WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 16
ストーリー by headless
簡易 部門より
簡易 部門より
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事、
V3の記事、
The Vergeの記事、
The Guardianの記事)。
ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。
この件について、ジュリアン・アサンジ氏やWikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。
ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。
この件について、ジュリアン・アサンジ氏やWikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。
一方、WikiLeaksは同日、米中央情報局(CIA)がWindowsデバイスをターゲットに使用していたという「Angelfire」のドキュメントをVault 7プロジェクトで公開している(Vault 7 — Angelfire、 Softpediaの記事)。
Angelfireはブートセクターを改変するSolartime、改変されたブートコードが読み込むカーネルコードWolfcreek、ユーザーモードでマルウェアを実行するKeystone(MagicWand)、隠しファイルシステムBadMFS、Angelfireのインストーラー作成に使用するWindows Transitory Fileシステムという5つのコンポーネントで構成される。Keystoneが起動したプロセスはタスクマネージャーに「svchost.exe」として表示されるなど、存在を発見されにくくするさまざまな仕掛けが用意されている。対応環境はWindows XP/7/Server 2008 R2となっている。
DNSポイズニングなの? (スコア:1)
ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。
DNSポイズニングで、今回の現象のように、広く影響を与えるのは難しいんじゃない?
攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。
これをDNSポイズニングとは言わないのでは?
ガーディアンの記事 [theguardian.com]には、The Hak Postの記事 [thehackpost.com]からの情報として「DNS poisoning」って出てくるけど、その記事の中では、
とあって、どれも前者(DNSポイズニング)ではなく、後者のことを言ってるよね。
Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:0)
だからsvchost.exeやsystemdはクソだっていうんだよ
複雑さのたらい回しだ
プロセス名が「svchost.exe」として表示されるだけのことが
どうしてこんな致命的な問題になったと思っているんだ?
svchost.exeやsystemdよ、おまえらは余計なことはしなくていい
あるプログラムをspawnする、たったそれだけのことをしてくれるだけでいい、むしろするな
そしてそれが終了したら即座に、かつ跡形もなく消えておくれ
Re:Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:1)
イベントのハンドリングの問題があるだろうから、それだけっての無理なんじゃ?
どっちかというと子プロセスがちゃんと表示されるようにしようよ、でいいんじゃないかな。
M-FalconSky (暑いか寒い)
Re:Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:1)
コソコソ、launchdは許された?
Re: (スコア:0)
svchost.exeはサービス(DLL)を呼ぶだけでしょ
複雑なことをするのはサービスの方だ
Re: (スコア:0)
タスクマネージャーが実際のプロセス名で表示してくれるだけでいいような。
確かにsvchost.exeが並ぶとなんのこっちゃ分からん。
Re:Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:1)
タスクマネージャーが実際のプロセス名で表示してくれるだけでいいような。
手元のWindows 10では表示されてるよ。
コマンドだと、
なんだけど、すぐ忘れちゃうんだよな。
Re: (スコア:0)
それじゃぁ情報足りんのですよねぇ
メーカー名の列ががないと「どこ産の何者」か判別できない
出来れば証明書の情報も欲しいやね
Windows 10のタスクマネージャーでも
列追加できるのは「詳細」タブで「サービス」タブでは無理なんよ
要は性善説に基づいた情報を表示するってコンセプトの代物なので
悪意あるサービスやプロセスを探すために使うというコンセプトは考慮されていない
設計理念から出直さないとやっつけ拡張で妙なことになりかねないレベル
Re:Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:3, 参考になる)
PowerShellからサービスの実体の実行ファイルが取得できるから、そこから調べられるかな。
サービス実体
>gwmi win32_service | select name, pathname
name pathname
---- --------
AdobeARMservice "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe"
AdobeFlashPlayerUpdateSvc C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
AeLookupSvc C:\Windows\system32\svchost.exe -k netsvcs
:
メーカー名
>$shell = new-object -com Shell.Application
>$f = $shell.NameSpace("C:\Program Files (x86)\Common Files\Adobe\ARM\1.0")
>$f.GetDetailsOf($f.ParseName("armsvc.exe"), 33)
Adobe Systems Incorporated
証明書の検証
