2014年1月

リモートデスクトップにPass-the-Hashしてみました。

Kali Linuxのblogを見て試してみました。

Pass-the-Hashって何？という方もいらっしゃると思いますので（かなり）簡単に説明します。
WIndowsはログオン（最近はサインインと言うようですね。）パスワードは平文ではなく、ハッシュ関数を用いてハッシュ化して保存されています。

ntsujiというユーザ名でntsujiというパスワード設定した場合は以下のように保存されました。

ntsuji:1001:NO PASSWORD*********************:622BB9FF06C09173842E03C47E49F33F:::

「622BB9FF06C09173842E03C47E49F33F」の部分が「ntsuji」というパスワードをハッシュ化したものです。

通常ログオンする際には、「ntsuji」と設定したパスワードを入力しなければログオンできません。
これはリモートデスクトップでも同じことです。
しかし、このハッシュ化された文字列を用いてログオンする手法があります。
それがPass-the-Hashです。

それの何が便利なの？ということなのですが、何も便利ではありません。
通常使っている分には。
しかし、攻撃者からするととても便利な手法なのです。

例えば、1台のコンピュータへの侵入に成功し、そのコンピュータからパスワードハッシュを入手したとします。その情報を使って他のコンピュータに侵入を試みるには、通常のログオン同様、ハッシュ化されたパスワードではなく、元のパスワード、つまり、平文のパスワードが必要になるわけです。
そのためには一旦、そのパスワードハッシュを平文の戻す作業が必要となり、一手間多くかかってしまいます。パスワードの強度次第では平文に戻すための作業にかける時間が膨大になる、もしくは、現実的な時間では戻せない場合もあります。そこで、Pass-the-Hashを用いることでパスワードハッシュさえあれば、それを使って侵入を試みるということが実現可能となるわけです。
もちろん、手元にあるパスワードハッシュが他のホストで使用されているものと異なる場合は侵入には成功しません。逆にいうとパスワードの使い回しが行なわれていれば一網打尽にできてしまうということになります。
ここまで書いて思い出したのですが過去に@ITの「セキュリティ・ダークナイト」でも触れていましたのでそちらも参考にしていただければ幸いです。

パスワードの定期変更という“不自然なルール” (4/4)

そろそろ本題です。

今までは、リモートデスクトップではPass-the-Hashを行なうことはできませんでした。
しかし、RDP 8.1からは、Restricted Admin Modeがサポートされたことにより可能となったようです。

ということで試してみました。
利用するツールは「FreeRDP」なのですが、公式のものにパッチを適用するか、こちらを利用する必要があります。

Kali Linuxを利用している場合は

apt-get update
apt-get install freerdp-x11

とすればPass-the-Hashに対応した「FreeRDP」を利用することができます。

シンタックスは以下の通りです。

xfreerdp /u:ユーザ名 /pth:パスワードハッシュ /v:ターゲットのアドレス

以下が、Windows 8.1への実行結果です。

特に問題なくパスワードハッシュを用いてリモートでスクトップを利用することが可能でした。

ちなみに、RDP 8.1は、Windows 8.1、Windows 2012 R2からですので、それ以前のOSではこの手法は使用できません。
念の為、Windows 8とWindows 7にも試してみました。

【WIndows 8 の場合】

【WIndows 7 の場合】

また、ターゲットとする権限は「Administrators」に属している必要があり「Remote Desktop Users」ではこの手法は利用できないようです。以下は、Windows 8.1上に作成した「Remote Desktop Users」に属する「rdp-user」へPass-the-Hashを行なった結果です。

RDP 8.1 で「Administrators」に属さないないユーザではもPass-the-Hashによるログオンができないということがお分かりいただけたかと思います。

