パスワードを忘れた? アカウント作成
13398062 story
情報漏洩

WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 16

ストーリー by headless
簡易 部門より
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事V3の記事The Vergeの記事The Guardianの記事)。

ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。

この件について、ジュリアン・アサンジ氏WikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。

一方、WikiLeaksは同日、米中央情報局(CIA)がWindowsデバイスをターゲットに使用していたという「Angelfire」のドキュメントをVault 7プロジェクトで公開している(Vault 7 — AngelfireSoftpediaの記事)。

Angelfireはブートセクターを改変するSolartime、改変されたブートコードが読み込むカーネルコードWolfcreek、ユーザーモードでマルウェアを実行するKeystone(MagicWand)、隠しファイルシステムBadMFS、Angelfireのインストーラー作成に使用するWindows Transitory Fileシステムという5つのコンポーネントで構成される。Keystoneが起動したプロセスはタスクマネージャーに「svchost.exe」として表示されるなど、存在を発見されにくくするさまざまな仕掛けが用意されている。対応環境はWindows XP/7/Server 2008 R2となっている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Ryo.F (3896) on 2017年09月03日 13時48分 (#3272539) 日記

    ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。

    DNSポイズニングで、今回の現象のように、広く影響を与えるのは難しいんじゃない?

    攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。

    これをDNSポイズニングとは言わないのでは?

    ガーディアンの記事 [theguardian.com]には、The Hak Postの記事 [thehackpost.com]からの情報として「DNS poisoning」って出てくるけど、その記事の中では、

    lthough the following methods may have been used to gain control:-

    • OurMine may have gained access to the WikiLeaks domain registry Dynadot.com
    • OurMine may have social engineered WikiLeaks domain registry, by fooling one of their staffs to change its nameservers.
    • OurMine may have hacked one of the registries staff accounts.
    • OurMine may have hacked WikiLeaks domain owner itself.

    とあって、どれも前者(DNSポイズニング)ではなく、後者のことを言ってるよね。

  • だからsvchost.exeやsystemdはクソだっていうんだよ
    複雑さのたらい回しだ

    プロセス名が「svchost.exe」として表示されるだけのことが
    どうしてこんな致命的な問題になったと思っているんだ?

    svchost.exeやsystemdよ、おまえらは余計なことはしなくていい
    あるプログラムをspawnする、たったそれだけのことをしてくれるだけでいい、むしろするな
    そしてそれが終了したら即座に、かつ跡形もなく消えておくれ

    • イベントのハンドリングの問題があるだろうから、それだけっての無理なんじゃ?

      どっちかというと子プロセスがちゃんと表示されるようにしようよ、でいいんじゃないかな。

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • コソコソ、launchdは許された?

      親コメント
    • by Anonymous Coward

      svchost.exeはサービス(DLL)を呼ぶだけでしょ
      複雑なことをするのはサービスの方だ

    • by Anonymous Coward

      タスクマネージャーが実際のプロセス名で表示してくれるだけでいいような。
      確かにsvchost.exeが並ぶとなんのこっちゃ分からん。

      • タスクマネージャーが実際のプロセス名で表示してくれるだけでいいような。

        手元のWindows 10では表示されてるよ。

        コマンドだと、

        tasklist /fi “imagename eq svchost.exe” /svc

        なんだけど、すぐ忘れちゃうんだよな。

        親コメント
        • by Anonymous Coward

          それじゃぁ情報足りんのですよねぇ
          メーカー名の列ががないと「どこ産の何者」か判別できない
          出来れば証明書の情報も欲しいやね

          Windows 10のタスクマネージャーでも
          列追加できるのは「詳細」タブで「サービス」タブでは無理なんよ

          要は性善説に基づいた情報を表示するってコンセプトの代物なので
          悪意あるサービスやプロセスを探すために使うというコンセプトは考慮されていない
          設計理念から出直さないとやっつけ拡張で妙なことになりかねないレベル

          • by Anonymous Coward on 2017年09月03日 21時21分 (#3272750)

            PowerShellからサービスの実体の実行ファイルが取得できるから、そこから調べられるかな。

            サービス実体
            >gwmi win32_service | select name, pathname
            name pathname
            ---- --------
            AdobeARMservice "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe"
            AdobeFlashPlayerUpdateSvc C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
            AeLookupSvc C:\Windows\system32\svchost.exe -k netsvcs
            :

            メーカー名
            >$shell = new-object -com Shell.Application
            >$f = $shell.NameSpace("C:\Program Files (x86)\Common Files\Adobe\ARM\1.0")
            >$f.GetDetailsOf($f.ParseName("armsvc.exe"), 33)
            Adobe Systems Incorporated

            証明書の検証
            > signtool verify /pa /v "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe"

            Verifying: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
            Signature Index: 0 (Primary Signature)
            Hash of file (sha1): B80081D7DD021613B99218675A38E31D252CFBA3

