベーター及びリーダーと評価されました
Most Searched
従来のセキュリティアプローチには抜け道があり、コストが高く、セキュリティ チームにとって負担が大きいものでした。しかしメンロ・セキュリティは違いま す。最もシンプルかつ信頼のおける方法で業務を守り、オンラインの脅威からユー ザーやビジネスを分離します。
我々のプラットフォームは目に見えませんがオンラインユーザーがどこにいても保護しています。脅威は過去のものになり、アラートの嵐は過ぎ去りました。
データシート
従来のネットワークセキュリティは現在の複雑な環境を想定していません。SASEでこの問題を解決。
ソリューション概要
Menlo Labs は、脅威インサイト、専門知識、コンテキスト、およびツールを提供して、顧客が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。 このチームは、既知の脅威と未知の脅威にスポットライトを当てる専門的なセキュリティ研究者で構成されています。
購入ガイド
Menlo Labs は、知見、専門知識、コンテキスト、およびツールを提供して、お客様が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。
Menlo Security | 10月 05, 2022
Share this article
Menlo Labsの研究チームは最近、武器化されたテンプレートインジェクション文書がどのように機能するか、そしてそれをどのように防御するかについてのブログを公開しました。悪意のあるURLやエクスプロイトマーカーなどの特定の痕跡がない場合、テンプレートインジェクション攻撃をセキュリティスキャナで検知するのは困難なのです。
テンプレートインジェクション攻撃の研究を続ける中で、私たちは偶然、カモフラージュの手法を用いてURLを肉眼では見えないようにした興味深い武器化文書を見つけました。これらの文書には10進数のIPアドレスが含まれていたり、リモートでホストされているテンプレートを取得するために難読化されたURLフォーマットが使われたりしています。
以前の記事で述べたように、これらの攻撃は以下の理由からも注目されます:
このブログでは、カモフラージュを使ったテンプレートインジェクション攻撃に関する調査結果を詳しくご紹介します。
通常、IPアドレスはXXX.XXX.XXX.XXXのようなドット付き10進数で表記されますが、この他にも、IPアドレスにはさまざまな表記方法が用いられます。
ここでは、google.comのIPアドレス「42.250.199.142」(本稿執筆時)を例に、IPアドレスの表記方法の違いを説明します。
8進数表記:8進数で表されるIPアドレス → 0052.0372.0307.0216これは05276543616とも表せます。8進数表現では先頭の0をインタープリターメーカーとして使用するため、0はいくつでも追加できます。例えば、00000000005276543616や0052.0372.0307.000000000216のようになります。
16進数表記:16進数で表したIPアドレス → 0x2afac78e0x2a.0xfa.0xc7.0x8eと表すこともできます。
10進/DWORD表記:ドットを除いた10進数で表現したIPアドレス → 721078158
バイナリ(2進数)表記:IPアドレスを2進数で表記 → 10001110.11111010.11000111.10001110
エンコード表記:IPアドレスをURLエンコードしたもの → %34%32%2E%32%35%30%2E%31%39%2E%31%34%32
混合表記:上記の異なる表記を組み合わせて表現されたIPアドレス → 0x2a.0372.199%2E%31%34%32
上記の他に、IPアドレスの0を抑制または圧縮した0最適化ドット付き10進数表記という表記法もあります。
この例では、ルーターが使用するデフォルトゲートウェイのIPアドレス(192.168.0.1)を例に挙げます。以下のリストは、IPアドレスの0が最適化された表現を示しています:
デフォルトでは、ブラウザーはこれらの表記のほとんど(バイナリ表記を除く)を受け入れます。このような表記を使用すると、ファイルベースのコンテンツ検査エンジンを回避することができます。
複雑過ぎますか? 興味深いですよね? もう少しお付き合いください!!!
