www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘Security’ Category

ハニーポット観察記録(34)「sql ファイルへのアクセスの試み」

without comments

どうも。ハニーポッターの森久です。

インターネットの隅っこで情報発信をしているこのブログにまで目を通していただいているみなさまにおかれましては、かなり情報収集に力を入れているものとお見受けします。いつもありがとうございます。

さてみなさんは、情報収集で得た情報は活用されていますか?

攻撃手法の詳細や脅威の痕跡・兆候を示す IoC(Indicators of Compromise)などの情報が公開されている場合は、その攻撃を受けていないか調査をした方がいい場合があります。
たとえば 0day の攻撃や攻撃ツールが公開されたという情報の場合です。

先日、JPCERT/CC より国内の多数の Web サイトで、データベースのダンプファイルが公開状態にあるという問題を取り上げた記事が公開されました(*1)。
データベースのダンプファイルとは、いわゆるデータベースの構造やデータが記録されたファイルで、主にバックアップ用に保存されるファイルです。
次の画像はダンプファイルのサンプルです。テーブルの構造が読み取れることがわかりますね。

図. データベースのダンプファイルのサンプル

JPCERT/CC の記事から辿っていくと、世界中の Web サイトの問題として取り上げられていたので(*2)、どうやら影響範囲は広く、記事を読んだ攻撃者がアクセスをしてきそうな気配がします。
そこでハニーポッターらしく、ダンプファイルへのアクセス有無について調査してみました。

 

Read the rest of this entry »

Written by morihisa

8月 12th, 2017 at 8:39 am

ログ分析の注意点と文字列操作スクリプト公開

without comments

どうも。ハニーポッターの森久です。
最近、ハニーポットを植える人が増えたり、ハニーポットに関する勉強会が開かれたり、ハニーポット業界(?)が盛り上がってきていて何よりです。
ハニーポットの運用を始めると、ログ分析をする機会も増えてくると思います。

今回はログ分析をするときに気をつけなければいけないことと、ハニーポッター向け「ブラウザで完結! 文字列操作スクリプト」のツール紹介をします。

 

Read the rest of this entry »

Written by morihisa

8月 7th, 2017 at 8:00 pm

Posted in Honeypot,Security

WriteUp:FireEye CTF

without comments

どうも。ハニーポッターの森久です。

先日、「Security Tech Lounge vol. 1 by ファイア・アイ」に参加してきました。

このイベントは、マルウェア対策機器メーカのファイア・アイ社が主催しており、現場でセキュリティに携わっている人たちの親睦と相互交流を目的としたものです。
現場(最前線で活躍する)のセキュリティエンジニアが参加者層として設定されていて、他のイベントとは一味違う内容です。

「セキュリティレポートたなおろし」と題して、セキュリティベンダ各社が2016年に発表したレポートを並列に比較する発表や、「オープンソース インテリジェンスの歩き方」として、不審な URL やドメイン情報を入手した際に活用できる Web サービスの紹介と使い方、セキュリティをネタに、パネラーと参加者を交えたパネルディスカッション(サイコロトーク)など企画が盛り沢山でした。

また当初の目的にもあったように、参加者同士の交流を深めるために、座ったテーブルを1チームとした、チーム対抗 CTF(FireEye CTF)が開催されました。

本ブログの読者で CTF を知らない人は少ないと思いますが、簡単に説明しますと、CTF は出題者からの問題を参加者が分析して、問題のどこかに含まれている正解の文字列(FLAG と呼ぶ)を導き出すという知的ゲームです。

FireEye CTF(FE CTF)では、1チーム3-4人で構成され、着座するテーブルは会場到着時にランダムで決められるため、誰がチームメイトになるのかまったくの予想がつかない状態です。

イベントでは時間の都合上、問題解説はありませんでした。
大変おもしろい問題だったので、今回はいつものハニーポット観察から離れて、FE CTF の Write Up を公開します。

※  イベント主催の ファイア・アイ社様に Write Up の記事公開許可をいただいています。

長文記事なので、コーヒーでも飲みながら息抜きにゆっくり見てください〜。画像を多用しています。スマホだと読みにくいかもしれません。

ページ目次リンク
FE CTF の問題について
1問目:C2
2問目:TYPO
まとめと感想

 

Read the rest of this entry »

Written by morihisa

3月 29th, 2017 at 6:00 pm

Posted in CTF,Security

ハニーポット観察記録(33)「Struts2 S2-045を狙った攻撃」

without comments

どうも。ハニーポッターの森久です。

2017年3月6日にApache Struts2 における脆弱性(S2-045/CVE-2017-5638)が公開されました。またこの脆弱性を攻撃する PoC(Proof of concept)も公開されており、攻撃が流行っています。
日本国内の Web サイトでも被害が発生しており、ニュースで一部報道されています。

都税のサイトに不正アクセス 67万件余の個人情報流出か(NHK ニュース Web)
http://www3.nhk.or.jp/news/html/20170310/k10010906691000.html

