ラベル 転載 の投稿を表示しています。 すべての投稿を表示
ラベル 転載 の投稿を表示しています。 すべての投稿を表示

詐欺的旅行予約サイトの紹介 ~kiwi.com、Expedia、vakatripは詐欺サイトです。~

詐欺サイト

kiwi.com


RT by @kkt_witte_r: お客様が航空券詐欺に遭いすぎていて辛い:

privatter.net/p/7752778

私は航空会社の地上係員です。これから書くのは「kiwi.com」というオンライン旅行予約サイトについてです。一言でいうと詐欺サイトです。利用は絶対にお勧めしません。

初めて航空券詐欺被害者の対応をしたのは7月の中旬でした。

カウンターに来られたお客様は予約を照会できる番号は一切持っておらず、提示されたのは、6月下旬に需要減退により欠航が決まっていた便の旅程表のみでした。欠航の旨伝えると、非常に驚かれた様子で「決済をしたのは3日前だ」とおっしゃるのです。既に欠航が決まっている便に対して、航空会社が決済をさせることはシステム上絶対にできません。しかしお客様は支払いは済んでいるというのです。こんなこと公式サイトからの予約では起こりえないと思い、利用されたサイトを聞けば「kiwi.com」というサイトでした。

前後の便や来月の同じ便で検索してもお客様の予約情報はヒットしません。お客様は最後まで最初に払った金額で飛行機に乗れないことに納得されていない様子でした。しかし入金が確認できる情報は、お客様が受け取ったメール等を含めても一切ありませんから、我々でできることも一切ありません。結局そのお客様は、他社の同区間の便を当日予約の運賃で買われていきました。約4万円。お客様が正しく支払ったと思っていた航空券代の3倍以上の金額でした。

次にkiwi.comで予約をされた方の対応をしたのはそれから数日後でした。

やはりその方も、予約を照会できる番号は一切お持ちではありませんでした。提示された旅程とお名前で検索したところ、キャンセル済の予約がヒットしました。お客様に確認してもそのような操作はしていないとのことでしたが、キャンセルされているのをシステム上で確認した以上は、その予約で飛行機にお乗りいただくことはできませんので、新規に当日の金額で航空券を買いなおしていただきました。しかし飛行機の出発直前に、別の係員が同じ搭乗者名の決済済み予約情報を発見しました。当日運賃と早割の運賃だと相当な差額が出ますから、急いで新規にご購入いただいた航空券代をお客様にお返しし、決済済みの予約で飛行機にお乗りいただきました。後で詳しく見てみれば、同じ搭乗者名のキャンセル済の予約が他にも数件ヒットしました。その時は自分のサーチ不足でお客様や他の係員に迷惑をかけしまったことに対しすっかり落ち込んでいて、キャンセル済の予約が複数あることに深く疑問を抱けませんでした。

そしてつい先日、このサイトが第三者のクレジットカードを不正利用していることが判明しました。カードを不正利用されていることに気が付いた方からカード会社に連絡をされたようで、その連絡がカード会社からそのまま私の会社にも来ました。

①お客様がkiwi.comに対して金銭を支払う

②kiwi.comは第三者のカードを利用して航空会社から直接チケットを買う

③不正に入手した航空券をお客様に渡す

という手口です。kiwi.comは一銭も払わずお客様からの利益を得られますね。1件目に関してはそもそも存在しない航空券を売り付けているわけですが。

2件目のお客様のキャンセル済の予約情報が複数ヒットしたのは、

予約を不正に決済する→不正利用を検知したカード会社が決済を取り消す→決済の取り消しに気づいたkiwi.com側が他のカード情報を使ってまた新規に不正な予約を作る……を繰り返したためです。予約照会番号をお客様に渡せないのは予約が直前まで確約しないからですかね。

空港カウンターでは、カードの持ち主本人がその場にいないと決済にご利用いただけません。ですが今や航空券はネットから誰でも予約できてしまう時代ですから、不正利用があっても決済された時点では航空会社側で気づくことはできません。

そんなこんなで不正利用されたカードにより決済された予約は私の会社だけで100件以上です。これからカウンターに来られる100名以上の方に「貴方が使ったサイトは詐欺サイトなので決済は無効です。新しく航空券を購入してください」という旨お伝えしなければいけないと思うと気が遠くなります。他社を含めたらもう十数倍はあるのでしょう。

その他も手数料の不正受領などいろいろあるみたいです。下記URLはレビューサイトです。

https://jp.trustpilot.com/review/kiwi.com

これから会社でどういう措置をとるのか、どういう発表をするのかは、フロントラインの端くれにはわかりません。何も発表しない可能性も多分にあると思います。ただ直接詐欺にあったお客様と接した身として、これ以上騙される人が増えるのは駄目だと思い散文認めた次第です。ごく個人的なものです。

ここまでお目通しいただきありがとうございました。これ以上の被害者が増えないことを祈っています。

Expedia

Expediaに嵌められてイスラエルで宿なし体験をした貴重なブログは下記参照

杉原千畝スペシャル(Vol2.イスラエル:ホロコースト記念館、杉原通り(テルアビブ、ネタニヤ))

vakatrip.com(2024/5/9追加)