まだ終わりではありません! このパンドラの箱の他の部分を掘り下げてみましょう。
このようなIPアドレスの表記は、ファイルベースのコンテンツ検査エンジンにとって既に扱いづらいものになっていますが、難読化されたURLの使用が検査をさらに困難なものにしています。この手法は、Uniform Resource Identifier (URI)スキームにおける「@」userinfoサブコンポーネントを使用するものです。この文字を使用すると、URIの一般的な構文形式で難読化されたURLやミスリーディングなURIを作成することができ、URIベースのセマンティック攻撃を行うことができます。理解を深めるために、google.comのIPアドレスと同じ例で考えてみましょう。ミスリーディングなURIの例として、https://tes[email protected]を使います。ブラウザーのアドレスバーからこのURLにアクセスすると、google.comに解決されます。
ここでは「@」がデリミターとして機能し、「test」を無視してgoogle.comに解決します。さらに、ミスリーディングなURIを作成するために、「://」権威コンポーネントも使用しなければなりません。
これと同じ機能は、「@」が何回繰り返されても機能します:
また、これはhttps://test@0x8efac78eやhttps://@721078158のように、8進数、16進数、10進数表記でも表記可能です。これは私たちにとって興味深い実験でした。標準的なドット付き10進数表記以外の8進数、16進数、10進数/DWORD表記は、ほとんどのアプリケーションでは無効なリンクとして扱われることが確認されました。
さらに攻撃者は、悪意のあるURLを良性のURLの後ろに隠してしまうこともできます。例として、以下のURLを見てみましょう:
これらの例では、URLはすべてgoogle.comに解決されます:192.168.1、192.168.0.1、youtube.comは、実際のURLではありません。
ブラウザーがサポートする非標準のIP表記とミスリーディングなURIを使用することで、カモフラージュの効果を得ることができます。
攻撃者は、以下のような方法で、URLをチェックするコンテンツ検査エンジンを回避することができます:
これらの攻撃は新しいものではなく、10年以上前から行われています。2020年9月、TrustwaveはこのようなURL回避の例を引用した詳細を発表しました。暗号化された16進数のIPアドレス形式の使用や、短縮URLをマスクするURLセマンティック攻撃について説明しています。
私たちは、テンプレートインジェクション攻撃で使用されるカモフラージュされたURLを特定しました。
テンプレートは、以下のようなカモフラージュされたURLでホストされていました:
私たちの分析で確認されたこれらの表記の例を以下に示します。
私たちが分析した10進数表記を用いたURLの文書には、カモフラージュとして「.」や「-」が複数含まれていました(図1参照)。
ファイルの詳細は以下の通りです:
URLの10進数/DWORD 1806450061は、ドット付きIPアドレス形式では107.172.61.141に相当します。
別の類似した文書では、「.」や「-」を複数使用した10進数表記によるURLが使用されていました。さらにこの攻撃者は、ミスリーディングなURIのセマンティック攻撃を仕掛けています(図2参照)。
先ほど説明したように、「@」は「users」を無視し、「1806450061」を考慮したデリミターとして機能します。これは、ドット付きIPアドレス形式107.172.61.141に解決されます。
さて、問題です:このカモフラージュは、ユーザーの介入なしに、自動的に解読できるのでしょうか? 答えは「Yes」です。
前述の2つのケースでは、武器化されたドキュメントを開くとカモフラージュされたURLが解読され、107.172.61.141からテンプレートが取得されます。武器化された文書が実行中にパケットをキャプチャする例を以下に示します(図3参照)。
武器化された文書は、RTFエクスプロイトであるCVE-2017-11882を含むテンプレートをダウンロードしました。このエクスプロイトには、リモートコードの実行につながるEquation Editorのスタックバッファオーバーフローの脆弱性が含まれています。本脆弱性はパッチがリリースされていますが、今でも活発に利用され続けています。
RTFエクスプロイトテンプレートを使用した分析では、武器化された文書からFormBook、Snake Keylogger、SmokeLoaderなどのマルウェアがドロップされました。
前回の記事で説明したように、Isolation Core™を搭載したメンロのクラウドセキュリティプラットフォームを利用するお客様は、テンプレートインジェクション攻撃から設計上保護されています。Menlo Securityのクラウドセキュリティプラットフォームは、インターネットからダウンロードされたすべての文書を、ユーザーのエンドポイントから離れたIsolation Core™で開きます。
Menlo SecurityのSafedoc機能は、アクティブなコンテンツをすべて取り除き、それによって悪意のある側面を確実に除去します。ドキュメントは安全なバージョンに変換されます。また、インターネットからのすべてのドキュメントが安全なバージョンとしてダウンロードされるように、ポリシーを設定することも可能です。
このブログでは、Menlo Labsが目撃したさまざまなIPアドレス表記とセマンティック攻撃について詳しく説明しました。攻撃者はこの戦略を利用して、ブラウザーでサポートされる標準的で無い表記を作成しています。私たちは、このテクニックを使って武器化したテンプレートインジェクション文書の例や、肉眼で見えないようにカモフラージュするために「.」や「-」文字を使った例を紹介しました。この攻撃は、無効なリンクとして扱う一部のファイルベースのコンテンツ検査エンジンを回避することができます。
テンプレートインジェクション攻撃では、カモフラージュの事例はこれまでにわずかしか観察されていませんが、このパンドラの箱からは、さらに多くのものが出てくると予想されます。
Hashes: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
URLs:http://1806450055/..—.———————.—-—-—————/……288.dochttp://1806450056/……———————————………————-/…………..17.dochttp://dummy_username@1806450056/….——————………………………………..—————/92.dochttp://users@1806450056/….——————………………………………..—————/93.dochttp://username@1806450056/..-…..———————-…….—————————..—…..—–/136.dothtmlhttp://1806450056/..-…..———————-…….—————————..—…..—–/137.dothtmlhttp://1806450061/…———————-……………..———————–……——-/………..77.dochttp://users@1806450061/..———..————–—-——————/…………………….87.dochttp://1806450061/…———————-……………..———————–……——-/……….88.dochttp://users@1806450061/..———..——————_——————/………………………….89.dochttp://users@1806450061/..———..——————_——_————/………99.dochttp://1806450061/…———————-……………..———————–……——-/…………390.dochttp://1806450061/…———————-……………..———————–……——-/………..400.dochttp://1806450061/…———————-……………..———————–……——-/……….650.dochttp://1806453907/..————.—–—-.——-––—–…————–.—–—–/o——–O–..—————–D—–-d-Op———-_–.dothtml
IPs:107.172.61[.]135107.172.61[.]136107.172.61[.]141107.172.76[.]147
Posted by Menlo Security on 10月 05, 2022
Tagged with Menlo Labs
Threat Trends & Research
Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。 また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。