www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(33)「Struts2 S2-045を狙った攻撃」

どうも。ハニーポッターの森久です。

2017年3月6日にApache Struts2 における脆弱性(S2-045/CVE-2017-5638)が公開されました。またこの脆弱性を攻撃する PoC(Proof of concept)も公開されており、攻撃が流行っています。
日本国内の Web サイトでも被害が発生しており、ニュースで一部報道されています。

都税のサイトに不正アクセス 67万件余の個人情報流出か(NHK ニュース Web)
http://www3.nhk.or.jp/news/html/20170310/k10010906691000.html

Webアプリケーション製作者、サーバ管理者、セキュリティエンジニア、脆弱性対策やインシデントレスポンスなどに関わっている皆様、Struts は毎度のことながら対応お疲れ様です。本当にお疲れ様です。

 

今回は、ハニーポットにて、S2-045 の脆弱性を狙った攻撃を検知したのでご紹介します。

Read the rest of this entry »

Written by morihisa

3月 13th, 2017 at 5:42 am

「ハニーポット観察記録」書籍化のお知らせ

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

ハニーポット観察記録 表紙

書籍情報

■書名
サイバー攻撃の足跡を分析する ハニーポット観察記録

■著者
森久 和昭

■発行元
株式会社秀和システム

■発売日
2017年1月27日より順次発売開始(地域・書店様によって異なります)

■本体価格(税別)
2,200円

■ISBN
978-4-7980-4908-3

■判型
A5判

■刷色
1色刷


Read the rest of this entry »

Written by morihisa

1月 23rd, 2017 at 7:10 am

ハニーポット観察記録(32)「Wireless Routerの管理画面におけるOSコマンドインジェクション」

どうも。ハニーポッターの森久です。

ここ数日で、ZyXEL 社の Eir D1000 Wireless Router の管理画面における、OS コマンドインジェクションを狙った攻撃の検知が急増しました。

Read the rest of this entry »

Written by morihisa

11月 28th, 2016 at 1:22 am

VirusTotal API の使い方

どうも。森久です。

マルウェアの情報を調査するときによく利用されるサービスといえば、VirusTotal が挙げられます。

VirusTotal は、アップロードされたファイルを複数のアンチウイルスソフトでスキャンした結果を閲覧することができるサービスを提供しています。またその他に、各種のハッシュ値やファイルを実行した時にアクセスされるファイル、通信先などがまとめられています。またファイルだけでなく、URL をアンチウイルスソフトでスキャンして、その結果を表示させることもできます。

VirusTotal を通じて、手元にマルウェアのファイルそのものを持っていなくても、ある程度の情報を得ることができます。

そしてなんと!この情報は API を通じて、プログラムで取得することが可能です。API を利用すると、スキャンした結果の取得だけではなく、ファイルをスキャンしたり、コメントをつけたりなど、様々なアクションをすることをすることができます。

詳細は VirusTotal API のドキュメントを参照していただきたいのですが、現在は英語のドキュメントのみ公開されています。また得られる情報について日本語で取り上げた記事なども見当たりませんでした。

そこで今回は、既にスキャンされているファイルから取得できる情報について紹介します。

Read the rest of this entry »

Written by morihisa

7月 17th, 2016 at 10:10 pm

Posted in Malware,Security

Windows コマンドを監視しよう

どうも。ハニーポッターです。

サイバーセキュリティ月間なので、何か書くことにしました。(攻殻機動隊とのコラボポスターを駅で見かけてちょっとびっくりした)

今回はセキュリティインシデントに気づくきっかけを増やす方法についてです。

2015年12月に JPCERT/CC が公開した「攻撃者が悪用するWindowsコマンド」の記事はご存知でしょうか。

主旨としては、マルウェア感染した(乗っ取られた)端末上で攻撃者がよく使う Windows コマンドの紹介と、それらのコマンドの実行を制限することによって攻撃影響の低減が見込めるというものです。

使うものは AppLocker やソフトウェア制限ポリシです。最近の Windows OS ならば標準で備わっている機能ですね。

ただ本記事で Windows コマンドの説明や、アプリケーションの使い方の説明はしません。TechNet ライブラリ を参照してください。

それじゃ何を書くのかというと「Windowsコマンドを利用するマルウェアや攻撃事例」についてです。アンチマルウェアソフトベンダをはじめ、多くのセキュリティに関わる企業がマルウェアの解析レポートを公開しています。それらの公開レポートから、Windows コマンドが使われている事例をいくつか取り上げます。

 

Read the rest of this entry »

Written by morihisa

2月 13th, 2016 at 10:12 pm

Posted in Security

ハニーポット観察記録(31)「OS コマンドインジェクションの試み」

どうも。ハニーポッターの森久です。
オリジナルハニーポットで、非常にオーソドックスな OS コマンドインジェクションによるコマンド実行の攻撃を検知しました。

Read the rest of this entry »

Written by morihisa

10月 20th, 2015 at 5:29 am

ハニーポット観察記録(30) 「BIND の TEKY DoS」

BIND お見舞い申し上げます。ハニーポッターの森久です。

毎年7月には DNS サーバの BIND の脆弱性がよく公開される時期です。今年もまたある脆弱性が公開されました。しかも容易に攻撃可能で危険性の高い脆弱性が!
ハニーポットでこの脆弱性を狙った攻撃を検知したので紹介します。

Read the rest of this entry »

Written by morihisa

8月 27th, 2015 at 8:30 pm

ハニーポット観察記録(29) 「HTTP.sys の脆弱性を狙った攻撃」

どうも.ハニーポッターの森久です.

オリジナルハニーポットで Windows Server の”あの”脆弱性を狙った攻撃を検知しました.

Read the rest of this entry »

Written by morihisa

8月 9th, 2015 at 11:04 pm

ハニーポット観察記録(28) 「nosqlpot(NoPo)の紹介」

どうも.ハニーポッターの森久です.

今回はちょっと珍しい NoSQL データベースのハニーポットを構築できる nosqlpot(NoPo)を紹介します.

NoSQL が何かわからない人は,とりあえず Wikipedia をご参照ください.

NoPo は NoSQL データベースのハニーポットを構築するフレームワークです.コンフィグを用意することによって,NoSQL データベースに対する攻撃をログとして保存します.

Read the rest of this entry »

Written by morihisa

6月 15th, 2015 at 10:52 pm

ハニーポット観察記録(27) 「wp-config.php の一時ファイルを狙った攻撃」

どうも.ハニーポッターの森久です.

WordPress の脆弱性を狙った攻撃は相変わらず多いです.

例えば,timthumb.php の脆弱性を狙った攻撃(ハニーポット観察記録(16))や Slider Revolution を狙った攻撃(ハニーポット観察記録(20))は去年から継続して,さらに勢いを増して検知しています.

今回はオリジナルハニーポットで検知した,このような特定の脆弱性を狙った攻撃ではなく,Web サイト管理者の人為的な,またはうっかりやらかしてしまいそうなミスを狙った攻撃について取り上げます.

Read the rest of this entry »

Written by morihisa

6月 9th, 2015 at 10:25 pm