X
【セキュリティ】「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法 [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
0001香味焙煎 ★
垢版 |
2021/03/05(金) 19:30:28.76ID:7zCF9fgZ9
「windows.com」から1bitずれた「whndows.com」ドメインを取得して、前者へのトラフィックを取得するといった「bitsquatting(ビットスクワッティング)」と呼ばれる手法について、調査を行なった報告をremy氏が公開している。

アクセスの多いWebサイトのドメインをターゲットとし、本来の文字列から1文字変更したドメインを取得しておくことで、フィッシングなどを狙うbitsquattingと呼ばれる手法がある。ユーザーの文字入力ミスを利用して、わざと誤ったドメイン名を取得しておくtyposquatting(タイポスクワッティング)なども類似する手法として挙げられる。

一方、PCなどのメモリでは、構造上の問題や宇宙線、熱、温度の変動などを要因として、まれにビット反転が発生しデータが変化する「bit flipping」という症状が起きることがある(メモリで複数のビットが反転するソフトエラー参照)。今回remy氏が検証したのは、これを利用することでbitsquattingを狙うものだ。

同氏の投稿では、「windows.com」を対象として検証を行なっている。たとえば、「i」(01101001)を1bitずらした「h」(01101000)に変えた「whndows.com」のドメインを取得するといったかたち。
企業などが持つドメインでは、bitsquattingやtyposquattingに応用しうる類似ドメインもあわせて取得することでフィッシング攻撃を防ぐのだが、「windows.com」の場合は、有効性のある32のドメインのうち、14は誰でも購入可能な状態だったという。

そこで同氏は14のドメインをすべて購入し、これらのドメインにワイルドカードDNSを設定し、アクセスしてくるパケットをキャプチャして調査を実施した。その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。
Windows搭載マシンが時間設定を行なうさいに標準で利用するサーバーのためアクセスが多く、ビット反転の影響を受けたトラフィックをもっとも多く観測したという。

これら14のドメインについては、攻撃に利用できないよう氏が保持するが、身元のわかる責任者に対してはドメイン移管する用意があるとしている。同氏は、アクセスの多いドメインにおけるbitsquattingは実用性が十分にあるとし、OSに統合されたサービスではより多く発生する可能性があると指摘している。
また、今回観測できたアクセスには文字入力ミスによるものも含まれており、その多さにも驚いたという。

Impress
https://pc.watch.impress.co.jp/docs/news/1310364.html
0002ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 19:31:48.11ID:RF4kgQd20
ウフンドウズちょっとワロタ
0005ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 19:33:41.08ID:RS31Y2tZ0
ロッチ
0012ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 19:41:46.64ID:aTskkACe0
>>3
あたりだと思う
全パケットを取得するくらいしないと出来ない作業
0013ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 19:42:14.58ID:p/W9Qmj00
これ自分が買った14個のドメインを高く売りたいだけだろ
0015ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 19:44:02.02ID:rFKNDY9P0
ウィルスサイトgoggleみたいなやつ?
0017ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 19:50:46.80ID:FDz1pglG0
そんな簡単にビット反転したものが実際の挙動として反映されるわけねーだろ
エクセルの計算結果が狂うってことだぞ 社会が崩壊するわ
0020ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 19:59:34.39ID:0NlBCTXK0
なんだよフンドウズってw
0024ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 20:42:01.79ID:9Kv4YDgB0
イマドキURL打つか
0025ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 20:46:03.07ID:xkvW4hK00
vvindows.com
0026ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 20:49:33.23ID:aUyKJbvY0
NTPサーバーへのアクセスだからな
時間取得するのに手打ちする奇特なやつなんてが存在すんのか
0028ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 20:55:09.58ID:lko1S6NR0
>>23
ntpってTLSに乗っかってるんだっけ?
0030ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 21:32:56.08ID:kJ3mNjHw0
gmai.comっていうドメイン名も有るぞ
キーボードの接触不良でlが正しく入力されないと、gmailのアカウントとパスワードを盗まれる
0032ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 21:36:56.95ID:qWf65DLU0
メモリ上で1bitズレるなら、そのズレたデータをTCPスタックに送ってパケット送信するから、チェックでもエラーにはならないだろ
0034ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 21:43:46.25ID:P5VzLQx50
>>1
ウフンドウズ
0035ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 21:47:02.84ID:auvNS9Ft0
>>1
>今回観測できたアクセスには文字入力ミスによるものも含まれており、その多さにも驚いたという。
スマホかな
キーボードじゃhとiを打ち間違える方が難しいし
0036ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 21:54:48.44ID:auvNS9Ft0
ああ、そうか
送信した時点で間違ったアドレスになってるから
SSLだとかどのプロトコルに関わらず、そのレスポンスは受け取っちゃうね
悪用する方法見つけたらかなりやばそう
0041ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 23:02:15.44ID:YmfQRW0F0
ビット反転がそんなに高頻度で起きるメモリなら
そのPCはブルー画面が頻発して使いものにならんだろ。
0043ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 23:11:14.99ID:1QrGWyA/0
>>1
ECCメモリ使ってる俺に死角は無い
0045ニューノーマルの名無しさん
垢版 |
2021/03/05(金) 23:15:17.17ID:YmfQRW0F0
LinuxなどWindows以外のOSから、NTPサーバーにwindows.comを利用しようとして
入力ミスしたんじゃないの?
0047ニューノーマルの名無しさん
垢版 |
2021/03/06(土) 01:12:31.47ID:W3UFUSsK0
タイポスクワッティングとは別なのか
0048ニューノーマルの名無しさん
垢版 |
2021/03/06(土) 01:22:53.30ID:VgYOxr630
>>1
goo.ne.jpで検索しようして、
goo.co.jpが出てきてエロ動画買わされる思い出
0049ニューノーマルの名無しさん
垢版 |
2021/03/06(土) 01:26:00.81ID:Ls5nc1ST0
いい加減ECC必須にしてくれんかな
もしくは帯域半分になってもいいから多重化か
0051ニューノーマルの名無しさん
垢版 |
2021/03/06(土) 01:36:47.23ID:XJ4FaqcY0
ウハンケツイクドウズ
0052ニューノーマルの名無しさん
垢版 |
2021/03/06(土) 01:50:41.38ID:6562htQh0
ランダムに化けが発生するんなら、ユニークなIPアドレス数≒コネクション数になるんでないの?
同一マシンから何度もアクセスがあるってことは、単なる設定時のタイポのような。
0054ニューノーマルの名無しさん
垢版 |
2021/03/06(土) 04:06:06.94ID:yzu6AKfD0
>>49
DDR5はECC必須になるぞ
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況