wireshark でUSB監視

wireshark で　USBメモりのデータの流れをチェックできます

ただし、条件つきですが

Linuxカーネルで
usbmon
が有効になっていることが条件です

backtrack5 SR1
ubuntu
のカーネルでは有効なので、問題ありません

やりかたは単純です

まず、USBメモりを Linux パソコンに指します
今回は、
ubuntu 11.10 64bit で行っています

そして、lsusb で確認します




下の赤枠でかこってあるほうが
USBメモりを指した後です
デバイスが追加されています

次に wireshark を起動します
管理者権限がほしいので
sudo wireshark
で実行し、パスワードを入力します

警告などがでますが、きにせず起動します

起動後、USBをキャプチャすればOKです

パケットからUDIDを調べるには

パケットの中からUDIDが流れているかを調べるには

wireshark を起動して
リアルタイムパケットを取得し

Edit > Find Packet を選び

検索ダイアログが立ち上がるので、
string のところへラジオボタンをチェックして
Filter のところへ
UDID の一部、もしくは全部を入力

もし該当があれば緑色になり、該当しないなら
Filter の枠が赤くなります




乗り換えアプリだと、
このUDIDがGETリクエストのパラメータに含まれることもあります

最近のマルウェア

現在のマルウェアの多くはプログラムの実行を除いて
web ページ閲覧時とか
USBメモりなどの外部記録媒体を接続した時に感染するものがほとんど

このとき、感染するプログラムは
ダウンローダーとよばれる小さいプログラム

このダウンローダーは
ウイルス本体やアップデートをネットワーク越しに取り込んで実行する
というもの

最近の例をだすと
スマホのアプリの自動アップデートにちかい動き

このような2段階攻撃になったのは

機能部分まで含んだプログラムだと
サイズが大きくて、アンチウイルスとかで見つかりやすい
そして
最新のマルウェアを仕込みやすいということ

そして、スマホに多かったマルウェアのように
最近のものは
自動更新機能とか
外部への連絡通信機能も持っている

よくある、アップデート攻撃もこれとにたような動作かもしれない

このような動きをしている場合
wireshark などで通信を取得すれば
怪しい動きなどの詳細データを得ることができるようだ

slammer Pcap をwireshark で読み込む

slammer のキャプチャファイルを読み込むには

sudo wireshark
でwireshark を起動して
ファイルを開きます

開く前の注意点として
アンチウイルスソフトを停止しておく必要があります

理由は、Pcap ファイルは
バイナリで攻撃コードを含むため
ウィルスとしてして隔離されてしまいます


wireshark は管理者権限で動かしますので
fire > open
でダイアログがでるので

ファイルシステム　> home > ユーザ名 > ダウンロード >
slammer.pcap
で開きます

SQL slammer について

この SQL slammer は
2003 年に発生した Server または
MSDEに含まれるバッファオーバーフローの脆弱性をついて
感染するワーム

このワームは
UDP 1434 ポートを利用して感染を広げ
感染したPCも同じパケットをコピーして
ランダムなIPに攻撃を繰り返す
典型的感染パターンをもつ

ワームに感染したときの特徴
PCが大量の
UDPパケットを放出するので、
ネットワーク全体が過負荷になり通信不能になる

ハブのアクセスランプから
多量の通信が発生しているのは確認できるけど
感染PCを再起動すると、元に戻ってしまう

これは、このワームがメモり常駐型のため
再起動すると消滅するため

しかし、脆弱性がそのままだとまたそのうち感染してしまう

こういったタイプの感染の場合
再起動するとウイルスはいないため
ウイルススキャンしてもなにも発見できないということになってしまう

こんなときには wireshark でパケット解析をするとよいらしい