【2014/01/30追記】
Restricted Admin modeについて北河拓士さんからコメントをいただきました。
以下はその内容をまとめたものです。

Restricted Admin modeの導入の理由としては、既に侵入されてしまっているマシンに対して、ヘルプデスクがメンテナンスを行なうためにリモートデスクトップでDomain Adminsに属するユーザででログオンした際「mimikatz」などを利用してメモリ上からそのDomain Adminsに属するユーザのパスワードを平文で取得されないように制限を付けるというメリットのためです。
Restricted Admin modeについての説明をした資料はこちら[PDF]が詳しいかと思います。

セキュリティ強化を行なうために導入された機能が新たな攻撃方法の成功を生んでしまうことはなんとも皮肉なことかもしれませんが、攻撃者が既にハッシュを持っているという状態で行なう攻撃ですとリモートデスクトップとは別の経路でPass-the-Hashも可能です。それらを考慮すると以前よりもセキュリティ機能としては＋αされたと言えるのではないかと思います。

Restricted Admin modeが導入されている環境下での「mimikatz」実行結果に関してのエントリーはまた別の機会に。

Category: exploit, memo | コメントを受け付けていません

1月 20

Raspberry Pi をTorルータにするメモ

「onion pi」や「SafePlug」など海外ではお手軽にTorを使うことのできるTorルータが販売されているようですが日本では、送料や到着までの時間など購入のハードルが高いので自作をしてみました。そのときのメモです。
今回は「RPi – Raspberry Pi で Tor ルーター ( Onion Pi )を構築する方法」をかなり参考にさせていただきました。netbuffaloさんありがとうございます。
Raspberry Pi初心者！という方には同じく、netbuffaloさんの「RPi – Raspberry Pi ファースト・インプレッション + 押さえておきたい初期設定」を参考にされるといいと思います。

ネットワーク環境は下記の通りです。
自宅ネットワーク 192.168.0.0/24
Torルータネットワーク 10.0.0.0/24

まずはupdateとupgradeを済ませておきます。

sudo apt-get update
sudo apt-get upgrade

次にRaspberry Piの無線LANインターフェイスにIPアドレスとネットマスクの設定

sudo ifconfig wlan0 10.0.0.1 netmask 255.255.255.0 up

ここで設定したアドレスがクライアントとして接続したコンピュータのゲートウェイとなります。

/etc/network/interfacesを編集。

sudo vi /etc/network/interfaces

下記のようにアドレスを設定

iface wlan0 inet static
address 10.0.0.1
netmask 255.255.0.0

この際に先に記述されている箇所を下記のようにコメントアウトしておきます。

#iface wlan0 inet manual
#wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
#iface default inet dhcp

【DHCPのインストール】
接続してきたクライアントにIPアドレスを貸し出す為にDHCPサーバをインストールして、自動起動を停止させます。

sudo apt-get install isc-dhcp-server
sudo update-rc.d isc-dhcp-server disable

DHCPでIPアドレスを貸し出す側のインターフェイスの指定するために下記ファイルを編集。

sudo vi /etc/default/isc-dhcp-server

インターフェイスにwlanを指定するため下記記述へと編集。

INTERFACES=”wlan0″

次に設定ファイルを編集します。

sudo vi /etc/dhcp/dhcpd.conf

設定ファイル内に下記の記述を追加します。
ここは自身の環境に合わせて設定値を変更してください。

ping-check true;

subnet 10.0.0.0 netmask 255.255.255.0 {
option routers 10.0.0.1;
option subnet-mask 255.255.255.0;
option domain-name “local”;
option domain-name-servers 8.8.8.8,8.8.4.4;
default-lease-time 600;
max-lease-time 7200;
range 10.0.0.2 10.0.0.254;
}

「option routers」は、無線LANインターフェイス（wlan0）のIPアドレスを設定。
「option subnet-mask」は、同じくサブネットマスクを設定。
「options domain-name」は、自身の好きなドメイン名を設定。
「option domain-name-servers」は、使用するDNSのアドレス。
ここではGoogle DNSを設定しています。
「default-lease-time」は、標準のIPアドレスの割り当て時間。クライアントがDHCPREQUESTを出さない場合はこの貸し出し時間となります。
「max-lease-time」は、最大のIPアドレスの割り当て時間。クライアントがDHCPREQUESTを出した場合でもこの時間を超えることはできません。
「range」は、クライアントにIPアドレスを貸し出す際の範囲。

