www.morihi-soc.net

セキュリティの話題を中心に取扱中

技術書典3でセキュリティ関係の技術書を買い漁ってきた

どうも。ハニーポッターの森久です。

今日(2017年10月22日)は、技術書典3のイベントが開催されました。
台風21号の影響もあり、めっちゃ雨降ってましたが、秋葉原 UDX まで行ってきました。

ハニーポットの薄い本が出るとの噂を聞いたので、それをゲットすることが目的でした。ただせっかくの機会なので、他にもセキュリティ関連の薄い本技術書も買ってきました。

この記事は、早い話が戦利品の紹介です。買ったものリスト↓

1.家計にやさしいハニーポット入門
2.現時点でググっても出て来にくいセキュリティ技術
3.帰ってきたcuckoo
4.SECURI FRIENDS
5.urandom Computer Security Magazine vol.4
6.TomoriNao vol.1
7.データを加工する技術

技術書典3で購入した技術書たち

 


家計にやさしいハニーポット入門

頒布サークル:roboco
https://techbookfest.org/event/tbf03/circle/6251631184183296

技術書典3に参加した主目的の技術書!
12時過ぎに会場入りしたところ、大人気だったようで紙の本は完売していました。完売おめでとうございます。
無いものは無いので、電子版が販売されていたのでそちらで購入しました。(電子版はここから買えます)

簡易レビューですが「1.2 観測の目的を明確にする」は、ハニーポッターになるために必ず考えないといけないことなので、これからハニーポッターを目指す人は参考になると思います。具体例もあって大変良い◎
目的があってこそ、構築するハニーポットの規模感や予算が出せます。なぜあなたはハニーポッターになろうとしていますか?

私は Google Cloud Platform を使ったことがなかったのですが、第3章の手順に沿っていけばハニーポットを構築できそうな気がしてきました。

また第4章のログ分析・マルウェアの簡易解析では、それぞれハニーポットのログはこんな風に調査できるんだというイメージをつかめると思います。

ハニーポットの入門としての読み物として良いですね。

 

現時点でググっても出て来にくいセキュリティ技術

頒布サークル:ニッチ・セキュリティ
https://techbookfest.org/event/tbf03/circle/5731644862365696

こちらの技術書は機械学習とサイバーセキュリティをテーマにしたイベント AISECjp など、各種勉強会などでお世話になっている人たちの合同誌です。電子版のみの頒布でした。

内容が濃い。濃すぎる。今日だけで読み切れるものではないので、ゆっくり読み進めますが、目次は次の通りです。

第1章 ARM アーキテクチャにおける Shellcode の開発入門
概要
開発用仮想マシン環境の構築
ARMアセンブラ入門
Shellcode の作成
おわりに

第2章 機械学習による検査値の自動生成
2.1 技術概要
2.2 技術詳細
2.3 検査値の大量生成
2.4 まとめ

第3章 セキュアでお気楽認証 FIDO UAF 入門
3.1 FIDO Alliance
3.2 UAF の概要
3.3 FIDO UAF プロトコル
3.4 FIDO の今後 – Rising of FIDO 2.0

この内容で500円は安い。
特に ARM の Shellcode については、IoT 機器を狙ったサイバー攻撃が増加している中で、抑えておきたい技術の1つなので大変助かります。

第2章は、Web アプリケーションのセキュリティ診断を実施するときのパラメータを自動的に生成することを目的として、実際に自動生成する技術紹介をしています。プログラムコードの解説や、機械学習の説明などが丁寧に書かれています。

FIDO(Fast IDentity Online)は、私が不勉強のため初めて聞く単語で、これから読んで理解します!  とりあえず認証技術であることだけ覚えた。

 

帰ってきたcuckoo

頒布サークル: きじゃくせい
https://techbookfest.org/event/tbf03/circle/5692031573688320

マルウェアの動的解析(解析環境でマルウェアを実行して挙動を観察する方法)でオープンソースソフトウェアといえば、cuckoo ですよね。
私も昔(1系のバージョン)を使ってました。その cuckoo が正式に 2.0 として公開されたようです。この技術書は、cuckoo のインストール手順や tips をまとめてあります。

2系の Web UI カッコイイね。1系のときより進化してて、使いやすそう。

tips も豊富で、ゲスト OS の Windows の設定は非常に参考になる。UAF とか Firewall, Update を切るとかその他諸々。

マルウェア検体の入手先で malwr が紹介されているのもイイね◎ 私も最初に構築したときは、マルウェアってどっから入手すればええんや・・・って困った経験あるので。

※本筋と関係ないけど、表紙の鳥は カッコーじゃなくない?鳥のフレンズだとおもうけど、なんだろうw ハシビロコウ?

