Cyder備忘録

Cyderとは?

  • 国立研究開発法人 情報通信研究機構が、脅威に対応できる情報システム管理者の育成を目的とした研修プログラム
  • 2020年には、Covid-19の影響で、教材が無料公開された
  • 主な内容は、インシデントハンドリングの体験学習トレーニング

検知

  • インシデント発生に関する予兆等の検知や連絡を受け付ける

    • 通知の発信源は正しいか?
    • 上位者へ第一報を報告すること
    • 速やかにPoCに連絡すること
    • ホームページなどでPoCの連絡先を公表しておくこと
    • 正確な状況確認を行う(メールにファイルは添付されてたか?リンクをクリックしたか?)
  • 不審メールの対応

    • メールヘッダを確認することで、「どこから」「どのような経路で」「いつ」送られてきたかが判断できる
      • N番目のReceivedヘッダのbyと、n+1番目のReceivedヘッダのfromが一致しない場合は、ヘッダ情報の改ざんが疑わしい
        参照:メールヘッダの見方
      • SPFレコードが一致しない場合、送信ドメインが詐称されている可能性

トリアージ

  • ヒアリング、ログ検査・分析などで事実関係を確認し、インシデントと判断した場合、被害状況と重要度に基づいて、対処の優先順位を付けること
    • プロキシログから、不正なC2サーバへの接続有無や、データの送受信について確認する
    • ログに記載された時刻が正確である必要があります。事前にNTP (Network Time Protocol)によって、組織内の機器の時刻を合わせておくことが重要
続きを読む

はじめてのバッファオーバーフロー

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

ポイント

  • リターンアドレスを書き換えて任意の関数を実行させる

    • gets関数などに対し、想定長を越える入力を行い、バッファオーバーフローを引き起こすことで、リターンアドレスの値を書き換える

      1. gdp-pedaのpdisasコマンドなどを使用して、呼び出したい関数のメモリアドレスを調べる
    • シェルコードを送り込む
      ※シェルコードとは、コンピュータセキュリティにおいて、ソフトウェアのセキュリティホールを利用するペイロードとして使われるコード断片のこと

      1. pwntoolのshellcraftを使うと、あらかじめ用意されているシェルコードを利用できる
      2. スタックオーバーフローを利用して、攻撃元のPCからコマンドを打つと、それが攻撃対象のPCで実行されるようにすることができる

参考リスト

Web

コロナの影響で医療機関を狙った攻撃が急増

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

概要

国連のグテーレス事務総長は(5月)27日、安保理で開かれたテレビ会議形式の公開討論で、「市民生活に不可欠な施設への悪質なサイバー攻撃に対処しなければならない。新型コロナウイルスの感染が拡大する中、いくつかの国で医療施設に対する攻撃が増加しているという報告がある」と指摘しました。

ICRC=赤十字国際委員会が(5月)25日、新型コロナウイルスの感染が拡大して以降、チェコやフランス、スペイン、アメリカなどの欧米諸国とアジアのタイで起きているとして、医療機関の機能が損なわれて患者の生命が脅かされるおそれがあるとする声明を発表しています。
引用:「医療機関ねらったサイバー攻撃急増」 国連事務総長 コロナ | NHKニュース

CrowdStrikeの最近のレポートによると、医療機関に対する侵入は2019年の第4四半期から2020年の第1四半期にかけて倍増しました。
引用:コロナウィルス(COVID-19)によって医療機関に対する攻撃が急増 – バラクーダネットワークス

なぜ医療機関が攻撃されるのか

  • 医療機関のシステムの機能を停止を解除する代わりに多額の金品を要求する
    • 新型コロナ禍の中、ランサムウエア攻撃を受けた病院は、治療に遅れが生じる恐れから、金銭を払ってでもコンピューターの復元を選ばざるを得ない状況に陥りやすい
  • 新型コロナウイルスに関する研究情報を盗むため
    • ワクチンの開発情報
    • 感染者のデータ
    • 多くの医療機関が仮設病院の設置を急いでおり、セキュリティのベストプラクティスを考慮せずに、仮設病院の多くを設置しているケースがある
  • 十分な検討なしで進む医療のオンライン化
続きを読む

民間・政府機関におけるサプライチェーンのリスクと対策

サプライチェーンリスクとは

情報セキュリティリスクの顕在化
• 委託先からの情報流出・自社からの取引先情報流出
• 委託先からの納品物にマルウェアが混入
• 委託元・委託先へのサイバー攻撃メール
• 調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故
• 調達機器の不正な機能による情報窃取
• システム運用委託先(クラウド、IoTシステム等)における停止事故・情報流出・乗っ取り
引用: ITシステム・サービスにおけるサプライチェーンリスクマネジメント