以上、準備ができたらDHCPサーバを起動します。

sudo /etc/init.d/isc-dhcp-server start

【hostapdのインストール】
次に、無線LANインターフェイスをアクセスポイント化するためにhostapdをインストールして、自動起動を無効化します。

sudo apt-get install hostapd
sudo update-rc.d hostapd disable

次に設定ファイルの作成です。

sudo vi /etc/hostapd/hostapd.conf

下記、記述を追加します。

interface=wlan0
ssid=好きなSSIDを指定
hw_mode=g
channel=3
wpa=2
wpa_passphrase=接続の際のパスフレーズを指定
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP

WN-G300UA(Realtek Semiconductor Corp. RTL8192CU 802.11n WLAN Adapter)では、hostapdを動作させることができないので「Realtek Semiconductor」社のサイトから最新のドライバをダウンロードしインストールします。ファイル名は「RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911」です。
（WLI-UC-GNMではapt-getで入るhostapdで問題なく動作させることができました。）

ダウンロードしたファイルを展開し、make、既存の物との置き換えをします。

unzip RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911.zip
cd RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911/
cd wpa_supplicant_hostapd/
tar zxvf wpa_supplicant_hostapd-0.8_rtw_r7475.20130812.tar.gz
cd wpa_supplicant_hostapd-0.8_rtw_r7475.20130812/
cd hostapd/
make
sudo cp ./hostapd /usr/sbin/
sudo cp ./hostapd_cli /usr/sbin/

これで無線LANインターフェイスがアクセスポイントとして動作するようになります。

sudo hostapd /etc/hostapd/hostapd.conf

上記コマンドを実行した後に「hostapd.conf」のSSIDで設定したものがWiFiネットワークを検索したときに表示されれば問題なく動作しています。
(上記コマンドではフォアグラウンドで動作するので同じターミナルで作業を続ける場合はバックグラウンドで動作させてください。もしくは別のターミナルで作業を続けてください。)

【Torのインストール】
次にTorのインストールして、自動起動を停止します。

sudo apt-get install tor
sudo update-rc.d tor disable

インストールが完了したら、設定ファイルを編集します。

sudo vi /etc/tor/torrc

設定ファイル内に下記の記述を追加します。
ここは自身の環境に合わせて設定値を変更してください。
「TransListenAddress」と「DNSListenAddress」をwlan0のアドレスに設定してください。「TransPort」は任意のものでも問題ありません。

VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .onion,.exit
AutomapHostsOnResolve 1
TransPort 9090
TransListenAddress 10.0.0.1
DNSPort 53
DNSListenAddress 10.0.0.1

次にTorのログファイルを作成します。

sudo touch /var/log/tor/notices.log
sudo chown debian-tor /var/log/tor/notices.log
sudo chmod 644 /var/log/tor/notices.log

上記設定ができたら設定を反映させるためTorサービスを再起動します。

sudo /etc/init.d/tor restart

【iptablesの設定】
次にiptabelsを使って無線LANインターフェイスで受信したDNS通信をwlan0のUDP 53番ポートへ、TCP通信をwlan0のTCP 9090へリダイレクトするように設定します。

sudo iptables -t nat -A PREROUTING -i wlan0 -p udp –dport 53 -j REDIRECT –to-ports 53
sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp –syn -j REDIRECT –to-ports 9090
sudo iptables -A FORWARD -i eth0 -o wlan0 -m state –state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

これでRaspberry Pi を Torルータにすること自体は完了です。
試しに接続をしてみてTor経由の通信が行なわれているかを「確認くん」などで確認してみるといいでしょう。