 

SECURI FRIENDS

頒布サークル: きじゃくせい
https://techbookfest.org/event/tbf03/circle/5692031573688320

こちらの技術書は、「帰ってきた cuckoo」と同じサークルで頒布されていました。
総勢12人で各自好きなテーマで書かれた合同誌です。いくつか気になった記事をピックアップします。

「中国の Internet について少し調べた」中国で Web Service を稼働させる場合は、事前に公的機関に届け出して、許可をもらって ICP License を発行してもらわないといけないらしい。

「osquery って、知ってるかい」私は、osquery 知りませんでした。高対話型ハニーポットで使えそうな技術。

「心霊写真とセキュリティ」端々の表現が面白い。”一般人の怨念に出番はなく、セキュリティエンジニアを含む技術者の怨念が跋扈する時代になっている。(引用)”らしい。読み物として◎

※本筋と関係ないけど、表紙の動物は小顔で耳が丸い、スラッとしてジャンプ力ぅのありそうな前足、斑点模様・・・あなたはサーバルキャットだね! (けもフレと多摩動物公園で見た)

 

以降の3冊は、まだ流し読み程度なのでザックリと紹介します。

urandom Computer Security Magazine vol.4

頒布サークル:urandom
https://techbookfest.org/event/tbf03/circle/5728605367697408

1冊の技術書の中に、「mitmproxy 入門」と「公平なランサムウェアプロトコル」の解説が書かれている。

前編のところで、MITM(Man In The Middle Attack)をすることができる mitmproxy というオープンソースソフトウェアがあるんですね。MITM に失敗する場合のトラブルシューティングが載っていて良い◎

後編は、ランサムウェア作成者と被害者が、どちらも不正をせずに(復号しない/支払いをしない)ことを防ぐためのプロトコルについて、Bitcoin の性質と暗号技術を使って紹介しています。私は、Bitcoin というかブロックチェーンの技術について理解が浅いので、この部分は読むのに時間かかりそうだけど、優しく書かれているっぽいので頑張ります。

 

TomoriNao vol.1

頒布サークル:TomoriNao
https://techbookfest.org/event/tbf03/circle/6027786883956736

セキュリティコンテストで得た経験を活かして、さまざまなセキュリティ技術を 話題にした技術書です。こちらも総勢8人(?含む)による執筆者で構成される合同誌です。

目次は次の通り

第1章 Metasploit から学ぶ複アーキ linux シェルコード入門
第2章 自作 x86 エミュレータで学ぶアドレス変換
第3章 IOC とハッシュを用いたマルウェアのラベリング
第4章 yara x pcap x tshark 〜バイナリ解析のノリでパケット解析したい(>ω<)〜
第5章 Overviewing Technical Support Scam
第6章 EV SSL サーバー証明書の取り方
第7章 Vim -魔法のカーソルを持つエディタ-
参考文献
あとがき

目に留まった所。

第4章のおまけ:DNS トンネリングは、PlugX から Helminth, 最近話題になった DNSMessenger などなどで使われる手法ですね。悪性のサブドメインを見抜く手法の提案・評価・考察は必見。
(49ページの下から3行目。US20160294773 A1の特許の出願人は Infobox じゃなくて、Infoblox だと思います。DNS Firewall を作ってる会社)

第5章:いわゆるサポート詐欺の紹介。サポート詐欺とは、ブラウザに「あなたの PC はマルウェアに感染しました」とか「アップデートが必要です」などと偽の表示を出して、治すために電話サポートしてあげますよ→遠隔操作からのマルウェア感染や金銭の振込要求などに至るものです。いわゆるアダルトサイトの架空請求が、アダルトサイト以外でも出て来るようなものをイメージしてもらえれば分かり易いかも。

今年の春頃からちょくちょく話題になっていますが、よくまとめてある記事でした。

 

データを加工する技術

頒布サークル:りまりま団
https://techbookfest.org/event/tbf03/circle/5727644637200384

ログ収集やパースをするソフトウェアとして、最近有名な fluentd と Logstash について比較・紹介する技術書です。

「え、セキュリティ関係ないじゃん?」と思うでしょう。はい。本の中身はセキュリティと直接関係無いです。

ただ私が今度主催する第2回 ハニーポッター技術交流会で紹介する予定の、自作ハニーポットで使えないかなと思って購入したんです。はい。

 

おわりに

気づいたらずいぶん長文の記事になってしまった。
もし面白そうな技術書があれば、是非電子版を購入したり、他のイベントで見ていただければと思います。
技術書典の運営のみなさま、サークル参加したみなさま、お疲れ様でした。
(1つだけイベントにコメントすると、技術書は幅広いものであると理解はしていますが、サークルの分類でソフトウェア全般で括るのではなくて、もう少し分けて欲しかった。ある程度セキュリティの本を売るサークルは固まっていたけど、見落としがあるかも)

自分もハニーポットの薄い本をいつかは・・・。


告知

第2回 ハニーポッター技術交流会の勉強会にて、ハニーポットに関する発表をしていただける人を募集しています。
あなたのハニーポットの面白いネタ話してみませんか?
Twitter(@morihi_soc)でもメールでもなんでも連絡待ってます!