> signtool verify /pa /v "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe"
Verifying: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
Signature Index: 0 (Primary Signature)
Hash of file (sha1): B80081D7DD021613B99218675A38E31D252CFBA3
Signing Certificate Chain:
Issued to: DigiCert High Assurance EV Root CA
Issued by: DigiCert High Assurance EV Root CA
Expires: Mon Nov 10 09:00:00 2031
SHA1 hash: 5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25
Issued to: DigiCert EV Code Signing CA (SHA2)
Issued by: DigiCert High Assurance EV Root CA
Expires: Sun Apr 18 21:00:00 2027
SHA1 hash: 60EE3FC53D4BDFD1697AE5BEAE1CAB1C0F3AD4E3
Issued to: Adobe Systems, Incorporated
Issued by: DigiCert EV Code Signing CA (SHA2)
Expires: Fri Mar 15 21:00:00 2019
SHA1 hash: EAA843CA2833A2E1EBEDEBE7D04F0CA2B4D97344
The signature is timestamped: Thu Jul 20 15:49:22 2017
Timestamp Verified by:
Issued to: Thawte Timestamping CA
Issued by: Thawte Timestamping CA
Expires: Fri Jan 01 08:59:59 2021
SHA1 hash: BE36A4562FB2EE05DBB3D32323ADF445084ED656
Issued to: Symantec Time Stamping Services CA - G2
Issued by: Thawte Timestamping CA
Expires: Thu Dec 31 08:59:59 2020
SHA1 hash: 6C07453FFDDA08B83707C09B82FB3D15F35336B1
Issued to: Symantec Time Stamping Services Signer - G4
Issued by: Symantec Time Stamping Services CA - G2
Expires: Wed Dec 30 08:59:59 2020
SHA1 hash: 65439929B67973EB192D6FF243E6767ADF0834E4
Successfully verified: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
Number of files successfully Verified: 1
Number of warnings: 0
Number of errors: 0
Re: (スコア:0)
(#3272514)(#3272529)(#3272585) はお礼を言うべき
Re:Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:2)
それじゃぁ情報足りんのですよねぇ
そんなこと後出しで言われてもなあ。
「タスクマネージャーが実際のプロセス名で表示してくれるだけでいい [srad.jp]」ってコメントへの返信なんだし。
メーカー名の列ががないと「どこ産の何者」か判別できない
出来れば証明書の情報も欲しいやね
そんなことができればいいけど、大抵のOSはそんなことできないのでは?
よく知らんけど、Androidとかだと、走ってるサービスは署名付きのJavaアプリケーションで、証明書情報とかまで取れるって話なのかね?
Windowsでもマネージドなアプリケーションなら、同じことが出来るんかな?
列追加できるのは「詳細」タブで「サービス」タブでは無理なんよ
何か違うものを見てないか?
手元のWindows 10では、タスクマネージャーの「プロセス」タブに、svchost.exeのプロセスが「サービスホスト:~」と表示されていて、左端の「>」をクリックすると、サービスの名前が表示されるよ。
Re: (スコア:0)
UNIX系なら、プロセスマップを見れば絶対パス(と共有ライブラリ)が分かる。
絶対パスが分かれば、属しているパッケージが分かるので、それに結びつけられた証明書も見ることは可能。
# 面倒くさいけど
Re:Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:1)
UNIX系なら、プロセスマップを見れば絶対パス(と共有ライブラリ)が分かる。
絶対パスが分かれば、属しているパッケージが分かるので、それに結びつけられた証明書も見ることは可能。
証明書でなくて署名?
そんなんでいいなら、Windowsでも可能 [srad.jp]なのでは?
てか、そこまで疑うなら、プロセス開始時点でのそれらパスにあったプログラムがどうであったかまで調べるべきなんじゃないかな。
つまり、現時点では正しく署名されたものが配置されているけど、プロセス開始時点では違うものが配置されていた可能性を疑うってことね。
Re: (スコア:0)
ファイル名なんてそれこそどうにでもなるからな。やっぱ証明書だろってことになる。同じような話はUnix系でも起こり得ると思うけどね。
Re: (スコア:0)
メーカー名や証明書を表示するだけの話になぜ「設計理念から出直す」必要があるの?
Re:Keystoneが起動したプロセスは「svchost.exe」として表示される (スコア:1)
Process Explorer [microsoft.com]
SysInternals社がマイクロソフトに買われる前からずっと愛用してます。
(しかもマイクロソフトに買われてからもまったく内容が変わらず、さらに進化している)
このアプリでsvchost.exeにマウスをホバーさせると引数、なんのサービスが走っているかなどけっこう多くの情報が分かります。