シェルコード




シェルコード(英: Shellcode)とは、コンピュータセキュリティにおいて、ソフトウェアのセキュリティホールを利用するペイロードとして使われるコード断片である。侵入したマシンを攻撃者が制御できるようにするため、シェルを起動することが多いことから「シェルコード」と呼ぶ。シェルコードは機械語で書かれることが多いが、機械語でなくとも同様のタスクを実行できるコード断片はシェルコードと呼ばれる。シェルコードは単にシェルを起動するだけとは限らないため、シェルコードという名称は不十分だとも言われている[1]。しかし、他の用語は今のところ定着していない。




目次






  • 1 種類


    • 1.1 ローカル型


    • 1.2 リモート型


    • 1.3 ダウンロード実行型




  • 2 実行戦略


  • 3 符号化


    • 3.1 符号化方法


    • 3.2 ヌル文字排除


    • 3.3 英数字または印字可能文字


    • 3.4 Unicode




  • 4 プラットフォーム依存性


  • 5 関連項目


  • 6 脚注


  • 7 外部リンク





種類


シェルコードには、「ローカル型」と「リモート型」があり、攻撃者がシェルコードの動作するマシンの制御を獲得するのか(ローカル型)、それともネットワーク上の別のマシンの制御を獲得するのか(リモート型)で決まってくる。



ローカル型


ローカル型シェルコードは、攻撃者がそのマシンに限定的なアクセス権があるとき、より特権レベルの高いプロセスの脆弱性を利用するものである。成功すると、シェルコードによって攻撃者は攻撃対象プロセスと同等レベルの特権を得る。ローカル型シェルコードは比較的作成しやすい。この形式のシェルコードが行うのは、シェルの実行ファイルを実行することだけである。



リモート型


リモート型シェルコードは、LANやインターネット上の別のマシンで動作する脆弱性のあるプロセスを対象として攻撃するものである。成功すると、攻撃者はネットワーク経由で対象マシンにアクセスできるようになる。リモート型シェルコードは通常、標準のTCP/IPソケットコネクションを使い、攻撃者が対象マシン上のシェルにアクセスできるようにする。このコネクションの構築方法としては、以下のものがある。



connect-back

シェルコード自体がコネクションを確立する。シェルコードが攻撃者の使っているマシンに接続し返してくる (connects back) ため、このように呼ばれる。

bindshell

攻撃者がコネクションを生成する必要がある場合。攻撃者が対象マシンを制御するために接続できる一定のポートにシェルコードがバインド (bind) することから、このように呼ばれる。

socket-reuse

シェルコードが実行される前にコネクションがクローズされないような脆弱性を持つプロセスを利用する場合に使われることがある。シェルコードはそのコネクションを再利用 (re-use) して攻撃者と通信する。この種のシェルコードは作成が難しいため珍しい。なぜなら、シェルコードは再利用できるコネクションを探す必要があり、マシン上には同時に多数のコネクションがオープンされていることがあるからである。


ファイアウォールは、connect-back方式のシェルコードが作った外に向かうコネクションを検出でき、bindshell方式のシェルコードで使う外から入ってくるコネクションを検出できる。従って、ファイアウォール内のマシン自体に脆弱性があっても、シェルコードに攻撃者がアクセスするのを防ぐことである種の保護を提供できる。socket-reuse方式のシェルコードは新たなコネクションを生成しないため、検出やブロックがより難しい。



ダウンロード実行型


リモート型シェルコードは、攻撃者が対象システムの中をいろいろ見るのに便利だが、攻撃者は単にその対象システムに何らかのマルウェアをインストールしたいだけということが多い。その場合ダウンロード実行型シェルコードがよく使われる。この種のシェルコードはシェルを起動せず、そのマシンにネットワーク経由で特定の実行ファイルをダウンロードさせ、それをディスクに格納させ、実行させる。これを現在ではドライブバイダウンロード攻撃と呼ぶ。これは犠牲者が悪意あるWebページを訪れたとき、ある種のシェルコードをダウンロードして実行させ、犠牲者のマシンにマルウェアをインストールさせようとするものである。



