Active Directory防衛ガイド&ツール / Active Directory Kill Chain Attack & Defense – A Complete Guide & Tools


ここでは、攻撃者がActive Directoryを侵害するために利用している戦術、技術、手順(TTPs)、および緩和、検出、予防のためのガイダンスを詳しく説明します。

探索

SPN Scanning

Data Mining

User Hunting

LAPS

AppLocker

Active Directory Federation Services


特権昇格

Abusing Active Directory Certificate Services

PetitPotam

Zerologon

Passwords in SYSVOL & Group Policy Preferences

MS14-068 Kerberos Vulnerability

DNSAdmins

Kerberos Delegation

Unconstrained Delegation

Constrained Delegation

Resource-Based Constrained Delegation

Insecure Group Policy Object Permission Rights

Insecure ACLs Permission Rights

Domain Trusts

DCShadow

RID

Microsoft SQL Server

Red Forest

Exchange

NTLM Relay & LLMNR/NBNS

ラテラルムーブメント

Microsoft SQL Server Database links

Pass The Hash

System Center Configuration Manager (SCCM)

WSUS

Password Spraying

Automated Lateral Movement

防衛回避

In-Memory Evasion

Endpoint Detection and Response (EDR) Evasion

OPSEC

Microsoft ATA & ATP Evasion

PowerShell ScriptBlock Logging Bypass

PowerShell Anti-Malware Scan Interface (AMSI) Bypass

Loading .NET Assemblies Anti-Malware Scan Interface (AMSI) Bypass

AppLocker & Device Guard Bypass

Sysmon Evasion

HoneyTokens Evasion

Disabling Security Tools

Credential Dumping

NTDS.DIT Password Extraction

SAM (Security Accounts Manager)

Kerberoasting

Kerberos AP-REP Roasting

Windows Credential Manager/Vault

DCSync

LLMNR/NBT-NS Poisoning

Others


持続性

Golden Ticket

SID History

Silver Ticket

DCShadow

AdminSDHolder

Group Policy Object

Skeleton Keys

SeEnableDelegationPrivilege

Security Support Provider

Directory Services Restore Mode

ACLs & Security Descriptors

Tools & Scripts

  • Certify – Certify is a C# tool to enumerate and abuse misconfigurations in Active Directory Certificate Services (AD CS).
  • PSPKIAudit – PowerShell toolkit for auditing Active Directory Certificate Services (AD CS).
  • PowerView – Situational Awareness PowerShell framework
  • BloodHound – Six Degrees of Domain Admin
  • Impacket – Impacket is a collection of Python classes for working with network protocols
  • aclpwn.py – Active Directory ACL exploitation with BloodHound
  • CrackMapExec – A swiss army knife for pentesting networks
  • ADACLScanner – A tool with GUI or command linte used to create reports of access control lists (DACLs) and system access control lists (SACLs) in Active Directory
  • zBang – zBang is a risk assessment tool that detects potential privileged account threats
  • SafetyKatz – SafetyKatz is a combination of slightly modified version of @gentilkiwi’s Mimikatz project and @subTee’s .NET PE Loader.
  • SharpDump – SharpDump is a C# port of PowerSploit’s Out-Minidump.ps1 functionality.
  • PowerUpSQL – A PowerShell Toolkit for Attacking SQL Server
  • Rubeus – Rubeus is a C# toolset for raw Kerberos interaction and abuses
  • ADRecon – A tool which gathers information about the Active Directory and generates a report which can provide a holistic picture of the current state of the target AD environment
  • Mimikatz – Utility to extract plaintexts passwords, hash, PIN code and kerberos tickets from memory but also perform pass-the-hash, pass-the-ticket or build Golden tickets
  • Grouper – A PowerShell script for helping to find vulnerable settings in AD Group Policy.
  • Powermad – PowerShell MachineAccountQuota and DNS exploit tools
  • RACE – RACE is a PowerShell module for executing ACL attacks against Windows targets.
  • DomainPasswordSpray – DomainPasswordSpray is a tool written in PowerShell to perform a password spray attack against users of a domain.
  • MailSniper – MailSniper is a penetration testing tool for searching through email in a Microsoft Exchange environment for specific terms (passwords, insider intel, network architecture information, etc.)
  • LAPSToolkit – Tool to audit and attack LAPS environments.
  • CredDefense – Credential and Red Teaming Defense for Windows Environments
  • ldapdomaindump – Active Directory information dumper via LDAP
  • SpoolSample – PoC tool to coerce Windows hosts authenticate to other machines via the MS-RPRN RPC interface
  • adconnectdump – Azure AD Connect password extraction
  • o365recon – Script to retrieve information via O365 with a valid cred
  • ROADtools – ROADtools is a framework to interact with Azure AD. I
  • Stormspotter – Stormspotter creates an “attack graph” of the resources in an Azure subscription.
  • AADInternals – AADInternals is PowerShell module for administering Azure AD and Office 365
  • MicroBurst: A PowerShell Toolkit for Attacking Azure – MicroBurst includes functions and scripts that support Azure Services discovery, weak configuration auditing, and post exploitation actions such as credential dumping.