Webアプリケーション製作者、サーバ管理者、セキュリティエンジニア、脆弱性対策やインシデントレスポンスなどに関わっている皆様、Struts は毎度のことながら対応お疲れ様です。本当にお疲れ様です。

 

今回は、ハニーポットにて、S2-045 の脆弱性を狙った攻撃を検知したのでご紹介します。

Read the rest of this entry »

Written by morihisa

3月 13th, 2017 at 5:42 am

「ハニーポット観察記録」書籍化のお知らせ

without comments

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

ハニーポット観察記録 表紙

書籍情報

■書名
サイバー攻撃の足跡を分析する ハニーポット観察記録

■著者
森久 和昭

■発行元
株式会社秀和システム

■発売日
2017年1月27日より順次発売開始(地域・書店様によって異なります)

■本体価格(税別)
2,200円

■ISBN
978-4-7980-4908-3

■判型
A5判

■刷色
1色刷


Read the rest of this entry »

Written by morihisa

1月 23rd, 2017 at 7:10 am

ハニーポット観察記録(32)「Wireless Routerの管理画面におけるOSコマンドインジェクション」

without comments

どうも。ハニーポッターの森久です。

ここ数日で、ZyXEL 社の Eir D1000 Wireless Router の管理画面における、OS コマンドインジェクションを狙った攻撃の検知が急増しました。

Read the rest of this entry »

Written by morihisa

11月 28th, 2016 at 1:22 am

VirusTotal API の使い方

without comments

どうも。森久です。

マルウェアの情報を調査するときによく利用されるサービスといえば、VirusTotal が挙げられます。

VirusTotal は、アップロードされたファイルを複数のアンチウイルスソフトでスキャンした結果を閲覧することができるサービスを提供しています。またその他に、各種のハッシュ値やファイルを実行した時にアクセスされるファイル、通信先などがまとめられています。またファイルだけでなく、URL をアンチウイルスソフトでスキャンして、その結果を表示させることもできます。

VirusTotal を通じて、手元にマルウェアのファイルそのものを持っていなくても、ある程度の情報を得ることができます。

そしてなんと!この情報は API を通じて、プログラムで取得することが可能です。API を利用すると、スキャンした結果の取得だけではなく、ファイルをスキャンしたり、コメントをつけたりなど、様々なアクションをすることをすることができます。

詳細は VirusTotal API のドキュメントを参照していただきたいのですが、現在は英語のドキュメントのみ公開されています。また得られる情報について日本語で取り上げた記事なども見当たりませんでした。

そこで今回は、既にスキャンされているファイルから取得できる情報について紹介します。

Read the rest of this entry »

Written by morihisa

7月 17th, 2016 at 10:10 pm

Posted in Malware,Security

Windows コマンドを監視しよう

without comments

どうも。ハニーポッターです。

サイバーセキュリティ月間なので、何か書くことにしました。(攻殻機動隊とのコラボポスターを駅で見かけてちょっとびっくりした)

今回はセキュリティインシデントに気づくきっかけを増やす方法についてです。

2015年12月に JPCERT/CC が公開した「攻撃者が悪用するWindowsコマンド」の記事はご存知でしょうか。

主旨としては、マルウェア感染した(乗っ取られた)端末上で攻撃者がよく使う Windows コマンドの紹介と、それらのコマンドの実行を制限することによって攻撃影響の低減が見込めるというものです。

使うものは AppLocker やソフトウェア制限ポリシです。最近の Windows OS ならば標準で備わっている機能ですね。

ただ本記事で Windows コマンドの説明や、アプリケーションの使い方の説明はしません。TechNet ライブラリ を参照してください。

それじゃ何を書くのかというと「Windowsコマンドを利用するマルウェアや攻撃事例」についてです。アンチマルウェアソフトベンダをはじめ、多くのセキュリティに関わる企業がマルウェアの解析レポートを公開しています。それらの公開レポートから、Windows コマンドが使われている事例をいくつか取り上げます。

 

Read the rest of this entry »

Written by morihisa

2月 13th, 2016 at 10:12 pm

Posted in Security

ハニーポット観察記録(31)「OS コマンドインジェクションの試み」

without comments

どうも。ハニーポッターの森久です。
オリジナルハニーポットで、非常にオーソドックスな OS コマンドインジェクションによるコマンド実行の攻撃を検知しました。

Read the rest of this entry »

Written by morihisa

10月 20th, 2015 at 5:29 am

ハニーポット観察記録(30) 「BIND の TEKY DoS」

without comments

BIND お見舞い申し上げます。ハニーポッターの森久です。

毎年7月には DNS サーバの BIND の脆弱性がよく公開される時期です。今年もまたある脆弱性が公開されました。しかも容易に攻撃可能で危険性の高い脆弱性が!
ハニーポットでこの脆弱性を狙った攻撃を検知したので紹介します。

Read the rest of this entry »

Written by morihisa

8月 27th, 2015 at 8:30 pm