実行戦略


シェルコードを対象プロセスに注入する以前か同時に、プログラムカウンタへの制御を得られる脆弱性も利用する。プログラムカウンタはシェルコードを指すよう変更され、その後シェルコードが実行されタスクが行われる。シェルコードの注入は、脆弱なプロセスに対してネットワーク経由でデータ送信の形で行われたり、ローカル型では対象プロセスが読み込むファイルの中に仕込まれたり、コマンド行の内容に仕込まれたり、環境変数に仕込まれたりする。



符号化


多くのプロセスでは注入できるデータには制限(フィルター)があるため、シェルコードはその制限内で書く必要があり、それにはコードを小さくすること、ヌル文字を途中に含めないこと、英数字のみにすることなどが含まれる。このような制限に対処する方法はいくつかある。



  • 設計と実装の最適化により、シェルコードを大きさを減らす。

  • シェルコードで使えるバイトの範囲の制限に対応するため、実装を修正する。

  • 通常なら注入できないバイトのパターンを生成するため、自己書き換えコードを使う。


命令コードをネットワーク経由でそのまま送信するとセキュリティソフトによって検出されるため、自己解凍コードやポリモルフィックコードで符号化されることが多い。



符号化方法


ブラウザを対象として利用する場合、シェルコードはパーセントエンコーディング、"uXXXX"エンコード、HTMLでの文字エンコードを使ってJavaScriptの文字列として符号化される。例えば、IA-32アーキテクチャで2個のNOP命令を符号化することでどう見えるかを示す。まず符号化しない状態では、次のようになる。


90             NOP

90             NOP

これはパーセントエンコーディングで符号化した文字列とした場合、次のようになる(unescape()はデコード関数)。


unescape("%u9090");

"uXXXX"エンコードで文字列とした場合、次のようになる。


"u9090";

そして、HTMLでの文字エンコードで文字列とした場合、


"邐"

あるいは


"邐"

となる。



ヌル文字排除


一般にシェルコードはヌル文字を終端とする文字列として対象プロセスに注入されるため、ヌル文字(一般に0x00)をその途中で使うことはできない。途中にヌル文字があると、そこまでしか文字列としてコピーされない。従ってヌル文字に相当するコードがシェルコードの途中にある場合、シェルコードは最後まで実行されない。


途中にヌルバイトを含むシェルコードからヌルを含まないシェルコードを生成するには、同じ効果を持つ別の命令列に置き換える。例えば、IA-32アーキテクチャで以下の命令があるとする。


B8 01000000    MOV EAX,1          // Set the register EAX to 0x000000001

即値の1が符号拡張されるため、ヌルバイトが命令に含まれている。


33C0           XOR EAX,EAX        // Set the register EAX to 0x000000000

40             INC EAX            // Increase EAX to 0x00000001

この命令列は先の命令と同じ効果があるが、バイト数が少なくなるだけでなく、ヌルバイトも含まない。



英数字または印字可能文字


ある状況では、印字可能な文字(制御文字以外)や英数字だけしか注入できない場合がある。そのような状況ではシェルコードを書くのに使える命令の種類は大きく制限される。そのための技法は Phrack 57号で Rix が発表しており[2]、それによれば任意のコードを英数字のみのコードに変換することができる。よく使われる技法は自己書き換えコードで、デコーダ部分は制限されたコードのみで動作するよう書く必要がある。シェルコード本体も例えば英数字のみのコードに符号化しておき、デコーダがそれを注入後に書き換え、その後実行する。



Unicode


最近のプログラムでは、文字列にUnicodeを使っている。多くの場合、ASCII文字列は処理前にUnicodeに変換される。UTF-16なら各文字に2バイトを使用する(一部は4バイト)。ASCII文字列をUTF-16に変換すると、元の文字列の各バイトの後ろにゼロバイトが挿入される。Phrack 61号で Obscou が示したとおり[3]、この変換後も正しく動作するシェルコードを書くことは可能である。任意のシェルコードをUTF-16化したときに動作するよう自動変換するプログラムが存在している。これも、自己書き換えコードを基本としている。