ベトジェットとJALは一部の便をコードシェアしており、JAL便名で予約すると「skyBOSS」運賃での予約となる。ところが、JAL便名でそれなりの料金を払ったにもかかわらず、vakatrip側のドキュメントはJAL便名、ベトジェット側の予約情報はVJ便名の一番安い運賃で予約され、JALマイルも積算されなかった。(vakatripは金だけとってベトジェットの一番安い運賃を予約したという話)




CyberScan:ネットワーク・フォレンジック・ツールキット / CyberScan: Network's Forensics ToolKit | by Mohamed Ben Ali

CyberScan: Network's Forensics ToolKit | by Mohamed Ben Ali

CyberScanは、パケット分析、デコード、ポートスキャン、Ping送信、IPのジオロケーション(緯度、経度、地域、国...)が可能なオープンソースのテストツールです。

利用可能OS

  • Windows XP/7/8/8.1/10
  • GNU/Linux
  • MacOSX

インストール

CyberScanは、Gitリポジトリをクローンすることでダウンロードすることができます。


git clone https://github.com/medbenali/CyberScan.git
cd CyberScan/
python CyberScan.py -v

CyberScanは、Pythonバージョン2.6.xおよび2.7.xで動作します。

CyberScanの使い方

CyberScanは、複数のプロトコルのパケットを送信およびキャプチャし、偽造およびデコードして、スキャン、Ping、プローブ、攻撃などのほとんどのネットワークタスクに使用することができます。

ネットワークへのPing送信

CyberScanを使用して、いくつかのプロトコルでping操作を行うことができます。ローカルイーサネットネットワーク上のホストを発見する最も速い方法は、ARPを使用することです。

ARP Ping

$ CyberScan -s 192.168.1.0/24 -p arp
[*] Starting Ping ARP for 192.168.1.0/24
Begin emission:
Finished to send 256 packets.

Received 0 packets, got 0 answers, remaining 256 packets

ICMP Ping

その他の場合は、ICMP pingを使用することができます。

$ CyberScan -s 192.168.1.1-254 -p icmp
[*] Starting Ping ARP for 192.168.1.0/24
Begin emission:
Finished to send 256 packets.

Received 0 packets, got 0 answers, remaining 256 packets

TCP Ping

ICMPエコー要求がブロックされた場合でも、TCPを使用することができます。

$ CyberScan -s 192.168.1.1-254 -p tcp -d 80

UDP Ping

あるいは、UDP(生きているホストからICMP port unreachableエラーを発生させる)でもよい。ポート0など、閉じられる可能性が高いポートを選ぶことができる。

$ CyberScan -s 192.168.*.1-10 -p udp


Network Scanning

Port Scanner

CyberSanでは、開始ポートと終了ポートを指定してスキャンすることも、指定せずにスキャンすることも可能です。

$ CyberScan -s 192.168.1.1 -p scan -d 1 -t 100
WARNING: No route found for IPv6 destination :: (no default route?)
[*] CyberScan Port Scanner
[*] Scanning 192.168.1.1 From Port 1 To 100: 
[*] Starting CyberScan 1.01 at 2017-07-14 14:00 CEST
[*] Scan In Progress ...
[*] Connecting To Port :  100 
[*] Scanning Completed at 2017-07-14 14:00 CEST
[*] CyberScan done: 1IP address (1host up) scanned in 0.32 seconds
[*] Open Ports: 
	23 TELNET: Open
	53 DNS: Open
	80 HTTP: Open
$ CyberScan -s 8.8.8.8 -p scan
WARNING: No route found for IPv6 destination :: (no default route?)
[*] CyberScan Port Scanner
[*] Scanning For Most Common Ports On 8.8.8.8
[*] Starting CyberScan 1.01 at 2017-07-14 14:03 CEST
[*] Scan In Progress ...
[*] Connecting To Port :  10000 109 110 123 137 138 139 143 156 2082 2083 2086 2087 21 22 23 25 3306 389 546 547 69 80 8443 993 995 
[*] Scanning Completed at 2017-07-14 14:03 CEST
[*] CyberScan done: 1IP address (1host up) scanned in 13.11 seconds
[*] Open Ports: 
	53 DNS: Open
	443 HTTPS: Open

 

Geolocalisation IP

$ CyberScan -s 72.229.28.185 -p geoip
WARNING: No route found for IPv6 destination :: (no default route?)
[*] IP Address:  72.229.28.185
[*] City:  New York
[*] Region Code:  NY
[*] Area Code:  212
[*] Time Zone:  America/New_York
[*] Dma Code:  501
[*] Metro Code:  New York, NY
[*] Latitude:  40.7605
[*] Longitude:  -73.9933
[*] Zip Code:  10036
[*] Country Name:  United States
[*] Country Code:  US
[*] Country Code3:  USA
[*] Continent:  NA

Analyzing and Decoding Packets

CyberScan は pcap ファイルを解析し、イーサネット、IP、tcp、icmp、udp ヘッダーを抽出およびデコードすることができます。

Ethernet Headers

$ CyberScan -f test.pcap -p eth
WARNING: No route found for IPv6 destination :: (no default route?)
----------------------------------------
[*] Packet : 1
[+] ### [ Ethernet ] ###
[*] Mac Destination : 00:1f:f3:3c:e1:13
[*] Mac Source : f8:1e:df:e5:84:3a
[*] Ethernet Type : 2048