Ebooks

Cheat Sheets

Other Resources

Azure Active Directory

Defense & Detection

Tools & Scripts

  • Invoke-TrimarcADChecks – Invoke-TrimarcADChecks.ps1 PowerShellスクリプトは、Active Directoryセキュリティアセスメント(ADSA)を実行するために、単一ドメインのADフォレストからデータを収集するように設計されています。
  • Create-Tiers in AD – プロジェクト名 Active Directory あらゆる環境におけるTierの自動配置を行います。
  • SAMRi10 – Hardening SAM Remote Access in Windows 10/Server 2016
  • Net Cease – Hardening Net Session Enumeration
  • PingCastle – A tool designed to assess quickly the Active Directory security level with a methodology based on risk assessment and a maturity framework
  • Aorato Skeleton Key Malware Remote DC Scanner – Remotely scans for the existence of the Skeleton Key Malware
  • Reset the krbtgt account password/keys – This script will enable you to reset the krbtgt account password and related keys while minimizing the likelihood of Kerberos authentication issues being caused by the operation
  • Reset The KrbTgt Account Password/Keys For RWDCs/RODCs
  • RiskySPN – RiskySPNs is a collection of PowerShell scripts focused on detecting and abusing accounts associated with SPNs (Service Principal Name).
  • Deploy-Deception – A PowerShell module to deploy active directory decoy objects
  • SpoolerScanner – Check if MS-RPRN is remotely available with powershell/c#
  • dcept – A tool for deploying and detecting use of Active Directory honeytokens
  • LogonTracer – Investigate malicious Windows logon by visualizing and analyzing Windows event log
  • DCSYNCMonitor – Monitors for DCSYNC and DCSHADOW attacks and create custom Windows Events for these events
  • Sigma – Generic Signature Format for SIEM Systems
  • Sysmon – System Monitor (Sysmon) is a Windows system service and device driver that, once installed on a system, remains resident across system reboots to monitor and log system activity to the Windows event log.
  • SysmonSearch – Investigate suspicious activity by visualizing Sysmon’s event log
  • ClrGuard – ClrGuard is a proof of concept project to explore instrumenting the Common Language Runtime (CLR) for security purposes.
  • Get-ClrReflection – Detects memory-only CLR (.NET) modules.
  • Get-InjectedThread – Get-InjectedThread looks at each running thread to determine if it is the result of memory injection.
  • SilkETW – SilkETW & SilkService are flexible C# wrappers for ETW, they are meant to abstract away the complexities of ETW and give people a simple interface to perform research and introspection.
  • WatchAD – AD Security Intrusion Detection System
  • Sparrow – Sparrow.ps1 was created by CISA’s Cloud Forensics team to help detect possible compromised accounts and applications in the Azure/m365 environment.
  • DFIR-O365RC – The DFIR-O365RC PowerShell module is a set of functions that allow the DFIR analyst to collect logs relevant for Office 365 Business Email Compromise investigations.
  • AzureADIncidentResponse – Tooling to assist in Azure AD incident response
  • ADTimeline – The ADTimeline script generates a timeline based on Active Directory replication metadata for objects considered of interest.

Sysmon Configuration

  • sysmon-modular – A Sysmon configuration repository for everybody to customise
  • sysmon-dfir – Sources, configuration and how to detect evil things utilizing Microsoft Sysmon.
  • sysmon-config – Sysmon configuration file template with default high-quality event tracing

Active Directory Security Checks (by Sean Metcalf – @Pyrotek3)

General Recommendations

  • Manage local Administrator passwords (LAPS).
  • Implement RDP Restricted Admin mode (as needed).
  • Remove unsupported OSs from the network.
  • Monitor scheduled tasks on sensitive systems (DCs, etc.).
  • Ensure that OOB management passwords (DSRM) are changed regularly & securely stored.
  • Use SMB v2/v3+
  • Default domain Administrator & KRBTGT password should be changed every year & when an AD admin leaves.
  • Remove trusts that are no longer necessary & enable SID filtering as appropriate.
  • All domain authentications should be set (when possible) to: “Send NTLMv2 response onlyrefuse LM & NTLM.”
  • Block internet access for DCs, servers, & all administration systems.