プラットフォーム依存性


多くのシェルコードは機械語で書かれている。これは抽象度を低くしないと脆弱性をうまく利用できないためである。そのため、シェルコードはCPUとオペレーティングシステムのバージョンやサービスパックといったプラットフォーム毎に作成される。利用する脆弱性によっては、シェルコードの形式が非常に限定されることもある。ただし、1つのシェルコードが複数の脆弱性に対応して機能することはないし、オペレーティングシステムのバージョンやリビジョン、プロセッサの違う環境をまたいで動作することもない[4]。その種の汎用性を達成するには、各種プラットフォーム向けにシェルコードの複数のバージョンを作成し、正しいバージョンに分岐するヘッダ部を作成する。実行されると、そのコードはプラットフォームによって異なる動作をし、そのプラットフォームに適したシェルコードを実行する。



関連項目



  • シェル

  • バッファオーバーラン

  • スタックオーバーフロー

  • コンピュータセキュリティ



脚注


[ヘルプ]




  1. ^ Sockets, Shellcode, Porting, & Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals. by James C. Foster and Stuart McClure (April 12, 2005). ISBN 1-59749-005-9


  2. ^ “Writing ia32 alphanumeric shellcodes”. Phrack (2001年11月8日). 2008年2月29日閲覧。


  3. ^ “Building IA32 'Unicode-Proof' Shellcodes”. Phrack (2003年8月13日). 2008年2月29日閲覧。


  4. ^ “Architecture Spanning Shellcode”. Phrack (2001年8月11日). 2008年2月29日閲覧。




外部リンク



  • An introduction to buffer overflows and shellcode


  • The Basics of Shellcoding (PDF) x86向けシェルコードの概要 by Angelo Rosiello

  • An introduction to shellcode development

  • Metasploit Shellcode

  • shellcode.org


  • Shellcodes Archive OS別

  • Practical Windows and Linux Shellcode design

  • Shellcoding for Linux and Windows Tutorial

  • Designing shellcode demystified


  • Writing Small shellcode by Dafydd Stuttard - 設計と実装の両面で最適化することで可能な限り最小のシェルコードを作る方法を論じたホワイトペーパー



















































脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃



  • クロスサイトリクエストフォージェリ(CSRF)


  • クロスサイトスクリプティング(XSS)

  • クロスサイト・クッキング

  • クロスサイトトレーシング(英語版)

  • クロスゾーンスクリプティング(英語版)

インジェクション攻撃(CWE-74)


  • クロスサイトスクリプティング(XSS)(CWE-79)


  • SQLインジェクション(CWE-89)


  • HTTPヘッダ・インジェクション(CWE-78)


  • HTTPレスポンススプリッティング(英語版)(CWE-78)


  • 書式文字列攻撃(CWE-134)

    		•
    スプーフィング攻撃

  • DNSスプーフィング

  • IPスプーフィング

  • ARPスプーフィング


  • クリックジャッキング(CAPEC-103)

  • リファラスプーフィング(英語版)

  • Eメールスプーフィング(英語版)


  • フィッシング(CAPEC-98)


  • ファーミング(CAPEC-89)

    		•

    セッションハイジャック関連


  • セッションフィクセーション(CWE-384,CAPEC-61)


  • セッションポイズニング(英語版)(CWE-113)

  • TCPシーケンス番号予測攻撃

  • クッキーモンスター攻撃(英語版)

    		•
    DoS攻撃

  • Land攻撃

  • クリアチャネル評価攻撃(英語版)

    		•
    サイドチャネル攻撃

  • コールドブート攻撃(英語版)

  • Meltdown

  • Spectre

  • Lazy FP state restore(英語版)

  • TLBleed(英語版)

    		•
    不適切な入力確認(CWE-20)


  • バッファオーバーラン(CWE-119,120,121等)

  • Return-to-libc攻撃


  • ディレクトリトラバーサル(CWE-22)

    		•
    未分類


  • 中間者攻撃(CAPEC-94)