IP Headers

$ CyberScan -f test.pcap -p ip
WARNING: No route found for IPv6 destination :: (no default route?)
----------------------------------------
[*] Packet : 1
[+] ###[ IP ] ###
[*] IP Source : 172.16.11.12
[*] IP Destination : 74.125.19.17
[*] IP Version :  4
[*] IP Ihl :  5
[*] IP Tos :  0
[*] IP Len :  79
[*] IP Id :  56915
[*] IP Flags :  2
[*] IP Frag :  0
[*] IP Ttl :  64
[*] IP Protocol :  6
[*] IP Chksum :  18347
[*] IP Options :  []
[*] IP Dump : 
0000   45 00 00 4F DE 53 40 00  40 06 47 AB AC 10 0B 0C   E..O.S@.@.G.....
0010   4A 7D 13 11 FC 35 01 BB  C6 D9 14 D0 C5 1E 2D BF   J}...5........-.
0020   80 18 FF FF CB 8C 00 00  01 01 08 0A 1A 7D 84 2C   .............}.,
0030   37 C5 58 B0 15 03 01 00  16 43 1A 88 1E FA 7A BC   7.X......C....z.
0040   22 6E E6 32 7A 53 47 00  A7 5D CC 64 EA 8E 92      "n.2zSG..].d...

TCP Headers

$ CyberScan -f test.pcap -p tcp
WARNING: No route found for IPv6 destination :: (no default route?)
----------------------------------------
[*] Packet : 1
[+] ###[ TCP ] ###
[*] TCP Source Port :  64565
[*] TCP Destination Port :  443
[*] TCP Seq :  3336115408
[*] TCP Ack :  3307089343
[*] TCP Dataofs :  8
[*] TCP Reserved :  0
[*] TCP Flags :  24
[*] TCP Window :  65535
[*] TCP Chksum :  52108
[*] TCP Urgptr :  0
[*] TCP Options :  [('NOP', None), ('NOP', None), ('Timestamp', (444433452, 935680176))]
[*] TCP Dump : 
0000   FC 35 01 BB C6 D9 14 D0  C5 1E 2D BF 80 18 FF FF   .5........-.....
0010   CB 8C 00 00 01 01 08 0A  1A 7D 84 2C 37 C5 58 B0   .........}.,7.X.

UDP Headers

$ CyberScan -f test.pcap -p udp
WARNING: No route found for IPv6 destination :: (no default route?)
----------------------------------------
[*] Packet : 1
[+] ###[ UDP ] ###
[*] UDP Source Port :  54639
[*] UDP Destination Port :  53
[*] UDP Len :  47
[*] UDP Chksum :  30084
[*] UDP Dump : 
0000   D5 6F 00 35 00 2F 75 84  13 A2 01 00 00 01 00 00   .o.5./u.........
0010   00 00 00 00 04 65 38 37  32 01 67 0A 61 6B 61 6D   .....e872.g.akam
0020   61 69 65 64 67 65 03 6E  65 74 00 00 01 00 01      aiedge.net.....

ICMP Headers

$ CyberScan -f test.pcap -p icmp
WARNING: No route found for IPv6 destination :: (no default route?)
----------------------------------------
[*] Packet : 1
[+] ###[ ICMP ] ###
[*] ICMP Type :  3
[*] ICMP Code :  3
[*] ICMP Chksum :  5296
[*] ICMP Id :  None
[*] ICMP Seq :  None
[*] ICMP Dump : 
0000   03 03 14 B0 00 00 00 00  45 00 00 43 C1 80 00 00   ........E..C....
0010   40 11 4A FC AC 10 0B 01  AC 10 0B 0C 00 35 E7 E8   @.J..........5..
0020   00 2F 00 00                                        ./..


古いPCをChromebookとして再利用する方法(転載)


古いPCをChromebookとして再利用する方法:

使えなくなったパソコンは、廃棄処分にする前Chrome OSをインストールして、もう一度使えるようにしてみてはどうでしょう。

Googleは、汎用性の高いOSの新しいバージョンであるChrome OS Flexをダウンロードできるようにしました。

古いPCがネイティブのOSにアップデートするのが難しくなったら、これが最善のソリューションかもしれません。

Chrome OS Flexとは?

Flexは、よりスリムでクラウドに特化したOSをインストールすることで、古いコンピューターを再生させることを目的としています。

Flexは、Chromeのすべての機能を備えているわけではありませんが、基本的には、PCがChrome OSを搭載したChromebookのような感じになるとGoogleは約束しています。

Googleによれば、Chrome OS Flexは、「どこにいても高速で最新のワークエクスペリエンス」を提供します。

それにより、ギアの起動が速くなり、VDI(仮想デスクトップインターフェース)やWebアプリに素早くアクセスできて、速度も経年低下しなくなります。しかも、無料です。

Chrome OSでコンピューターを一新するのは、新しいハックではありませんが(2015年にCloudReadyが登場しています)、Flex OSはデュアルブート機能を備えているため、再起動するだけで簡単にOSを切り替えることができ、従来の選択肢よりも柔軟性に富んでいます。

