BIG-IP 脆弱性 CVE-2020-5902

概要

  • F5 Networksが提供するネットワーク製品「BIG-IP」シリーズに認証の有無に関係なく、同インタフェースへアクセスできる場合に任意のシステムコマンドやJavaのコードを実行することが可能となる脆弱性を確認
  • 悪用されれば、サービスの無効化、ファイルの作成および削除なども可能で、システムの制御を奪われる
  • CVSSv3のベーススコアは、最大値にあたる「10.0」で、重要度は「クリティカル(Critical)」
  • 修正パッチは、すでにベンダーによって提供されている
続きを読む

Linuxサーバにおけるセキュリティインシデントの事例集

マルウェア感染

2020年

2019年

2018年

2017年

2016年

CTFのためのSQLインジェクション

SQLインジェクションとは

「SQL注入(SQL injection)」は、パラメータを埋め込んでSQL文を組み立てる場合、そのパラメータに特殊記号(記号)を含ませたSQLコマンドを与えることによって、データベースの不正操作が可能となってしまう問題である。
引用:IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第6章 入力・注入対策:SQL注入攻撃: #1 実装における対策

ソフトウェアが外部からの入力内容を上位コンポーネントを通じて使用し、その内容からSQLコマンドを構築している場合において、意図しているSQLコマンドを改ざんできてしまう特殊な要素を、適切に無効化せずに下位コンポーネントに送信する際に発生する脆弱性です。
引用:CWE-89

ksnctfのQ6をSQLインジェクションで解く

ksnctf - 6 Login

  • ログイン画面が出てくるが、開発者ツールでHTMLやネットワークを見る限り手がかりがない
  • ログイン画面にSQLインジェクションを仕掛ける
続きを読む

フォレンジック勉強会

ポイント

  • リアルケースだと、情報提供者が本当のことを言っているとは限らない
  • PCの解析には最低32GB以上のメモリが要求される、16GBは無謀
  • GoogleDriveは、OSのエクスプローラーに追加してあれば、ログの追跡ができる
  • ごみ箱の調査はフォレンジックの基本だが、ファイルは開かないように!

使用するツール

  • FTK Imager
  • Autopsy
    • 検索履歴からどんな悪用をしようとしているか推察できる
    • シークレットウィンドウの履歴も抽出可能
  • RegRipper
  • SDelete
  • LogonTracer

その他メモ

  • DFIR(デジタルフォレンジック&インシデントレスポンス)
  • フォレンジックの種類
    • リーガル系
    • サイバー系

参考リスト

Microsoft Defender ATP 概要

概要

Microsoft Defender Advanced Threat protection (Microsoft DEFENDER ATP)は、予防的な保護、事後対応の検出、自動調査、および応答のための統一されたプラットフォーム
引用:脅威の防止 (Windows 10) - Windows security | Microsoft Docs

  • サポートOSはWindowsOS、WindowsServerのみ
    • Linuxは2020年6月22日時点で未対応

機能

  • 高度な機械学習による検知
  • Microsoft Defender SmartScreen
    • URL Reputation によるフィッシング対策
    • App Reputation による
  • クラウド型保護機能
    • 1台の端末が感染した際に、データをMSに送信、数秒後には他端末で同種のマルウェアを検知できるようになる(Youtube動画にデモあり)
  • ポリシー設定
  • 定義ファイルの更新
    • クラウド(Windows Update)
    • オンプレ(WSUS、SCCM)
  • レポート、通知機能
    • クラウド(Update Compliance、Windows Defender ATP)
      • Update Complianceは無償でレポート機能のみ利用可能
      • Windowsセキュリティの統合監視で、レポート、リアルタイムアラートが可能
    • オンプレ(SCCM)
      • クライアント管理の統合
      • アラート、レポート、リモートスキャン
      • オンプレサーバと有料ライセンスが必要
続きを読む

CTFのためのFormat String Attack

今回は、Format String Attack(書式文字列攻撃)を勉強するにあたり、ksnctf - 4 Villager Aを解いた。

今回の問題は、SSHで問題サーバにアクセスすると、以下のように読み取り権限がなく開けないflag.txtと脆弱なプログラムq4が確認できる。
ここで、q4にFormat String Attack(書式文字列攻撃)を仕掛けてFLAGを抜き出すのが今回の問題の解法。

1
2
3
4
5
6
7
8
9
10
ubuntu@ThinkPadx280:~$ ssh q4@ctfq.sweetduet.info -p 10022
q4@ctfq.sweetduet.info's password:
Last login: Sat Jun 20 06:40:14 2020 from 10.0.2.2

[q4@localhost ~]$ ls -l
total 16
-r--------. 1 q4a q4a 22 May 22 2012 flag.txt
-rwsr-xr-x. 1 q4a q4a 5857 May 22 2012 q4
-rw-r--r--. 1 root root 151 Jun 1 2012 readme.txt
[q4@localhost ~]$
続きを読む

EKANS(SNAKE)について

概要

  • 2019年12月に出現した新しいランサムウェア
  • マルウェアのファイル名は、nmon.exeとされている
  • 日本国内からVirusTotalにアップロードされた

    引用:VirusTotal

  • GO言語で開発されたことを示すソースコードのファイル名と、Admin3というアカウント名を持つ攻撃者がWindows環境で開発したと思われる

EKANSの特徴

  • 「Snake」または「EKANS」と呼ばれる
  • 産業制御システムを狙うマルウェア
  • 石油施設や電力網、工場などで使われるようなシステムを停止させて身代金を要求するランサムウェア
  • 制御システムを標的とするマルウェアとしては、国家の支援を受けたサイバー犯罪者が開発したものではない初の事例である可能性がある
    • 産業制御システムを攻撃するマルウェアの作成は高い技術力が必要で、開発が難しい
  • 横展開やファイル窃取の動きは確認されていない
  • FWの操作など、管理者権限/システム権限で実行されることを前提にして開発されている
続きを読む