(特定のマシンで)ゼロデイフラッシュバグが悪用されたかどうかを確認する
Flashだけでも、過去数日/数週間でいくつかの重大なゼロデイエクスプロイトが発生しています。 0日間が悪用されている期間は誰にもわかりません。また、現時点で0日間の悪用が予想されるのは理にかなっていますが、わかりません。
0-dayが発見された後にフラッシュプラグインにパッチを当てる/更新するという慣習は、私には不十分のようです。
特定のマシンが悪用された場合、どのように確認できますか?フラッシュの0日では、任意のコードを実行できます。 AFAICT、実行されるコードは何でもかまいません
エクスプロイトが使用され、一部のコードが実行されたことを確認する方法はありますか?
まあ不十分は相対的です。彼らが何をしているのかわからないのですが、もしあなたが研究をしようと思っているなら、あなたは私が推測することができるでしょうか?
Sandboxie のようなものを使用してブラウザをサンドボックス化し、アクセスしようとしていることを通知します。また、マシンに Wireshark をインストールして、そのマシンから出て行くすべてのトラフィックをポイントすることもできますWiresharkがインストールされているマシンに送信して、送受信されているパケットを確認します。
さらに、Flashがローカルシステムにどのような呼び出しを行うかを確認できるコンソール。
個人的には、私はもうFlashを使用せず、HTML5をオプトインしていますが、それでも、現時点で十分にFlashを使用している十分なサイトはありません。
次のドキュメントに示すように、ログ管理をセットアップしてイベントログをsyslogとして送信すると、IoCを監視(またはイベントをハント)できます。
たとえば、Flashがクラッシュした場合、EMETアラート、またはAVが特定の関連する問題を説明している場合、悪用可能性を追跡できる可能性があります。確実に知る唯一の方法は、プロセスを実行時またはメモリ内で(たとえば、Volatility Frameworkを介して)表示できるかどうかですが、イベントログはハンターに前向きなパスを提供します。
この分野でのもう1つのツールは、Immunity SecurityのEl Jefeですが、他のほとんどのツールは、上記のリンクされたSANSペーパーで取り上げられています。
ネットワークからのパケットキャプチャの使用についてコメントした人もいます。これは素晴らしいアプローチだとは思いませんが、ネットワーク情報は、ここで提供した提案の証拠を裏付ける可能性があります。
問題は、脆弱なFlashバージョンがシステムへのパイプになることです。システムがフラッシュを介して侵害されたかどうかを確認する方法はありません。せいぜい、一般的には何らかの感染/破損があることがわかりますが、それがどのようにして起こったのかを知ることはできません。