Chrome OS Flexをインストールする際は、早期アクセスモードであることを予め認識しておきましょう(バグや不安定性があるかもしれません)。

また、Chrome OSのすべての機能を利用できるわけではありません。

一部の機能は、OSを実行するために使用しているハードウェアに依存していますし、Google PlayやAndroidアプリにはまったく対応していません(詳しくは、Googleが提供しているChromeとChrome OS Flexの違いを示すリストを参照してください)。

Google OS Flexをラップトップやデスクトップにインストールする方法

  1. 8GB以上のUSBメモリーを用意します。

  2. ユーザー登録をします。

  3. Chrome OS Flex のUSBブートスティックを作成する手順を読み、それに従いましょう。

  4. Chrome OS Flex USB を挿入したコンピューターを再起動したら、完了です。

CMS脆弱性スキャナ / CMS Vulnerability Scanners


CMS Vulnerability Scanners:

CMS(Content Management System)は、非常に人気があり、インストールも簡単で、ほとんどの管理者が一度設定すれば忘れてしまうものです。

一般的に、どんなソフトウェアでもそうであるように、人気のあるCMSにはかなり深刻な脆弱性が存在します。バグはかなり早くパッチが適用されます。責任ある企業や管理者は、早急にパッチをインストールします。知識のない人でも、人気のあるCMSをベースにウェブサイトを構築することができるため、ウェブ上には何百万ものCMSが存在しています。残念ながら、そのほとんどが更新されていない。また、各CMSにはテーマやアドオンをインストールする機能があり、これらもまた脆弱なものです。多くの場合、テーマやアドオンは、専門家によって開発されていない場合、数年後に放棄されます。

このおかげで、多くのサーバーと大量のデータにアクセスすることができます。個人のブログ、教育システム、大小のコミュニティ、中小企業だけでなく、残念ながら政府機関もです。政治団体や国家機関、医療機関がWordPressやJoomla、Drupalでウェブサイトを立ち上げ、サービスやサポートには目もくれず、スクリプトキディーのためにデータを流出させたことが何度あったことだろうか。

さて、WordPreses、Joomlas、Drupals、Moodles、その他CMS的なものはすべて古くて漏れがあることが分かっているので、それらを台無しにすることができます。それも、既成のスクリプトを使えば、大した知識もなく。

BurpOWASP ZAPを使うと必ず何か見つかることは知られていますが、弱点を見つけるのに役立つソリューションがすでにあります。それらをチェックしてみましょう。

■マルチスキャナー

オールインワンソリューション。人気のあるCMSは、まずここから始めるとよいでしょう。

Droopescan

主にDrupalやSilverstripeなどのCMSの問題を特定するために、セキュリティ研究者を支援するプラグインベースのスキャナです。

https://github.com/SamJoan/droopescan

指定されたCMSスキャン:

1
droopescan scan drupal -u example.org


自動検出:

1
droopescan scan -u example.org


リストによるスキャン:

1
droopescan scan -U list_of_urls.txt


CMSeeK

CMS検出およびエクスプロイトスイート - WordPress、Joomla、Drupal、その他180以上のCMSをスキャンします。

https://github.com/Tuhinshubhra/CMSeeK

使い方:

1
2
python3 cmseek.py (for guided scanning) OR
python3 cmseek.py [OPTIONS] <Target Specification>


CMSScan

CMSスキャナ。Wordpress、Drupal、Joomla、vBulletinのWebサイトをスキャンして、セキュリティ問題を解決します。これは、CMSセキュリティスキャンのための集中型セキュリティダッシュボードを使用しています。それはwpscan、droopescan、vbscanとjoomscanによって供給されています。

https://github.com/ajinabraham/CMSScan

Webインタフェースを実行:

1
./run.sh


■Wordpress

WordPressの脆弱性スキャナーの紹介

WPScan

WordPressセキュリティスキャナ。セキュリティ専門家やブログ管理者がWordPressウェブサイトのセキュリティをテストするために書かれたものです。

https://github.com/wpscanteam/wpscan

デフォルトスキャン:

1
wpscan --url example.com


WPScanの列挙機能を使用するには、-eオプションを指定します。

以下のようなオプションが存在します。

  • vp :脆弱なプラグイン
  • ap :すべてのプラグイン
  • p :人気のあるプラグイン
  • vt :脆弱なテーマ
  • at :すべてのテーマ
  • t :人気テーマ
  • tt :Timthumbs
  • cb :設定のバックアップ
  • dbe :Dbエクスポート
  • u :ユーザーIDの範囲。例:u1-5
  • m :メディアIDの範囲。例:m1-15

e フラグに何もオプションを指定しない場合、デフォルトは次のようになります: vp,vt,tt,cb,dbe,u,m

ブルートフォースアタック:

1
wpscan --url example.com -e u --passwords /path/to/password_file.txt


WPForce

WPForce は、Wordpress 攻撃ツールのスイートです。

https://github.com/n00py/WPForce

1
python wpforce.py -i usr.txt -w pass.txt -u "http://www.example.com"


Online Scanners

他に、下記のような無料のオンラインWordPressスキャナーもあります。


■Joomla

Joomlaの脆弱性スキャナー。

JoomScan

OWASP Joomla 脆弱性スキャナプロジェクト。

https://github.com/OWASP/joomscan

デフォルトのチェック:

1
perl joomscan.pl --url www.example.com


インストールされているコンポーネントの列挙

1
perl joomscan.pl --url www.example.com --enumerate-components


■Drupal

Drupalの脆弱性スキャナー。

Drupwn

Drupalの調査と盗取のツール。

https://github.com/immunIT/drupwn

調査:

1
python3 ./drupwn --mode enum --target http://example.com/drupal

盗取:

1
python3 ./drupwn --mode exploit --target http://example.com/drupal


上場企業が情報をお漏らしした際の株価への影響


情報漏えいした上場企業の株価、最大下落率は21.6%に:

株式会社サイバーセキュリティクラウドは、2021年公表のサイバー攻撃に関する個人情報漏えい事案に基づいた「個人情報漏洩被害公表と株価の変化に関する調査レポート」を発表した。

同調査は2021年1月1日から12月31日に公表された法人・団体における不正アクセスに関する被害規模1,000件以上の主な個人情報流出事案110件について、個人情報漏えい被害がもたらす企業の株価への影響を調査したもの。

同調査によると、対象となった110件の個人情報漏えい事案のうち約2割となる24件が上場企業で発生し、そのうち18件がサイバー攻撃による個人情報漏えい事案であることが判明した。

被害にあった上場企業で、情報漏えいに関する適時開示の前日と翌日の株価終値を比較したところ、約8割となる14社の株価が下落し、最大下落率は21.6%、平均下落率は2.8%となった。14社の情報漏えいに関する適時開示前日と適時開示を行った30日後、60日後を比較したところ、平均下落率がそれぞれ5.2%、5.0%となり、30日後まで下落幅が拡大し続けることが明らかになった。

ATT&CK 2022ロードマップ / ATT&CK 2022 Roadmap


 ATT&CK 2022 Roadmap

2021年、私たちは武漢ウイルスのパンデミックを乗り越え、新たな日常へと移行する中、(約束通り)大きな構造改革を行うことなく、ATT&CKを進化させ続けています。データの観点から敵の行動をより効果的に表現するためのATT&CKのデータソース手法など、多くの分野で前進を遂げることが出来ました。macOSとLinuxのコンテンツを改良し、ATT&CK for Containersをリリースしました。クラウド分野では、従来のAWS、Azure、GCPのプラットフォームを単一のIaaS(Infrastructure as a Service)プラットフォームとして統合したことが功を奏しました。ICSをクロスドメインマッピングで更新し、インフラチームは新しいATT&CK Navigator要素を導入して、レイヤーの比較と可視化の体験を向上させました。最後に、8つの新しいテクニック、27のサブテクニック、24の新しいグループ、そして100以上の新しいソフトウェアエントリーが追加されました。

2022 Roadmap

2022年に向けて、フレームワークのエキサイティングな調整がいくつか予定されています。今年は構造的な変更(モバイルサブテクニックとキャンペーンの導入)がありますが、2020年のエンタープライズサブテクニックの追加ほどにはならない予定です。CampaignsとMobileサブテクに加え、今年の主な調整内容は、検出のオブジェクトへの変換、オーバーレイやコンビネーションの使い方の革新、ICSアセットの拡張などです。4月と10月の年2回のリリーススケジュールを維持し、Mobileサブテクニックのポイントリリース(v11.1)を予定しています。

ATT&CKcon 3.0 | March 2022

ATT&CKConを開催できることを大変うれしく思っています。ATT&CKチームやコミュニティーの皆さんと一緒に、組織や個人がATT&CKを活用しているすべての最新情報、洞察、創造的な方法について聞くことができることを楽しみにしています。また、ATT&CKcon 3.0のページでは、カンファレンスの全容を無料でライブストリーミングしています。


Detection Objects | April & October 2022

ここ数年、ATT&CKの様々な実用的なフィールドを管理オブジェクトに変換することが繰り返されてきました。ATT&CKのv5では、緩和策をオブジェクトに変換し、その価値と使いやすさを向上させました。この変換により、緩和策を特定し、それが防止できる様々な技術にピボットすることができるようになりました。この変換により、ミティゲーションを特定し、そのミティゲーションが防ぐ可能性のある様々な技術にピボットすることができます。これは、多くの皆様がATT&CKを異なるコントロール/リスクのフレームワークにマッピングするために活用されている機能です。また、v10では、データソースをオブジェクトに変換し、同様のピボットと分析ができるようになりました。

次に、検出については、現在テクニックで紹介されているフリーテキストを、データソースと結びついた記述に洗練・統合するアプローチを並行して実施する予定です。これにより、各技術について、その検出のために何を収集する必要があるか(データソース)、また、そのデータをどのように分析すれば、ある技術を特定できるか(検出)を記述することができるようになるのです。


Campaigns | October 2022

今年の大きな変更点としては、キャンペーンが導入されたことが挙げられます。キャンペーンとは、共通のターゲットと目的を持ち、特定の期間に実施された侵入活動のグループと定義されます。この活動は、特定の脅威者にリンクしている場合もありますが、そうでない場合もあります。例えば、Solar Windsのサイバー侵入は、ATT&CKのG0016脅威グループに起因するキャンペーンとなります。ATT&CK の既存の構造では、ある脅威行為者のすべての活動が 1 つのグループエントリの下にまとめられ ているため、傾向を正確に把握し、脅威行為者が時間とともにどのように進化したかを理解し(あるいはしていない)、 異なる事象間の差異を識別し、逆に、ある行為者が依拠する可能性のある特定の手法を識別することが困難になっています。