  • MITB攻撃


  • Off-by-oneエラー(CWE-193)

  • ファイルインクルード脆弱性(英語版)

  • Mass Assignment脆弱性(英語版)

  • ダングリングポインタ(英語版)

  • DNSリバインディング(英語版)

  • in-sessionフィッシング(英語版)

  • クッキースタッフィング(英語版)

  • 悪魔の双子攻撃(英語版)

  • IDNホモグラフ攻撃

  • スナーフィング(英語版)

  • JITスプレーイング(英語版)

  • リプレイ攻撃

  • 誕生日攻撃

  • CRIME

  • KRACK


  • Intel ME(英語版)の脆弱性

    		•
    対策

  • OP25B

  • Content Security Policy(英語版)

  • コンテントスニッフィング(英語版)


  • HTTP Strict Transport Security(HSTS)

  • ファイアウォール


  • 侵入防止システム(IPS)


  • 侵入検知システム(IDS)


  • Web Application Firewall(WAF)

  • Wi-Fi Protected Access

    		•
    関連項目

  • マルウェア

  • セキュリティホール

  • クラッキング

  • 脆弱性情報データベース

  • ブラウザクラッシャー

  • シェルコード

  • Metasploit

  • Sshnuke

  • Nikto Web Scanner(英語版)

  • OWASP(英語版)

  • w3af(英語版)

  • 隠れ通信路(英語版)

    		•



    Popular posts from this blog

    Can a sorcerer learn a 5th-level spell early by creating spell slots using the Font of Magic feature?

    Image
    28 6 $begingroup$ Per the Font of Magic feature, sorcerer can use Flexible Casting to create 5th-level spell slots at level 7, even though they are not typically available until level 9. You can transform unexpended sorcery points into one spell slot as a bonus action on your turn. The Creating Spell Slots table shows the cost of creating a spell slot of [5th level is 7] If such a sorcerer levels up while still having this 5th-level spell slot, can they choose a 5th-level spell as the spell they gain upon levelling up? The Spellcasting feature states: Additionally, when you gain a level in this class, you can choose one of the sorcerer spells you know and replace it with another spell from the sorcerer spell list, which also must be of a level for which you have spell slots.
    Read more

    Does disintegrating a polymorphed enemy still kill it after the 2018 errata?

    Image
    up vote 13 down vote favorite 1 After the 2018 errata, the disintegrate spell description now reads: A creature targeted by this spell must make a Dexterity saving throw. On a failed save, the target takes 10d6 + 40 force damage. The target is disintegrated if this damage leaves it with 0 hit points. If you were to polymorph an enemy into a rat and then disintegrate it, would the enemy be disintegrated or would it just return to its original form? I know that for Druids, it’s not an instant kill anymore, but is this the case for polymorph as well? dnd-5e spells polymorph errata share | improve this question edited 18 hours ago
    Read more

    A Topological Invariant for $pi_3(U(n))$

    Image
    3 3 $begingroup$ Recently, I saw a construction of topological invariant for $pi_3(U(n))$ with $ngeq 2$ : $$ N=frac{1}{24pi^2}int_{S^3} d^3x epsilon^{ijk} Tr[(U^{-1}partial_{x_i}U)(U^{-1}partial_{x_j}U)(U^{-1}partial_{x_k}U)] , $$ where $Uin U(n)$ depends on $boldsymbol{x}=(x_1,x_2,x_3)in S^3$ , $epsilon^{ijk}$ is the Levi-Civita symbol, $i,j,k=1,2,3$ , and the duplicated indexes are summed over. It is claimed that $N$ is an integer, but why? Update 02/02/2019 I think I got an argument for $n=2$ . In this case, $U=e^{i varphi} q$ with $qin SU(2)$ . Due to the trace and the Levi-Civita symbol in $N$ , $varphi$ does not contribute to $N$ . As $Tr[q^{dagger}partial_i q]=0$ and $(q^{dagger}partial_i q)^{dagger}=-q^{dagger}partial_i q$ , $q^{dagger}partial_i q$ in geneeral has the form $q^{dagger}partia
    Read more