Written by morihisa

10月 22nd, 2017 at 9:01 pm

Posted in Security,その他

ハニーポット観察記録(34)「sql ファイルへのアクセスの試み」

どうも。ハニーポッターの森久です。

インターネットの隅っこで情報発信をしているこのブログにまで目を通していただいているみなさまにおかれましては、かなり情報収集に力を入れているものとお見受けします。いつもありがとうございます。

さてみなさんは、情報収集で得た情報は活用されていますか?

攻撃手法の詳細や脅威の痕跡・兆候を示す IoC(Indicators of Compromise)などの情報が公開されている場合は、その攻撃を受けていないか調査をした方がいい場合があります。
たとえば 0day の攻撃や攻撃ツールが公開されたという情報の場合です。

先日、JPCERT/CC より国内の多数の Web サイトで、データベースのダンプファイルが公開状態にあるという問題を取り上げた記事が公開されました(*1)。
データベースのダンプファイルとは、いわゆるデータベースの構造やデータが記録されたファイルで、主にバックアップ用に保存されるファイルです。
次の画像はダンプファイルのサンプルです。テーブルの構造が読み取れることがわかりますね。

図. データベースのダンプファイルのサンプル

JPCERT/CC の記事から辿っていくと、世界中の Web サイトの問題として取り上げられていたので(*2)、どうやら影響範囲は広く、記事を読んだ攻撃者がアクセスをしてきそうな気配がします。
そこでハニーポッターらしく、ダンプファイルへのアクセス有無について調査してみました。

 

Read the rest of this entry »

Written by morihisa

8月 12th, 2017 at 8:39 am

ログ分析の注意点と文字列操作スクリプト公開

どうも。ハニーポッターの森久です。
最近、ハニーポットを植える人が増えたり、ハニーポットに関する勉強会が開かれたり、ハニーポット業界(?)が盛り上がってきていて何よりです。
ハニーポットの運用を始めると、ログ分析をする機会も増えてくると思います。

今回はログ分析をするときに気をつけなければいけないことと、ハニーポッター向け「ブラウザで完結! 文字列操作スクリプト」のツール紹介をします。

 

Read the rest of this entry »

Written by morihisa

8月 7th, 2017 at 8:00 pm

Posted in Honeypot,Security

WriteUp:FireEye CTF

どうも。ハニーポッターの森久です。

先日、「Security Tech Lounge vol. 1 by ファイア・アイ」に参加してきました。

このイベントは、マルウェア対策機器メーカのファイア・アイ社が主催しており、現場でセキュリティに携わっている人たちの親睦と相互交流を目的としたものです。
現場(最前線で活躍する)のセキュリティエンジニアが参加者層として設定されていて、他のイベントとは一味違う内容です。

「セキュリティレポートたなおろし」と題して、セキュリティベンダ各社が2016年に発表したレポートを並列に比較する発表や、「オープンソース インテリジェンスの歩き方」として、不審な URL やドメイン情報を入手した際に活用できる Web サービスの紹介と使い方、セキュリティをネタに、パネラーと参加者を交えたパネルディスカッション(サイコロトーク)など企画が盛り沢山でした。

また当初の目的にもあったように、参加者同士の交流を深めるために、座ったテーブルを1チームとした、チーム対抗 CTF(FireEye CTF)が開催されました。

本ブログの読者で CTF を知らない人は少ないと思いますが、簡単に説明しますと、CTF は出題者からの問題を参加者が分析して、問題のどこかに含まれている正解の文字列(FLAG と呼ぶ)を導き出すという知的ゲームです。

FireEye CTF(FE CTF)では、1チーム3-4人で構成され、着座するテーブルは会場到着時にランダムで決められるため、誰がチームメイトになるのかまったくの予想がつかない状態です。

イベントでは時間の都合上、問題解説はありませんでした。
大変おもしろい問題だったので、今回はいつものハニーポット観察から離れて、FE CTF の Write Up を公開します。

※  イベント主催の ファイア・アイ社様に Write Up の記事公開許可をいただいています。

長文記事なので、コーヒーでも飲みながら息抜きにゆっくり見てください〜。画像を多用しています。スマホだと読みにくいかもしれません。

ページ目次リンク
FE CTF の問題について
1問目:C2
2問目:TYPO
まとめと感想

 

Read the rest of this entry »