ATT&CKでは、他の人が名前を付けていない活動をグループとして追加したことはありません。例えば、あるレポートがグループやキャンペーンの行動を記述していても、その侵入活動にFUZZYSNUGGLYDUCK/APT1337のような固有の名前を付けていない場合(または名前を付けた他の人のレポートにリンクしている場合)、そのレポートをATT&CKに取り入れることはありません。キャンペーンの導入により、アクティビティに名前を付けず、独自の識別子を使用するレポートが含まれるようになります(キャンペーンC0001にご注意ください)。一方、この新しい構造によって、同じ名前が付けられたアクティビティ(例:Lazarus)をよりよく管理できるようになり、一緒にグループ化されてはいけないアクティビティを分離する方法が提供されます。また、Ransomware-as-a-Serviceのように、複数の脅威者が関与している可能性のある侵入活動にも対応できるようになります。

ATT&CKにおけるキャンペーンと関連するIDの表示方法については、現在検討中であり、今後数ヶ月のうちに詳細をお知らせする予定です。グループとソフトウェアのページはほとんど変更されません。彼らは引き続き、テクニックとサブテクニックの集合リストを特徴とし、ネットワーク防御者が全体的に関連するNavigatorレイヤーを作成し、同様の分析を行うことができます。しかし、関連するグループ/ソフトウェアページへのキャンペーンリンクは追加される予定です。10月のリリースでキャンペーンを統合する準備をしているため、詳細は年内にお知らせします。

Mobile | April 2022

Mobileのサブテクニックについては、以前から話していましたが、もうすぐ登場するということで、わくわくしています。Mobileチームは2021年、ATT&CK for MobileをATT&CK for Enterpriseと機能的に同等にするために、サブテクニックがMobileマトリックスに収まる場所を特定するなど、懸命に作業していました。2021年10月のv10リリース記事で取り上げたように、MobileサブテクニックはEnterpriseサブテクニックの構造を反映することになります。4月のATT&CK v11リリースの一部として、エンタープライズで行ったのと同様に、コミュニティのフィードバック用にサブテクニックのベータ版を含める予定です。最終的に完成したサブテクニックはポイントリリース(例:v11.1)で公開する予定です。サブテクニックのプロセスやスケジュールの詳細については、4月のリリース記事に記載する予定です。サブテクニックに加え、モバイル データ ソース オブジェクトのコンセプトにも取り組み、昨年開始したモバイル デバイスに対する重大な脅威に焦点を当てたミニシリーズを再開する予定です。新しいテクニックの作成にご協力いただける方、または観察した挙動を共有したい方は、ぜひご連絡ください。

最後に、まもなく到着する「ATT&CK for Mobile 2022 ロードマップ」にご期待ください。通常、技術領域別にロードマップを発行することはありませんが、今年はモバイルのアップデートとコンテンツの変更予定をカバーするために、若干のスペースが必要です。

MacOS and Linux | April & October 2022

昨年はmacOSとLinuxのプラットフォームの調整、追加、コンテンツの更新を多く行いました。2022年は、Linuxのアップデートに重点を移行していきたいと考えています。4月のリリースは、昨年からのいくつかのmacOSへの貢献を解決することが中心となります。これらのアップデートには、親テクニックの範囲を広げて他のプラットフォームを含めること、サブテクニックの追加、具体的な使用例による手順の更新、データソースと検出努力のサポートが含まれます。私たちは、年間を通じてmacOSのアップデートを続け、このプラットフォームをより良く表現できるようになったコミュニティの関与と貢献者の皆様に大変感謝しています。

また、4月のリリースでは、Linuxの言語とプラットフォームのマッピングを改訂する予定です。10月のリリースまでには、すべての技術について、ATT&CKにおけるLinuxの表現が改善されることを目指しています。Linuxは敵対勢力によって頻繁に利用されていますが、公開されているレポートでは詳細が不明なことが多く、ATT&CKにとって難しいプラットフォームとなっています。私たちがこの分野を表現する能力は、Linux セキュリティ・コミュニティの皆さんと密接に関係しており、今後数ヶ月の間に皆さんとより多くの関係を築きたいと考えています。もし、あなたが観察した活動や技術的な提案を共有することに興味があれば、ぜひ私たちに知らせてください。

ICS | October 2022

2021年にICSコンテンツとデータソースを更新し、今後数ヶ月の間にICS Assetsの拡張と検出の追加を行う予定です。資産名は特定のICSバーティカル(電力、水処理、製造など)に関連付けられ、関連する技術マッピングにより、ユーザーは技術が自分の環境に適用されるかどうか、どのように適用されるかを理解することができます。さらに、より詳細な資産定義により、技術や業種による機能の類似点や相違点を強調することができます。各技術に追加される検出機能では、最近更新されたデータソースを使用して敵の行動を特定する方法についてのガイダンスが提供される予定です。最後に、今年後半には、ICSをエンタープライズと同じプラットフォーム上に統合し、ATT&CKウェブサイト(attack.mitre.org)の他のドメインに参加させる準備を進めています。

