フォレンジック勉強会

ポイント

  • リアルケースだと、情報提供者が本当のことを言っているとは限らない
  • PCの解析には最低32GB以上のメモリが要求される、16GBは無謀
  • GoogleDriveは、OSのエクスプローラーに追加してあれば、ログの追跡ができる
  • ごみ箱の調査はフォレンジックの基本だが、ファイルは開かないように!

使用するツール

  • FTK Imager
  • Autopsy
    • 検索履歴からどんな悪用をしようとしているか推察できる
    • シークレットウィンドウの履歴も抽出可能
  • RegRipper
  • SDelete
  • LogonTracer

その他メモ

  • DFIR(デジタルフォレンジック&インシデントレスポンス)
  • フォレンジックの種類
    • リーガル系
    • サイバー系

参考リスト

Microsoft Defender ATP 概要

概要

Microsoft Defender Advanced Threat protection (Microsoft DEFENDER ATP)は、予防的な保護、事後対応の検出、自動調査、および応答のための統一されたプラットフォーム
引用:脅威の防止 (Windows 10) - Windows security | Microsoft Docs

  • サポートOSはWindowsOS、WindowsServerのみ
    • Linuxは2020年6月22日時点で未対応

機能

  • 高度な機械学習による検知
  • Microsoft Defender SmartScreen
    • URL Reputation によるフィッシング対策
    • App Reputation による
  • クラウド型保護機能
    • 1台の端末が感染した際に、データをMSに送信、数秒後には他端末で同種のマルウェアを検知できるようになる(Youtube動画にデモあり)
  • ポリシー設定
  • 定義ファイルの更新
    • クラウド(Windows Update)
    • オンプレ(WSUS、SCCM)
  • レポート、通知機能
    • クラウド(Update Compliance、Windows Defender ATP)
      • Update Complianceは無償でレポート機能のみ利用可能
      • Windowsセキュリティの統合監視で、レポート、リアルタイムアラートが可能
    • オンプレ(SCCM)
      • クライアント管理の統合
      • アラート、レポート、リモートスキャン
      • オンプレサーバと有料ライセンスが必要
続きを読む

CTFのためのFormat String Attack

今回は、Format String Attack(書式文字列攻撃)を勉強するにあたり、ksnctf - 4 Villager Aを解いた。

今回の問題は、SSHで問題サーバにアクセスすると、以下のように読み取り権限がなく開けないflag.txtと脆弱なプログラムq4が確認できる。
ここで、q4にFormat String Attack(書式文字列攻撃)を仕掛けてFLAGを抜き出すのが今回の問題の解法。

1
2
3
4
5
6
7
8
9
10
ubuntu@ThinkPadx280:~$ ssh q4@ctfq.sweetduet.info -p 10022
q4@ctfq.sweetduet.info's password:
Last login: Sat Jun 20 06:40:14 2020 from 10.0.2.2

[q4@localhost ~]$ ls -l
total 16
-r--------. 1 q4a q4a 22 May 22 2012 flag.txt
-rwsr-xr-x. 1 q4a q4a 5857 May 22 2012 q4
-rw-r--r--. 1 root root 151 Jun 1 2012 readme.txt
[q4@localhost ~]$
続きを読む

EKANS(SNAKE)について

概要

  • 2019年12月に出現した新しいランサムウェア
  • マルウェアのファイル名は、nmon.exeとされている
  • 日本国内からVirusTotalにアップロードされた

    引用:VirusTotal

  • GO言語で開発されたことを示すソースコードのファイル名と、Admin3というアカウント名を持つ攻撃者がWindows環境で開発したと思われる

EKANSの特徴

  • 「Snake」または「EKANS」と呼ばれる
  • 産業制御システムを狙うマルウェア
  • 石油施設や電力網、工場などで使われるようなシステムを停止させて身代金を要求するランサムウェア
  • 制御システムを標的とするマルウェアとしては、国家の支援を受けたサイバー犯罪者が開発したものではない初の事例である可能性がある
    • 産業制御システムを攻撃するマルウェアの作成は高い技術力が必要で、開発が難しい
  • 横展開やファイル窃取の動きは確認されていない
  • FWの操作など、管理者権限/システム権限で実行されることを前提にして開発されている
続きを読む

Cyder備忘録

Cyderとは?