最後の仕上げとして各種の自動起動設定などを行ないます。

【自動起動などの設定】
iptablesの設定を起動時に読み込むようにするため行なった設定をファイルに出力します。

sudo sh -c “iptables-save > /etc/iptables.tor.ap”

hostapdの起動スクリプトを編集します。

sudo vi /etc/init.d/hostapd

設定を行なった設定ファイルのパスを「DAEMON_CONF」に追加します。

DAEMON_CONF=/etc/hostapd/hostapd.conf

最後に「rc.local」を編集します。

sudo vi /etc/rc.local

下記内容を追加します。

service isc-dhcp-server start
service hostapd start
service tor start
iptables-restore < /etc/iptables.tor.ap

これで再起動をしてもRaspberry piがTorルータとして動作するはずです。

Category: memo | コメントを受け付けていません

1月 17

MetasploitのVirus Totalでマルウェア判定するモジュール

MetasploitにVirus Totalを利用してマルウェア判定するためのモジュールが追加されたようなので使ってみました。モジュールは２つ。
ローカルのファイルを判定する場合は「tools/virustotal.rb 」
Exploitしたホスト上のファイルを判定する場合は「module/post/multi/gather/check_malware.rb」
です。(上記PathはMetasploitのディレクトリからのものです。)

今回はお約束の「eicar.com」を判定してみました。

【tools/virustotal.rbの場合】

【module/post/multi/gather/check_malware.rbの場合】

Category: exploit, malware | コメントを受け付けていません

1月 16

JICS2014に参加してきました。

JICS(JAPAN IENTITY & CLOUD SUMMIT)2014でお話をしてきました。

ボクが出させていただいたトラックはこういう感じのものだったのですが構成としては
根岸さん、ボク、徳丸さんの順番にそれぞれの視点（ボクは攻撃者視点）でお話をしてから
その３名に楠さんを加えてパネルディスカッションを行なうというものでした。

ボクがお話したときの資料はコチラ。
（ただ、これを見ながら聴いていただくための資料で、持ち帰りを前提とした配布資料的なものではないのであしからず。）

全体的にいつも参加しているイベントと違い、自分としてはとても新鮮な雰囲気でした。
このイベント自体がセキュリティオンリーなものではないので、そこがそもそも新鮮さを誘発する要因だったのかもしれませんね。ふと思ったのですがセキュリティって色々なものに関連するにも関わらず、切り離してセキュリティだけで独立したものが多いような気もします。
例えば、Webアプリを開発されている方はデータベースやWebサーバなどなど関連する方々と割と繋がっているイメージがあります。自戒として色々なところに話を聴きにいかないといけないな。などとぼんやり思いました。

パネルディスカッションのときには色々なお話をしたと記憶してるのですが、自分的に今回のボクは些か控えめだったように思います。その分、自分の話した内容を割としっかりと覚えています。折角なので自分が振り返ることができるという意味でも2点ほどメモしておきます。

【パスワードを覚えられない方はこちら】

パスワードって色々なところにあります。
ネットワーク上のサービス、銀行ATM、各種デバイスなどなど。
１つも使っていないって人を探す方が難しいのではないでしょうか。
そんな状況の中で
「複雑なパスワードを設定して、サービスごとに別々のものを設定して使い回しをしない。」
という人力のみでは割とハードルの高いものを要求されます。
ボク自身はパスワード管理ソフトを使っているのでそれほど苦ではないのですが、これをすべての人が使いこなせる、使おうと思うかどうかというと答えは絶対に「No」だと思います。
ボクの実家の家族のコンピュータにはアンチウイルスをインストールしてありますし、Windows Updateなどの各種アップデートもするように伝え、その方法も覚えてもらいました。
これだけでもやっとだったのに、これに加えてパスワード管理ソフトの使い方を覚えるとなると相当ハードルが高くなるとボクは思います。
コンピュータに明るい方は、簡単だと思ってしまうのだと思いますが、それと同じ事を自分のお父さん、お母さん、さらには、おじいちゃん、おばあちゃんができるか？ということを考えればおそらく多くの方はボクと同じような答えになるのではないでしょうか。

