ニュース速報+

GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的 [朝一から閉店までφ★]

1 :朝一から閉店までφ ★:2022/09/18(日) 17:23:28.37 ID:fwKQ2KZc9.net
2022/09/14 19:48

著者:後藤大地

eSecurity Planetは9月12日(米国時間)、「New GIFShell Attack Targets Microsoft Teams|eSecurityPlanet」において、GIF画像を悪用してMicrosoft Teamsのターゲットのマシン上で任意のコマンドを実行する、新たな攻撃チェーンが発見されたと伝えた。これは、セキュリティ専門家であるBobby Rauch氏によって発見されたサイバー攻撃で、「GIFShell」と名付けられている。
GIFShellの主なコンポーネントは、隠されたPythonスクリプトを含むGIF画像とされている。細工された画像は、リバースシェルを作成するためにMicrosoft Teamsのユーザーに送信されるという。マイクロソフトの正規のインフラを悪用することでセキュリティ制御が回避され、無害に見せかけた画像に含まれた悪意のあるスクリプトによって重要なデータが窃取されてしまうことが明らかとなった。
実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。しかしながら、ソーシャルエンジニアリングや他のアプリケーションを利用することなく、説得力のある添付ファイルを介してMicrosoft Teamsからインストールされてしまう、と同氏の研究で述べられている。

この脆弱性はすでに2022年6月にMicrosoftに報告されているが、今のところ修正は優先されていない。Rauch氏は、修正されるまで次のような緩和策を推奨している。

・不明な外部送信者からの添付ファイルをクリックしないよう、ユーザー教育を徹底する
・Microsoft Defender for Office 365のSafe Attachmentsポリシーを導入し、ドライブバイダウンロード(Drive-by Download)攻撃を防止する
・SMB (Server Message Block)署名を有効にするか、NTLM (NT LAN Manager)を完全に無効にし、複雑なパスワードポリシーを導入してNTLMリレー攻撃を防止する

Microsoft Teamsでは、ユーザー設定で外部ドメインのアクセス許可を制御できるため、外部組織との不要な通信を防ぐことも可能と説明されている。

https://news.mynavi.jp/techplus/article/20220914-2453757/

166 :ニューノーマルの名無しさん:[ここ壊れてます] .net

>>60
mngはアケゲーのエミュレータMAMEの録画機能で採用されてた
今はAVI形式もできるけど

148 :ニューノーマルの名無しさん:2022/09/19(月) 01:32:32.52 ID:so1AEEwW0.net

HTML中に直接画像データを埋め込むbase64って方法があるらしい。
そこに画像じゃなくコードを埋めておき、あらかじめインストールさせておいた stager がそこを解読し実行する。
コードはHTML内のgif画像として送られるのでセキュリティチェックされないということみたい。

17 :ニューノーマルの名無しさん:2022/09/18(日) 17:30:09.08 ID:BdmW7Ktd0.net

Gifスレきたああああぁああ!!!!!!

じゃあまずは俺からね!
https://hadairopink.com/wp-content/uploads/2014/09/3j0004.gif

165 :ニューノーマルの名無しさん:[ここ壊れてます] .net

外部ドメインからのアクセス解放してるようなザル企業はこんなの気にしないだろ

88 :ニューノーマルの名無しさん:2022/09/18(日) 18:59:37.00 ID:mYcYbEMN0.net

こいつ動くぞ

22 :ニューノーマルの名無しさん:2022/09/18(日) 17:34:36.33 ID:6l3K4hfA0.net

まーたギフハブの陰謀か?