  • IPAの調査によると、サプライチェーンの被害事例の原因としては、不正アクセスが最多、人的ミスと内部不正が次いで多い
  • 欧米ではサプライチェーンリスクに対応するための法律やガイドラインを作成しており、要件を満たせないと、グローバルのサプライチェーンに参加できなくなるリスクがある

サプライチェーンにおいて必要な対策

  • 暗号化
  • 環境分離
  • 多要素認証
    • アイデンティティ認証
  • ログの統合監視
    • SIEM(Security information and event management)と呼ばれるネットワークの監視・検知システムの導入
続きを読む

2020年5月 セキュリティトピック備忘録

行政

コロナ

マルウェア・APT

最新技術

その他

情報収集のコツ(随時更新)

情報収集のコツ(備忘録)

  • とりあえずググる
    • 必ずダブルクォーテーションでくくって検索する
      仮に間違えてC2通信先を入れてしまうとそのままC2サーバへアクセスしてしまうことがあるので要注意
    • 画像検索が活用できる場合もある

情報収集に役立つツール

  • PassiveTotal
    • 主に不審なドメインやIPアドレスの通信先の情報を元に、関連する情報(Whoisや証明書、関連URLなど)を結果表示してくれるサービス
  • VirusTotal
  • Twitter
    • Tweetdeckで情報収集
  • Google
    • 検索は必ずダブルクォーテーションでくくること

APTのリサーチ

キーワード

  • 国勢・歴史・思想
  • 政治・資源のニュース
  • 地政学
  • 第一列島線
  • HUMINT
  • VirusTotal
続きを読む

情報セキュリティガイドライン要点まとめ

情報システムのセキュリティ要件のポイントまとめ

  • オンライン手続きのリスク評価と主体認証方式の適切な選定

    • 前回のログインに関する情報を通知する機能
    • 不正にログインしようとする行為を検知又は防止する機能
    • 情報システムへのログイン時にメッセージを表示する機能
    • 管理者権限によるログインの際に個別の識別コードによりログインすることを併せて求める機能
  • パスワードの定期的な変更の是非とその効果に関してはしばしば検討する必要がある

    結局のところ、パスワードは当てられない程度に十分に長くするほかないのであり、その尺度には、例えば、「100 年以内に 1 回以上当てられる確率が0.0001%以下」といった基準が考えられ、これを満たす長さのパスワードを設定していれば、定期的に変更してもしなくても、当てられる確率はこれ以下に抑えられる。

    共通鍵暗号では、一般に、同じ鍵を繰り返し用いていると、その鍵で暗号化された暗号文を大量に得ることができれば、それを用いて鍵を推定できる確率が高まっていく性質があることから、鍵の定期的な変更が求められている。このことからの類推で、パスワードについても使用回数が増えるとパスワードの秘匿性が劣化すると考えてしまうとすれば、それは誤解である。

  • ACLの設定を適切に行う

続きを読む

CALDERAの環境構築とテスト

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

環境構築

環境

1
2
3
4
5
6
7
8
OS:Ubuntu18.04(Chromeを利用するためGUI)
RAM:8GB
CPU:1コア(CALDERAの推奨は2コア以上)

その他:
- Python3.6以上
- PIP
- (pipenv)
続きを読む

CTFのための暗号技術

証明書関連

  • Certutil
    • マクロおよび証明書サービス関連の機能
  • WMIC
    • Windows の管理

      Windows の 2 つの正規コマンドラインツール「WMIC(wmic.exe)」および「CertUtil(certutil.exe)」を悪用し、感染 PC に不正なファイルをダウンロードするマルウェアが確認されました。WMIC はWindows の管理を担当し、CertUtil はマクロおよび証明書サービス関連の機能を担う正規ツールです。これらの正規ツールは、通常の機能の一部としてファイルのダウンロードに使用されるため、不正活動においても検出回避を目的としてよく利用されます。
      引用:Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認

その他

  • XOR暗号

参考リスト

Web

Blog

CTFのためのファイルエンコーディングとデコードについて

HEXエンコーディング

そもそもHEXエンコーディングって何ぞ?

文字はASCIIで表され、長さは1バイトですが、1バイトは16進形式で2桁で表すことができます。
たとえば、255は0xFFです。あなたがしなければならないことは、16進数から文字に変換し、文字列を構築することです。
引用:What is a string of hexadecimal digits?

BASEエンコーディング

BASEエンコーディングとは何ぞ?

  • データを64種類の印字可能な英数字のみを用いて表現するエンコーディング方式
  • 英数字以外扱うことの出来ない環境にてマルチバイト文字やバイナリデータを扱うために使用される
  • MIMEによって規定され、7ビットのデータしか扱うことの出来ない電子メールにて主に利用されている
  • BASEエンコーディングによって、データ量は約137%に増える

BASE64をデコードする

  • Ubuntuの場合
    “””
    base64 -d base64.txt > base64_decoded.txt
    “””

参考リスト

Web

Stack over Flow

Blog