Kali Linux 2022.1リリース / Kali Linux 2022.1 Release (Visual Updates, Kali Everything ISOs, Legacy SSH)


Kali Linux 2022.1 Release (Visual Updates, Kali Everything ISOs, Legacy SSH) 

新年最初である Kali Linux 2022.1 を、リリースします。このリリースでは、様々なビジュアルアップデートと既存機能の微調整が行われており、既存のKali Linuxインストールをお持ちの方は、すぐにダウンロードまたはアップグレードすることができます。

2021年12月の2021.4リリースからの変更点の概要は以下の通りです。

  • Visual Refresh:壁紙とGRUBテーマを更新しました。

  • Shell Prompt Changes:コードをコピーする際の可読性を向上させるためのビジュアル改善

  • Refreshed Browser Landing Page:Firefox と Chromium のホームページを刷新し、Kali に必要なすべてのものにアクセスしやすくなりました。

  • Kali Everything Image:オールパッケージ・イン・ワンのソリューションがダウンロード可能に

  • Kali-Tweaks Meets SSH:従来のSSHプロトコルと暗号を使用して古いSSHサーバーに接続します。

  • VMware i3 Improvements:i3 でホスト-ゲスト機能が適切に動作するようになりました。

  • Accessibility Features:Kali のインストーラに音声合成が復活

  • New Tools:様々な新ツールが追加され、その多くがProjectDiscoveryからのものです

それ以外にも、まだ準備が整っていないだけで、新しい機能にも取り組んでいます(ドキュメントがまだ完成していないため!)。これは大きなものなので、私たちにとって重要であることを示すために、準備ができ次第、専用のブログ記事を用意する予定です。これはベアメタルインストーラのためのものです!

Visual Refresh:テーマ更新

Kali 2021.2 で約束したように、このリリース (2022.1) 以降、毎年リリースされる 20xx.1バージョンは、主要なビジュアルアップデートを行う唯一のリリースとなります。1年ごとのライフサイクルを使用することで、Kali Linux の異なるバージョンを時間の経過とともに認識することが容易になります。このアップデートには、デスクトップ、ログイン、ブートディスプレイの新しい壁紙と、最近アップデートされた方はご存知かもしれませんが、リフレッシュされたインストーラテーマが含まれています。


また、ISOイメージに含まれるブートメニューの機能、テーマ、レイアウトも改善されました。これらの変更により、全体的に一貫性を持たせることができます。以前は、UEFI と BIOS のブートメニューは異なるオプション、デザインを持っており、また書き方も異なっていたため、混乱させていました。さらに、「インストーラー」、「ライブ」、「ネットインストール」、「ミニ」オプションの間にも複数の違いがあったことも混ざっています。これらの問題はすべて解決され、現在ではすべてにおいて普遍的な感覚を持つようになりました。


シェルプロンプトの変更

皆様からのご意見に、私たちは耳を傾けました。私たちは、2020.4の最後のプロンプトの更新以来、あなたの人生をより快適にすることを願って、いくつかの微調整を行いました。この問題の例としては、専門的なペンテストレポートを書くときや、コードのデバッグを共同で行い、ターミナルを共有するとき、右側のプロンプト(終了コードとバックグラウンドプロセスの数が表示されていた)が邪魔になる場合があります。そこで、私たちのデフォルトシェルであるZSHからは、このプロンプトが削除されました。これに伴い、ルートプロンプトのドクロはシンプルな  に置き換えられました。ルートの頭蓋骨 (💀) が恋しい人は、簡単に ~/.zshrc を編集することができます。

┌──(root㉿kali)-[~]
└─# sed -i 's/prompt_symbol=㉿/prompt_symbol=💀/' ~/.zshrc

┌──(root㉿kali)-[~]
└─# source ~/.zshrc

┌──(root💀kali)-[~]
└─#

Kali 2022.1 を新規にインストールすると、これらの変更が適用されます。アップグレードする場合は、以下のように手動でこれらの編集を適用する必要があります。

┌──(kali㉿kali)-[~]
└─$ cp -i /etc/skel/.{bash,zsh}rc ~/


ブラウザのランディングページを刷新

このリリースでは、Kali に同梱されているデフォルトのランディングページの外観が新しくなりました。刷新されたドキュメントサイト (Kali-DocsKali-Tools) を活用し、検索機能は Kali Linux を使って必要なものをほとんど見つけるのに役立ちます!