  • 国立研究開発法人 情報通信研究機構が、脅威に対応できる情報システム管理者の育成を目的とした研修プログラム
  • 2020年には、Covid-19の影響で、教材が無料公開された
  • 主な内容は、インシデントハンドリングの体験学習トレーニング

検知

  • インシデント発生に関する予兆等の検知や連絡を受け付ける

    • 通知の発信源は正しいか?
    • 上位者へ第一報を報告すること
    • 速やかにPoCに連絡すること
    • ホームページなどでPoCの連絡先を公表しておくこと
    • 正確な状況確認を行う(メールにファイルは添付されてたか?リンクをクリックしたか?)
  • 不審メールの対応

    • メールヘッダを確認することで、「どこから」「どのような経路で」「いつ」送られてきたかが判断できる
      • N番目のReceivedヘッダのbyと、n+1番目のReceivedヘッダのfromが一致しない場合は、ヘッダ情報の改ざんが疑わしい
        参照:メールヘッダの見方
      • SPFレコードが一致しない場合、送信ドメインが詐称されている可能性

トリアージ

  • ヒアリング、ログ検査・分析などで事実関係を確認し、インシデントと判断した場合、被害状況と重要度に基づいて、対処の優先順位を付けること
    • プロキシログから、不正なC2サーバへの接続有無や、データの送受信について確認する
    • ログに記載された時刻が正確である必要があります。事前にNTP (Network Time Protocol)によって、組織内の機器の時刻を合わせておくことが重要
続きを読む

はじめてのバッファオーバーフロー

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

ポイント

  • リターンアドレスを書き換えて任意の関数を実行させる

    • gets関数などに対し、想定長を越える入力を行い、バッファオーバーフローを引き起こすことで、リターンアドレスの値を書き換える

      1. gdp-pedaのpdisasコマンドなどを使用して、呼び出したい関数のメモリアドレスを調べる
    • シェルコードを送り込む
      ※シェルコードとは、コンピュータセキュリティにおいて、ソフトウェアのセキュリティホールを利用するペイロードとして使われるコード断片のこと

      1. pwntoolのshellcraftを使うと、あらかじめ用意されているシェルコードを利用できる
      2. スタックオーバーフローを利用して、攻撃元のPCからコマンドを打つと、それが攻撃対象のPCで実行されるようにすることができる

参考リスト

Web

コロナの影響で医療機関を狙った攻撃が急増

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

概要

国連のグテーレス事務総長は(5月)27日、安保理で開かれたテレビ会議形式の公開討論で、「市民生活に不可欠な施設への悪質なサイバー攻撃に対処しなければならない。新型コロナウイルスの感染が拡大する中、いくつかの国で医療施設に対する攻撃が増加しているという報告がある」と指摘しました。

ICRC=赤十字国際委員会が(5月)25日、新型コロナウイルスの感染が拡大して以降、チェコやフランス、スペイン、アメリカなどの欧米諸国とアジアのタイで起きているとして、医療機関の機能が損なわれて患者の生命が脅かされるおそれがあるとする声明を発表しています。
引用:「医療機関ねらったサイバー攻撃急増」 国連事務総長 コロナ | NHKニュース

CrowdStrikeの最近のレポートによると、医療機関に対する侵入は2019年の第4四半期から2020年の第1四半期にかけて倍増しました。
引用:コロナウィルス(COVID-19)によって医療機関に対する攻撃が急増 – バラクーダネットワークス

なぜ医療機関が攻撃されるのか

  • 医療機関のシステムの機能を停止を解除する代わりに多額の金品を要求する
    • 新型コロナ禍の中、ランサムウエア攻撃を受けた病院は、治療に遅れが生じる恐れから、金銭を払ってでもコンピューターの復元を選ばざるを得ない状況に陥りやすい
  • 新型コロナウイルスに関する研究情報を盗むため
    • ワクチンの開発情報
    • 感染者のデータ
    • 多くの医療機関が仮設病院の設置を急いでおり、セキュリティのベストプラクティスを考慮せずに、仮設病院の多くを設置しているケースがある
  • 十分な検討なしで進む医療のオンライン化
続きを読む

民間・政府機関におけるサプライチェーンのリスクと対策

サプライチェーンリスクとは

情報セキュリティリスクの顕在化
• 委託先からの情報流出・自社からの取引先情報流出
• 委託先からの納品物にマルウェアが混入
• 委託元・委託先へのサイバー攻撃メール
• 調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故
• 調達機器の不正な機能による情報窃取
• システム運用委託先(クラウド、IoTシステム等)における停止事故・情報流出・乗っ取り
引用: ITシステム・サービスにおけるサプライチェーンリスクマネジメント

  • IPAの調査によると、サプライチェーンの被害事例の原因としては、不正アクセスが最多、人的ミスと内部不正が次いで多い
  • 欧米ではサプライチェーンリスクに対応するための法律やガイドラインを作成しており、要件を満たせないと、グローバルのサプライチェーンに参加できなくなるリスクがある

サプライチェーンにおいて必要な対策

  • 暗号化
  • 環境分離
  • 多要素認証
    • アイデンティティ認証
  • ログの統合監視
    • SIEM(Security information and event management)と呼ばれるネットワークの監視・検知システムの導入
続きを読む

2020年5月 セキュリティトピック備忘録

行政

コロナ

マルウェア・APT

最新技術

その他