105 :ニューノーマルの名無しさん:2022/09/18(日) 19:49:37.89 ID:8feJVXe20.net

仕事でgif扱う機会はねーな

117 :ニューノーマルの名無しさん:2022/09/18(日) 20:35:28.63 ID:4zwZF33/0.net

>>110
マクドナルドではないっぽい
https://i.imgur.com/7do6lHO.gif

134 :ニューノーマルの名無しさん:2022/09/18(日) 23:18:20.70 ID:t+SL0nCS0.net

海外サイト見ようとしたらアンチウイルスソフトが盛んに反応するのはこれが原因か

118 :ニューノーマルの名無しさん:2022/09/18(日) 20:44:50.53 ID:4rgknnue0.net

Teams不具合多い?
会議が急にzoomに変わったりする

158 :ニューノーマルの名無しさん:2022/09/19(月) 03:23:19.84 ID:Dy0ZwHLj0.net

Teamsは、重すぎ。
zoomの方がマシ

179 :ニューノーマルの名無しさん:2022/09/19(月) 17:33:17.59 ID:bj56AKwm0.net

>>174
pythonはマクロ言語として他のアプリに組み込まれてインストールされてることもある。OpenOfficeとか。

156 :ニューノーマルの名無しさん:2022/09/19(月) 02:57:36.56 ID:yu2h87Tj0.net

>>2
令和になって未だにぬるぽとかやってる原始人居るのねw

82 :ニューノーマルの名無しさん:2022/09/18(日) 18:40:05.19 ID:4lmWhPvE0.net

インデント変わると意味も変わる言語は保守しきれん。

74 :ニューノーマルの名無しさん:2022/09/18(日) 18:21:15.12 ID:Uoatcwzm0.net

拡張子さあJPGは1つにくれないかなJPEGって要らんだろ連番振るとき面倒なんだよ

146 :ニューノーマルの名無しさん:2022/09/19(月) 00:54:14.03 ID:Xcq9ov6k0.net

>>139
GIF自体の中にGIFアニメとか透明GIFみたいな感じで、
画像情報コードにスクリプトがあると実行するんじゃないの?
Stagerがよくわからんから憶測だけど

72 :ニューノーマルの名無しさん:2022/09/18(日) 18:18:32.09 ID:iY7d3abJ0.net

stagerなんてアプリ入れてる奴に当たる確率は奇跡的だろうな
どんな需要があって作ったんだと

163 :ニューノーマルの名無しさん:[ここ壊れてます] .net

>>46
それならLINEが1番気持ち悪い

155 :ニューノーマルの名無しさん:2022/09/19(月) 02:51:11.73 ID:VGqZa1yq0.net

Favicon.icoも胡散臭い

151 :ニューノーマルの名無しさん:2022/09/19(月) 02:15:54.24 ID:bj56AKwm0.net

技術的内容はこのあたりが詳しい感じ
https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7
stager自体もpythonスクリプトみたいだ。

何がヤバいかはこっちが分かりやすい。要は検知システムを入れててもネットワーク管理者にはみつける事が出来ない。
https://news.mynavi.jp/techplus/article/20220914-2453757/

ウチの会社も外部とのやり取りが厳しいので最初のリンクの1にあるTeamsの機能を便利に使わせて貰ってたんだが、セキュリティホール扱いなのか。お小言をもらう前に撤収するわ。まったく迷惑な話だ。

161 :ニューノーマルの名無しさん:2022/09/19(月) 08:12:51.63 ID:OzW2k7J80.net

>>160
厳密性にこだわるアスペにしかみえない

さらにアンケートとらなくてもPythonが世界では勢いあるのは覆らん

83 :ニューノーマルの名無しさん:2022/09/18(日) 18:43:46.61 ID:F7NzJreF0.net

義父にパイソン
アッー!

162 :ニューノーマルの名無しさん:2022/09/19(月) 08:22:02.85 ID:/p5KI/sS0.net

アフィカス殺せるな

100 :ひらめん:2022/09/18(日) 19:29:41.04 ID:NgqK9aLe0.net

jpg gif pngあたりは有名
tiff pcx bmp あまりみないね(´・・ω` つ )

149 :ニューノーマルの名無しさん:2022/09/19(月) 01:47:04.38 ID:mxRb5voR0.net

うへぇマジか芸が無いな
画像はそれらしく見えてそのうえでコードも実行されるみたいなのを期待したのに

168 :ニューノーマルの名無しさん:2022/09/19(月) 09:46:29.35 ID:8IaOyBw/0.net

>>61
その辺はイタチごっこというか

スマホはユーザ保護のため
動画を自動再生させない方針になったり
ならなくなったりを繰り返してて

その都度、広告側では回避策が模索されてる
一時期は、デコーダをJSで実装して
GIFではなくMP4を使っていたこともある

69 :ニューノーマルの名無しさん:2022/09/18(日) 18:16:35.59 ID:KqPUh2Gh0.net

19 :ニューノーマルの名無しさん:2022/09/18(日) 17:30:40.64 ID:hDOnDL4w0.net

>>12
何やこれ・・・

77 :ニューノーマルの名無しさん:2022/09/18(日) 18:25:08.14 ID:9/jB6EC40.net

>>46
フォトショップも気持ち悪い

99 :ニューノーマルの名無しさん:2022/09/18(日) 19:26:55.41 ID:k2OzIVLj0.net

なんでgifに仕込まれたpythonを実行するプラグインとかあるんだよw
画像ファイルの脆弱性いろいろあったじゃねえか( ;´・ω・`)

どうか一日一票をお願いします。 ブログランキング・にほんブログ村へ

コメントを残す