「kali-linux-everything」イメージ: 全てが一つの場所に

今回のリリースでは、新しいフレーバーとして「kali-linux-everything」イメージが追加されました。これにより、Kali のすべてのツールがプリインストールされた完全なオフラインのスタンドアロン イメージ (ISO) を使用できるようになります。これまでと異なり、ユーザーはネットワークミラー経由で Kali のセットアップ中に "kali-linux-everything" パッケージをダウンロードする必要がありません。サイズが大きくなるため (~2.8GB から ~9.4GB) 、これらのイメージは、トラフィックを処理するために設計された技術である BitTorrent を使用してのみ、最初に提供される予定です。さらに、パッケージの数が増えるため、Kali のインストールにも時間がかかるようになります。

もし、あなたが自分のやっていることを理解し、これが好きだと思えるなら、Torrent を入手して試してみてください。

Kali のパッケージのグループ化について詳しく知りたい方は、メタパッケージについてのドキュメントをご覧ください。

現時点では、既知の制限のため、Kaboxerアプリケーションは含まれません。


Kali-Tweaks: Legacy SSH Made Easy

kali-tweaks Hardening セクションに新しい設定があります! Kali の SSH クライアントを Wide Compatibility (古いアルゴリズムと暗号を有効にする) に設定できるようになりました。そのおかげで、それらを使用する古いサーバへの接続が簡単になり、コマンドラインで明示的に追加のオプションを渡す必要がなくなりました。

この設定の目的は、脆弱なSSHサーバを発見しやすくすることで、先に説明したように、より多くの潜在的な攻撃面を開くことができます(これは、最近のペンテストにより、無停電電源装置がネットワークを完全に破壊する足がかりを与えてくれたことがきっかけでした)。

OpenSSLSamba とは異なり、この弱体化した動作はデフォルトでは有効になっていないことに注意してください。したがって、この設定に興味がある場合は、kali-tweaks を実行し、Hardening セクションに入り、そこで有効にする必要があります。

現在のHardening画面はこんな感じです。


VMware i3 の改善点

i3 デスクトップ環境 (kali-desktop-i3) のゲスト VM で Kali を使用しているユーザは、VMware のホスト-ゲスト機能 (ドラッグ&ドロップ、コピー&ペーストなど) がデフォルトでは有効になっておらず、手動で行う必要がありました。これは現在修正されており、何もする必要はなく、箱から出してすぐに使えるはずです。これは i3-wm 4.20.1-1 パッケージで有効になりました。


Accessibility: Talk To Me

私たちは常に、できるだけ多くのKaliユーザーをサポートするよう心がけてきました。これは、初期のリリースから今日に至るまで同じです。

目の不自由なユーザーを支援するために、Kaliのセットアップに音声合成が戻ってきたことを喜んでいます。Kali 2021.4 をリリースしたとき、インストーラのサウンドが壊れました。これは、サウンドドライバのパッケージングバグによるもので、残念ながらこの問題はしばらく気づかれませんでした。これは現在修正されています。この問題を報告してくれた isfr8585 に大感謝です!


Kaliの新しいツール

数々のパッケージのアップデートの間に、様々な新しいツールが追加されています! ネットワークレポジトリに追加されたものを簡単に紹介します。

  • dnsx - 高速で多目的な DNS ツールキット。複数の DNS クエリを実行可能

  • email2phonenumber - ターゲットのメールアドレスを知っているだけで電話番号を取得する OSINT ツール

  • naabu - 信頼性とシンプルさにフォーカスした高速なポートスキャナ

  • nuclei - テンプレートに基づくターゲットスキャン

  • PoshC2 - プロキシを意識したC2フレームワークで、ポストエクスプロイトとラテラルムーブメントを実現。

  • proxify - HTTP/HTTPSトラフィックのキャプチャ、操作、およびリプレイを外出先で行うためのスイスアーミーナイフ型プロキシツール。

ProjectDiscoveryの仕事とツールにエールを送ります。


Kali Linux 2022.1 のダウンロード

何を待っているのでしょうか?もうダウンロードを始めてください。

Kali Linux のベテランユーザはすでにご存じでしょうが、そうでない方のために、私たちは同様に利用できるウィークリービルドを作成しています。もし、次のリリースを待てず、イメージをダウンロードする際に最新のパッケージ(またはバグフィックス)が欲しい場合は、代わりにウィークリーイメージを使用することができます。この方法では、行うべきアップデートが少なくなります。ただ、これらは自動ビルドであり、私たちの標準リリースイメージのような QA を行っていないことをご承知おきください。しかし、これらのイメージに関するバグレポートは喜んでお受けします!なぜなら、次回のリリースまでに問題が修正されることを望んでいるからです。

既に Kali Linux をインストールしている場合、いつでもクイックアップデートができることを忘れないでください。

┌──(kali㉿kali)-[~]
└─$ echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

┌──(kali㉿kali)-[~]
└─$ sudo apt update && sudo apt -y full-upgrade

┌──(kali㉿kali)-[~]
└─$ cp -rbi /etc/skel/. ~

┌──(kali㉿kali)-[~]
└─$ [ -f /var/run/reboot-required ] && sudo reboot -f

これでKali Linux 2022.1が起動したはずです。そして簡単なチェックをすることができます。

┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2022.1"
VERSION_ID="2022.1"
VERSION_CODENAME="kali-rolling"

┌──(kali㉿kali)-[~]
└─$ uname -v
#1 SMP Debian 5.15.15-2kali1 (2022-01-31)

┌──(kali㉿kali)-[~]
└─$ uname -r
5.15.0-kali3-amd64

注:uname -r の出力は、システムのアーキテクチャによって異なる場合があります。

いつものように、Kali のバグに遭遇した場合は、バグトラッカーにレポートを提出してください。私たちは、壊れていることを知らないものを修正することはできません! また、Twitterはバグトラッカーではありません

もっと簡単に最新情報を知りたいですか?私たちのブログRSSフィードニュースレターがあります!