そんな中、１つの方法としてサービス提供側がユーザ登録時に強固なパスワードを発行して、それを使ってユーザはログインし、自分の好きなものに変更することはせず、再度ログインするときには再発行/リセットするといった「なんちゃってワンタイム」（実際には再発行/リセットするまで同じパスワードなのでワンタイムとは呼べませんが）的な運用を行なうという選択肢もあってもいいのかも？と思いました。
もちろん、再発行/リセットを行うためのメールアカウントなどは死守する必要はありますが、記憶/記録しておかなければならないものが減りますし、サービス提供側が毎回強固でランダムなものを発行すれば
「複雑なパスワードを設定して、サービスごとに別々のものを設定して使い回しをしない。」
ということは満たされますし、リスト型攻撃などによる被害状況は改善されるのではないかと思います。
（追記：再発行とすると平文でパスワードがメールで届くことがイメージされるため、再発行から再発行/リセットとしました。）

そんな事をパネル中に考え

「こういう運用をしたい人には
パスワードを忘れた方はこちら
みたいに
パスワードを覚えられない方はこちら
みたいなリンクがあってもいいんじゃないでしょうか。」

という発言をしました。

【続きを読むには…】

記事の続きを読みたいけど…
資料をダウンロードして読みたいけど…

その為にはユーザ登録しなければならない。
多くの方が出会ったことがある状況でしょう。
登録を求める側も個人情報が欲しいので、その気持ちは分かるのですが
本当に面倒ですよね。アレ。

そのためだけに登録するのは…うーん… と思いますし
頑張って「続きを読む」にしても表示してみたら2行ぐらいしか続きがなかった…
なんてことに遭遇し、どっと疲れたこともあります。

パスワード管理の観点からすると管理しなければいけないアカウントが増え
これも簡単なパスワード、使い回しを誘発する要因となると考えられます。

そこで、言い方は悪いですが

「ユーザにとって価値の低いと考えられるアカウントだけを
ID連携でまとめてしまうというのもあってもいいのではないでしょうか？」

という発言をしました。
実現するかどうかは別にして以外と楽になるんじゃないかなって思います。

上記、2点はあくまでアイデアレベルですので、実現するには様々な課題もあるのだとは思います。
そして、もっともっとセキュアでスマートな方法はあると思いますが、前述した通り、すべてのテクノロジーをすべてのユーザが使いこなせるわけではありません。また、金銭をはじめとする様々な事情があり、すべてのサービス提供側がそのテクノロジーを導入できるわけでもありません。
できる方はどんどん前に進みますが、そうではない方はどんどん取り残されるばかりです。
しかし、本当に守ってあげなければいけないのはそういう方々なのではないかなと一人のエンジニアとして思いました。弱きを守るのがセキュリティだと思うのです。

0か100のどちらか。
ではなく「よりよい程度と選択」なのだろうな。
ということを考えたパネルディスカッション、イベントでした。

セッションを聴講された方々のツイートを
novさんが
まとめてくださっているのでご興味あるかたはお読みいただければと思います。

Category: memo | コメントを受け付けていません

1月 14

RealNetworks RealPlayerのRMPファイル処理の不備により、任意のコードが実行される脆弱性（CVE-2013-6877）に関する検証レポート

【概要】
RealNetworks RealPlayerに、任意のコードが実行される脆弱性（CVE-2013-6877）が発見されました。
この脆弱性は、RMPファイルのTRACKID要素の文字列処理に不備があることにより発生します。これにより、RealPlayerを実行しているユーザの権限で任意のコードの実行が可能となります。

攻撃者は、利用者にWebサイトやメールなどの手段で細工されたRMPファイルを開かせることにより、リモートから任意のコードを実行できる危険性があります。攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

本レポート作成（2014年1月14日）時点において、RealNetworks 社から脆弱性に対応したバージョンがリリースされております。しかし、再現性が高いことから本レポートを公開いたしました。

