[CODE BLUE 2019] Shattering the dark:ダークウェブの脆弱性を暴く [レポート] #codeblue_jp

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

Shattering the dark:ダークウェブの脆弱性を暴く Presented by 吉村 孝広 吉村 賢哉

ダークウェブとは高度に匿名化された情報空間である -- そこではサービス提供者も利用者も隠匿されるため、正当な訪問者なのか悪意の攻撃者なのか区別することはできない。そのような中で多くのサービスが攻撃者を見分けるためにCAPTCHA認証を導入しているが、果たしてそれは十分な対策なのだろうか？Web脆弱性スキャナの現状を鑑みた時、CAPTCHA認証は自動的な脆弱性スキャナやファジングツールなどからの防御にそこそこ役立っていると言うこともできよう。しかし我々はそうは考えていない。反証としてShatterという自由な半自動Web脆弱性スキャナを作成した。Shatterは対象の構造・攻撃フロー・データフローをコードで記述することで、深い診断を自動的かつ反復可能な形で行なうことができる。またShatterは脆弱性を自動的に発見するだけでなく、発見した脆弱性を積極的に利用してサービスへ自動的に侵入できる。侵入にあたってはsqlmapのような外部ツールのほか、カスタムスクリプトも使用できる。このような特徴により、Shatterは単なるWeb脆弱性スキャナではなく、深さと苛烈さを併せもったWeb侵入ツールキットとなっている。我々のセッションではCAPTCHA認証を使用している実際のサービスを例に、Shatterを用いてCAPTCHAをリアルタイムで解読しつつ攻撃し、サービスの身元特定につながりかねない脆弱性があることを示したい。

レポート

(立ち見だったため断片的なメモレベルであることをご了承くださいm(_ _)m)

• Shatterはburpなどの手動診断のツールや自動診断ツールに影響を受けているツール
• ダークウェブはご存知だろうか
  • ユーザー特定が難しい
  • そのためCAPTCHAなどが使われる
  • ルートがランダマイズされているのでパケットが通る時間が長い
• joker’s stashというサイトを知っているだろうか
  • フェイクなカード情報をやり取りするサイト
• 調査をしてみる
  • burpならやりづらい
  • spiderだと漏らす
• shutterは半自動にすることによっていいとこ取りするコンセプト
  • リピータブル
  • 深いとこまで突っ込める
• 流れ
  • クロールは手動
  • ターゲットマップを作成
    • YAMLで構成
    • 自由度が高い
  • 以前のリクエストを解析してなにを送ればいいか考える
• 今のところはowasp zapコンパーチブル
• デモ
  • burpでクロールしてのitem.xmlをインポート
• THE NIGHTMAREをご存知だろうか
  • dream marketのアフターワークではないかと考えている(仮説)
• CAPTCHAがある
  • ダークウェブだとreCAPTCHAが使えないので普通のCAPTCHAを使っている
    • Googleがダークウェブからアクセスできないため
  • 文字を判定して突破
• AGPL3で提供

感想

 

普段はあまり診断ツールを使わずBurpを嗜む程度なので、Shatterの秘めたる可能性を感じることができませんでした。ぐやじい

しかしYAMLで構成できたりして簡単にリピータブルに使えるのは応用がききそうで良さそうな気がしますね！

公開されるのが楽しみです！