            Signing Certificate Chain:
                    Issued to: DigiCert High Assurance EV Root CA
                    Issued by: DigiCert High Assurance EV Root CA
                    Expires: Mon Nov 10 09:00:00 2031
                    SHA1 hash: 5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25

                            Issued to: DigiCert EV Code Signing CA (SHA2)
                            Issued by: DigiCert High Assurance EV Root CA
                            Expires: Sun Apr 18 21:00:00 2027
                            SHA1 hash: 60EE3FC53D4BDFD1697AE5BEAE1CAB1C0F3AD4E3

                                    Issued to: Adobe Systems, Incorporated
                                    Issued by: DigiCert EV Code Signing CA (SHA2)
                                    Expires: Fri Mar 15 21:00:00 2019
                                    SHA1 hash: EAA843CA2833A2E1EBEDEBE7D04F0CA2B4D97344

            The signature is timestamped: Thu Jul 20 15:49:22 2017
            Timestamp Verified by:
                    Issued to: Thawte Timestamping CA
                    Issued by: Thawte Timestamping CA
                    Expires: Fri Jan 01 08:59:59 2021
                    SHA1 hash: BE36A4562FB2EE05DBB3D32323ADF445084ED656

                            Issued to: Symantec Time Stamping Services CA - G2
                            Issued by: Thawte Timestamping CA
                            Expires: Thu Dec 31 08:59:59 2020
                            SHA1 hash: 6C07453FFDDA08B83707C09B82FB3D15F35336B1

                                    Issued to: Symantec Time Stamping Services Signer - G4
                                    Issued by: Symantec Time Stamping Services CA - G2
                                    Expires: Wed Dec 30 08:59:59 2020
                                    SHA1 hash: 65439929B67973EB192D6FF243E6767ADF0834E4

            Successfully verified: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

            Number of files successfully Verified: 1
            Number of warnings: 0
            Number of errors: 0

            親コメント
            • by Anonymous Coward

              (#3272514)(#3272529)(#3272585) はお礼を言うべき

          • それじゃぁ情報足りんのですよねぇ

            そんなこと後出しで言われてもなあ。
            タスクマネージャーが実際のプロセス名で表示してくれるだけでいい [srad.jp]」ってコメントへの返信なんだし。

            メーカー名の列ががないと「どこ産の何者」か判別できない
            出来れば証明書の情報も欲しいやね

            そんなことができればいいけど、大抵のOSはそんなことできないのでは?

            よく知らんけど、Androidとかだと、走ってるサービスは署名付きのJavaアプリケーションで、証明書情報とかまで取れるって話なのかね?
            Windowsでもマネージドなアプリケーションなら、同じことが出来るんかな?

            列追加できるのは「詳細」タブで「サービス」タブでは無理なんよ

            何か違うものを見てないか?
            手元のWindows 10では、タスクマネージャーの「プロセス」タブに、svchost.exeのプロセスが「サービスホスト:~」と表示されていて、左端の「>」をクリックすると、サービスの名前が表示されるよ。

            親コメント
            • by Anonymous Coward

              そんなことができればいいけど、大抵のOSはそんなことできないのでは?

              UNIX系なら、プロセスマップを見れば絶対パス(と共有ライブラリ)が分かる。
              絶対パスが分かれば、属しているパッケージが分かるので、それに結びつけられた証明書も見ることは可能。
              # 面倒くさいけど

              • UNIX系なら、プロセスマップを見れば絶対パス(と共有ライブラリ)が分かる。
                絶対パスが分かれば、属しているパッケージが分かるので、それに結びつけられた証明書も見ることは可能。

                証明書でなくて署名?
                そんなんでいいなら、Windowsでも可能 [srad.jp]なのでは?

                てか、そこまで疑うなら、プロセス開始時点でのそれらパスにあったプログラムがどうであったかまで調べるべきなんじゃないかな。
                つまり、現時点では正しく署名されたものが配置されているけど、プロセス開始時点では違うものが配置されていた可能性を疑うってことね。

                親コメント
          • by Anonymous Coward

            ファイル名なんてそれこそどうにでもなるからな。やっぱ証明書だろってことになる。同じような話はUnix系でも起こり得ると思うけどね。

          • by Anonymous Coward

            メーカー名や証明書を表示するだけの話になぜ「設計理念から出直す」必要があるの?

      • Process Explorer [microsoft.com]

        SysInternals社がマイクロソフトに買われる前からずっと愛用してます。
        (しかもマイクロソフトに買われてからもまったく内容が変わらず、さらに進化している)
        このアプリでsvchost.exeにマウスをホバーさせると引数、なんのサービスが走っているかなどけっこう多くの情報が分かります。

        親コメント
typodupeerror

人生unstable -- あるハッカー

読み込み中...