【影響を受ける可能性があるシステム】
– Windows RealPlayer 17.0.4.61 以前のバージョン

【対策案】
RealNetworks社から本脆弱性を修正するプログラムはリリースされております。当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2013-6877

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース

【検証イメージ】

【検証ターゲットシステム】
WindowsXP Professional SP3上のRealPlayer 16.0.3.51

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工されたRMPファイルを設置したサイトにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。

これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ（Linux）の画面です。赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC（Windows XP）において、コマンドを実行した結果が表示されています。これにより、ターゲットPCの制御を奪うことに成功しました。

reported by oda, ntsuji

Category: exploit | コメントを受け付けていません

1月 8

Exploit DatabaseがGithubにホストされたようです。

Exploit掲載サイトのExploit Database(EDB)はSVN,CVSを廃止してGithubにホストされるようになったようです。また、これに伴ってリポジトリの更新間隔を毎週から毎日に変更とのこと。
便利ですね。

以下はgitで取得してきたときのログです。

root@kali:/opt# git clone https://github.com/offensive-security/exploit-database
Cloning into ‘exploit-database’…
remote: Counting objects: 28645, done.
remote: Compressing objects: 100% (26550/26550), done.
remote: Total 28645 (delta 2051), reused 28624 (delta 2030)
Receiving objects: 100% (28645/28645), 32.73 MiB | 561 KiB/s, done.
Resolving deltas: 100% (2051/2051), done.
Checking out files: 100% (27619/27619), done.
root@kali:/opt# ls exploit-database/
README.md files.csv platforms
root@kali:/opt# ls exploit-database/platforms/
aix bsd_ppc freebsd_x86 irix linux multiple osx sco tru64 win64
arm bsd_x86 freebsd_x86-64 java linux_mips netbsd_x86 osx_ppc sco_x86 ultrix windows
asp bsdi_x86 generator jsp linux_ppc netware palm_os sh4 unix
atheos cfm hardware lin_amd64 linux_sparc novell php solaris unixware
beos cgi hp-ux lin_x86 minix openbsd plan9 solaris_sparc webapps
bsd freebsd immunix lin_x86-64 mips openbsd_x86 qnx solaris_x86 win32

root@kali:/opt# head exploit-database/files.csv
id,file,description,date,author,platform,type,port
1,platforms/windows/remote/1.c,”MS Windows WebDAV (ntdll.dll) Remote Exploit”,2003-03-23,kralor,windows,remote,80
2,platforms/windows/remote/2.c,”MS Windows WebDAV Remote PoC Exploit”,2003-03-24,RoMaNSoFt,windows,remote,80
3,platforms/linux/local/3.c,”Linux Kernel 2.2.x – 2.4.x ptrace/kmod Local Root Exploit”,2003-03-30,”Wojciech Purczynski”,linux,local,0
4,platforms/solaris/local/4.c,”Sun SUNWlldap Library Hostname Buffer Overflow Exploit”,2003-04-01,Andi,solaris,local,0
5,platforms/windows/remote/5.c,”MS Windows RPC Locator Service Remote Exploit”,2003-04-03,”Marcin Wolak”,windows,remote,139
6,platforms/php/webapps/6.php,”WordPress <= 2.0.2 (cache) Remote Shell Injection Exploit",2006-05-25,rgod,php,webapps,0 7,platforms/linux/remote/7.pl,"Samba 2.2.x Remote Root Buffer Overflow Exploit",2003-04-07,"H D Moore",linux,remote,139 8,platforms/linux/remote/8.c,"SETI@home Clients Buffer Overflow Exploit",2003-04-08,zillion,linux,remote,0 9,platforms/windows/dos/9.c,"Apache HTTP Server 2.x Memory Leak Exploit",2003-04-09,"Matthew Murphy",windows,dos,0

Category: exploit | コメントを受け付けていません

1月 6