【コラム】

ITセキュリティのアライ出し

36 続・EMET - メモリアドレスを攻撃者より先に確保せよ

    新井悠  [2010/06/16]
    印刷

    復活第2稿である。筆者の近況であるが、twitterでつぶやいていたりもする。こちらもアライ出しとあわせてどうぞ。

    それでは前回に引き続き実際にEMETの使い方をご紹介したい。以下の表にEMETの使用法一覧を示す。EMETは基本的にEMET_conf.exeを使用することで設定が可能である。EMETを上書きなどの心配がないフォルダにコピーないし移動させてから、EMET_conf.exeを使用する。なお、パラメータの実行ファイル名にはフルパス名は入れてはならない。あくまでも実行ファイル名のみである。ご注意されたい。

    EMETの設定方法一覧

    目的 コマンド
    EMETの保護対象に実行ファイルを追加 EMET_conf --add 実行ファイル名
    EMETの保護対象の実行ファイル一覧を表示 EMET_conf --list 実行ファイル名
    EMETの保護対象から実行ファイルを削除 EMET_conf --delete 実行ファイル名
    EMETの保護対象からすべての実行ファイルを削除(リセット) EMET_conf --delete_all

    実際に設定した例を図に示す。

    EMETの保護対象に実行ファイル(ここではnotepad.exe)を追加したところ

    Microsoftによると、EMETは実際に次のプラットフォームでテストされたという。

    • 32 bit: Windows XP、Server 2003、Vista、Server 2008、Windows 7
    • 64 bit: Vista、Windows 7、Windows 2008 R2

    また、次の実行ファイルに対してもテストされたという。

    • iexplore.exe(Internet Explorer)
    • winword.exe(Microsoft Word)
    • excel.exe(Microsoft Excel)
    • acrord32.exe(Adobe Reader)
    • firefox.exe(FireFox)
    • outlook.exe(Microsoft Outlook)
    • powerpnt.exe(Microsoft PowerPoint)

    一般に我々がよく使用するアプリケーションに対してテストが行われていると考えてよいだろう。

    さて、実際にEMETを適用するとどのような変化が現れるのだろうか? 外見上は、何ら変わりはない。そこで、EMETを適用した実行ファイルを起動し、Immunity Debuggerを使用してそのプロセスにアタッチしてみることで、内部的な変化を確認してみよう。ちなみにImmunity Debuggerは米国のフロリダ州に所在しているImmunity社によって開発されているフリーのデバッガである。コマンドラインからExploitコードの開発を効率よく進めることのできるコマンドが付随しており、Pythonスクリプト用のAPIを用意することで特定の目的のためのスクリプトを作成することができるといった、情報セキュリティ技術者は必携のソフトウェアのひとつである。

    さて、ではImmunity Debuggerの出力を見てみよう。「m」ボタンを押下すると、アタッチしたプロセスで現在マッピングされているメモリの状況を確認できるサブウィンドウが開く。その際、図のようなアドレスマッピングに気づくことだろう。

    Immunity Debuggerで出力を確認すると、攻撃者に使われやすいメモリ領域がすでに確保されていることがわかる。これはEMETのおかげ

    これは、0x06060606や0x07070707、0x08080808、0x09090909、0x0A0A0A0AといったHeap Sprayingでよく使用されるメモリ領域がすでに確保されていることを示す。実のところ、これらのHeap Spraying対策として確保されるメモリ領域は以下のレジストリに「heap_pages」という値でEMETの初期設定時に自動的に入力され、使用されるようになる。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET

    一般的にHeap Sprayingを使用すると、これらのアドレスにシェルコードが埋め込まれるような大量のデータを埋め込むことが実現できる。そして、これらのメモリアドレスを命令ポインタの移し先とすることで攻撃を成功させることができた。しかし、EMETを使用するとそれらのアドレスはHeap Sprayingが行われるより前に確保されているため「早い者勝ち」のルールが適用されるメモリアドレスの確保において、それらのアドレスにはシェルコードが書き込まれなくなる。また、命令ポインタを移したとしてもアクセス例外が発生するだけであり、シェルコードが実行されることはない。よって、Heap Sprayingを使用した脆弱性悪用からはPCを保護することができる---そうしたシナリオをEMETは実現できるのである。

    むろん、先に紹介したEMETの初期設定時のメモリアドレスを避けるようなテクニックが使用された場合を想定すると、完璧とは言い難いだろう。それは、前回紹介したとおりMicrosoftも「一般的な方法ではない」と述べている通りである。それでも、従来のテクニックが使用できなくなることは、攻撃者側の武器であるシェルコードの信頼を低下させるには十分だろう。

    関連したタグ

    【レポート】被害拡大するメキシコ湾の原油流出事故 - 英BPは何を誤ったのか

    ラック、Microsoft/Adobe両製品の脆弱性回避方法を公開

    新着記事

    トマトを食べれば痩せられる!? -京大ら、新発見の成分で肥満改善効果を実証 [21:00 2/10]
    JAXA、液体シリコン中に残存する共有結合を観察 -大口径ウェハの実現に期待 [20:11 2/10]
    NEDOなど、熱膨張が小さな樹脂複合材料ペレットの量産化に成功 [19:22 2/10]
    理研、一般顕微鏡を蛍光顕微鏡に強化できるアダプタを試作して性能を実証 [19:15 2/10]
    天の川のブラックホールが小惑星を飲み込んでいる - NASAが発表 [18:08 2/10]

    特設サイトの情報

      人気記事

      一覧

        もっと見る

        イチオシ記事

        もっと見る

        新着記事

        特別企画

        マイナビニュースマガジン

          ページトップ