Written by morihisa

3月 29th, 2017 at 6:00 pm

Posted in CTF,Security

ハニーポット観察記録(33)「Struts2 S2-045を狙った攻撃」

どうも。ハニーポッターの森久です。

2017年3月6日にApache Struts2 における脆弱性(S2-045/CVE-2017-5638)が公開されました。またこの脆弱性を攻撃する PoC(Proof of concept)も公開されており、攻撃が流行っています。
日本国内の Web サイトでも被害が発生しており、ニュースで一部報道されています。

都税のサイトに不正アクセス 67万件余の個人情報流出か(NHK ニュース Web)
http://www3.nhk.or.jp/news/html/20170310/k10010906691000.html

Webアプリケーション製作者、サーバ管理者、セキュリティエンジニア、脆弱性対策やインシデントレスポンスなどに関わっている皆様、Struts は毎度のことながら対応お疲れ様です。本当にお疲れ様です。

 

今回は、ハニーポットにて、S2-045 の脆弱性を狙った攻撃を検知したのでご紹介します。

Read the rest of this entry »

Written by morihisa

3月 13th, 2017 at 5:42 am

「ハニーポット観察記録」書籍化のお知らせ

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

ハニーポット観察記録 表紙

書籍情報

■書名
サイバー攻撃の足跡を分析する ハニーポット観察記録

■著者
森久 和昭

■発行元
株式会社秀和システム

■発売日
2017年1月27日より順次発売開始(地域・書店様によって異なります)

■本体価格(税別)
2,200円

■ISBN
978-4-7980-4908-3

■判型
A5判

■刷色
1色刷


Read the rest of this entry »

Written by morihisa

1月 23rd, 2017 at 7:10 am

ハニーポット観察記録(32)「Wireless Routerの管理画面におけるOSコマンドインジェクション」

どうも。ハニーポッターの森久です。

ここ数日で、ZyXEL 社の Eir D1000 Wireless Router の管理画面における、OS コマンドインジェクションを狙った攻撃の検知が急増しました。

Read the rest of this entry »

Written by morihisa

11月 28th, 2016 at 1:22 am

VirusTotal API の使い方

どうも。森久です。

マルウェアの情報を調査するときによく利用されるサービスといえば、VirusTotal が挙げられます。

VirusTotal は、アップロードされたファイルを複数のアンチウイルスソフトでスキャンした結果を閲覧することができるサービスを提供しています。またその他に、各種のハッシュ値やファイルを実行した時にアクセスされるファイル、通信先などがまとめられています。またファイルだけでなく、URL をアンチウイルスソフトでスキャンして、その結果を表示させることもできます。

VirusTotal を通じて、手元にマルウェアのファイルそのものを持っていなくても、ある程度の情報を得ることができます。

そしてなんと!この情報は API を通じて、プログラムで取得することが可能です。API を利用すると、スキャンした結果の取得だけではなく、ファイルをスキャンしたり、コメントをつけたりなど、様々なアクションをすることをすることができます。

詳細は VirusTotal API のドキュメントを参照していただきたいのですが、現在は英語のドキュメントのみ公開されています。また得られる情報について日本語で取り上げた記事なども見当たりませんでした。

そこで今回は、既にスキャンされているファイルから取得できる情報について紹介します。

Read the rest of this entry »

Written by morihisa

7月 17th, 2016 at 10:10 pm

Posted in Malware,Security

Windows コマンドを監視しよう

どうも。ハニーポッターです。

サイバーセキュリティ月間なので、何か書くことにしました。(攻殻機動隊とのコラボポスターを駅で見かけてちょっとびっくりした)

今回はセキュリティインシデントに気づくきっかけを増やす方法についてです。

2015年12月に JPCERT/CC が公開した「攻撃者が悪用するWindowsコマンド」の記事はご存知でしょうか。

主旨としては、マルウェア感染した(乗っ取られた)端末上で攻撃者がよく使う Windows コマンドの紹介と、それらのコマンドの実行を制限することによって攻撃影響の低減が見込めるというものです。

使うものは AppLocker やソフトウェア制限ポリシです。最近の Windows OS ならば標準で備わっている機能ですね。

ただ本記事で Windows コマンドの説明や、アプリケーションの使い方の説明はしません。TechNet ライブラリ を参照してください。

それじゃ何を書くのかというと「Windowsコマンドを利用するマルウェアや攻撃事例」についてです。アンチマルウェアソフトベンダをはじめ、多くのセキュリティに関わる企業がマルウェアの解析レポートを公開しています。それらの公開レポートから、Windows コマンドが使われている事例をいくつか取り上げます。

 

Read the rest of this entry »

Written by morihisa

2月 13th, 2016 at 10:12 pm

Posted in Security

ハニーポット観察記録(31)「OS コマンドインジェクションの試み」

どうも。ハニーポッターの森久です。
オリジナルハニーポットで、非常にオーソドックスな OS コマンドインジェクションによるコマンド実行の攻撃を検知しました。

Read the rest of this entry »

Written by morihisa

10月 20th, 2015 at 5:29 am