パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」」記事へのコメント

  • うーん? (スコア:0, 荒らし)

    by Anonymous Coward

    クライアント側で保存される時点で
    クライアント側のアンチウイルスプログラムが
    ちゃんと検出するんでねーの?
    接続先の信頼とか以前にさ

    今どきWindowsでノーガードとか
    ハニーポットくらいなもんでしょ

    Exploitですり抜けるのはこの問題とは意味が違うし
    MSの言う通り
    Windows側の修正が必要なセキュリティの問題じゃない

    むしろ同一視させることでの穴でも見つけていて
    同一視しろって要求してるんじゃないかと邪推したくなる

    • クライアント側に保存せずにSMB共有フォルダ上の実行ファイルをロードする場合に、
      クライアント側のアンチウイルスソフトにはダミーを提供して、
      OSのイメージローダーには感染したバイナリを提供するという手法でしょう。

      • by Anonymous Coward

        は?
        まさかネットワーク上の実行ファイルが
        直接メモリー上にロードされて実行されるとでも?

        一旦キャッシュされてから実行されるのだから
        クライアントのテンポラリ領域に保存されます
        そこはアンチウイルスのチェック下ですよ

        /*
        「OSのイメージローダー」をブートローダーと読み替えて
        ネットワークブート時にアンチウイルスが効かないっていっているのなら
        確かにその通りだが別問題だろう
        */

        • by Anonymous Coward

          >まさかネットワーク上の実行ファイルが
          >直接メモリー上にロードされて実行されるとでも?

          SMB共有ではされるから危ない、とセキュリティ企業が指摘してるんだから、そうなんだろ?

          それとも、「自称セキュリティ企業がまた寝ぼけた的外れなこと言ってやがる」と言いたいの?

          • by Anonymous Coward on 2017年10月01日 20時25分 (#3288955)

            Windowsでのネットワークは
            ゾーン管理されています

            マイコンピューターゾーン以外のすべてのゾーンは
            ローカルイントラネットゾーンや信頼済みサイトも含め
            Temporary Internet Filesを経由しての表示・実行となります

            そしてそこに出たが書き込まれる際には
            アンチウイルスソフトが書き込み時のリアルタイム監視をしています

            つまりなんであれネットワークからのファイルは
            監視対象となる仕組みです

            サーバー側で見分けがつくというのは
            参照時や定期スキャンなど能動的なスキャン時のことです

            実際に実行する際に差し替えられていたとしても
            Temporary Internet Filesを経由してからとなるので補足されます

            試しにネットワークドライブを作ってみてください
            ゾーン管理に登録していないところはインターネットゾーン扱いです
            ゾーン管理に登録していればそのゾーンの管理設定に基づきます

            プライベートネットワークであろうが
            パグリックネットワーク共有を許可していようが
            それは変わりません

            原理的に
            ネットワーク上のファイルを
            直接メモリーにロードして実行する仕組みではありません

            親コメント
            • by Anonymous Coward

              HTTPとSMBを勘違いしていませんか?ゾーン管理はその通りですが、SMBでファイルを開くのにTemporary Internet Files経由って事はないと思うのですが。
              大きなファイルとかを開くと、LANの論理上限速度で転送した場合よりも早く開けますし。部分的にファイルを直接メモリに読んでるとしか思えない挙動なのですが。
              とは言え、実際にWindowsがどういう仕様なのかは知らないので、MSが公開している資料でTemporary Internet Files経由で開くと言うのが確認できるものってありますか?

              • by Anonymous Coward

                あと、SMB側で排他制御も掛かるね。
                そもそもローカルにコピーを生成してるんならローカルへの書き込み監視で例外指定しない限りの時点で引っかかる筈だし。

                キャッシュは生成されるだろうけど、アンチウィルスでのアクセス直後に更新時刻変えた判定を返してキャッシュ破棄させればスキャンと実行で違う内容を返せる、と言われたら納得行く。
                DNS Pinningみたいにアンチウィルスでのスキャンと実行ファイルのロードをアトミックにしない限り回避はできない。
                …でも、インストーラの如き巨大な実行ファイルをピンニングするとかちょい無理があるだろうし、
                ファイルレベル自己書き換えも絶無ってわけじゃないから書き換えを完全にロックするわけにもいかないというかロック自体が鯖の仕事…

                改竄機能付きのSMBサーバがイントラネット内に出現してその中のアプリを実行した時点で負けってことにする(MSの回答)か、
                ローダーによるアクセスにアンチウィルスがフックを掛けれるようにしてもらうか。後者は安定性への影響が怖いなあ……

            • by Anonymous Coward

              それだと、いつからか仕様が変わったことになりますが、ほんとですか?
              SMBは、ある意味、インターネットより歴史が古いですし。

              • by Anonymous Coward
                正確に覚えてないけど、ME か XP あたりで共有フォルダもゾーンセキュリティの対象になったんじゃなかったっけ?
                その影響で共有フォルダの hlp ファイルも開けなくなったし、署名なしの exe の実行も出来なくなった。

Stableって古いって意味だっけ? -- Debian初級

処理中...