Protect Admin Credentials

  • No “user” or computer accounts in admin groups.
  • Ensure all admin accounts are “sensitive & cannot be delegated”.
  • Add admin accounts to “Protected Users” group (requires Windows Server 2012 R2 Domain Controllers, 2012R2 DFL for domain protection).
  • Disable all inactive admin accounts and remove from privileged groups.

Protect AD Admin Credentials

  • Limit AD admin membership (DA, EA, Schema Admins, etc.) & only use custom delegation groups.
  • ‘Tiered’ Administration mitigating credential theft impact.
  • Ensure admins only logon to approved admin workstations & servers.
  • Leverage time-based, temporary group membership for all admin accounts

Protect Service Account Credentials

  • Limit to systems of the same security level.
  • Leverage “(Group) Managed Service Accounts” (or PW >20 characters) to mitigate credential theft (kerberoast).
  • Implement FGPP (DFL =>2008) to increase PW requirements for SAs and administrators.
  • Logon restrictions – prevent interactive logon & limit logon capability to specific computers.
  • Disable inactive SAs & remove from privileged groups.

Protect Resources

  • Segment network to protect admin & critical systems.
  • Deploy IDS to monitor the internal corporate network.
  • Network device & OOB management on separate network.

Protect Domain Controller

  • Only run software & services to support AD.
  • Minimal groups (& users) with DC admin/logon rights.
  • Ensure patches are applied before running DCPromo (especially MS14-068 and other critical patches).
  • Validate scheduled tasks & scripts.

Protect Workstations (& Servers)

  • Patch quickly, especially privilege escalation vulnerabilities.
  • Deploy security back-port patch (KB2871997).
  • Set Wdigest reg key to 0 (KB2871997/Windows 8.1/2012R2+): HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWdigest
  • Deploy workstation whitelisting (Microsoft AppLocker) to block code exec in user folders – home dir & profile path.
  • Deploy workstation app sandboxing technology (EMET) to mitigate application memory exploits (0-days).

Logging

  • Enable enhanced auditing
  • “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings”
  • Enable PowerShell module logging (“*”) & forward logs to central log server (WEF or other method).
  • Enable CMD Process logging & enhancement (KB3004375) and forward logs to central log server.
  • SIEM or equivalent to centralize as much log data as possible.
  • User Behavioural Analysis system for enhanced knowledge of user activity (such as Microsoft ATA).

Security Pro’s Checks

  • Identify who has AD admin rights (domain/forest).
  • Identify who can logon to Domain Controllers (& admin rights to virtual environment hosting virtual DCs).
  • Scan Active Directory Domains, OUs, AdminSDHolder, & GPOs for inappropriate custom permissions.
  • Ensure AD admins (aka Domain Admins) protect their credentials by not logging into untrusted systems (workstations).
  • Limit service account rights that are currently DA (or equivalent).


従業員のストレスと、セキュリティにおける内部脅威の関係 / Stress prompts employees to break cybersecurity policies


内部脅威というと、不満を抱えた従業員が雇用主や上司に怒りをぶつける、というイメージが一般的です。しかし、セントラルフロリダ大学の研究によると、このようなケースはめったにないことが分かっています。

サイバーセキュリティへの投資は、パンデミック時の攻撃の急増に直面して大幅に増加しましたが、多くの場合、この投資はデータやシステムの安全を確保するための技術に集中しています。このような投資は価値がありますが、どのようなシステムにおいても最も脆弱なのは、ほぼ間違いなく私たち人間です。著者らは、組織がサイバーセキュリティのトレーニングを行う場合、内部脅威の攻撃は悪意を持って行われるという暗黙の前提が存在することが多いことを強調しています。

しかし、現実には、従業員が会社のサイバーセキュリティプロセスを遵守できないのは、ストレスが原因である可能性が高いのです。研究者たちは、武漢ウイルスのパンデミック時にリモートで勤務していた約330人の従業員にクイズを行いました。従業員は、会社のサイバーセキュリティポリシーを遵守しているか、ストレスレベルなどとともに尋ねられました。

さらに、パンデミックの影響でリモートワークに移行したことがサイバーセキュリティにどのような影響を与えたかについて、36名の従業員に詳細なインタビューを実施しました。その結果、セキュリティポリシーの遵守はかなり断続的であることがわかりました。実際、典型的な勤務日において、参加者の67%が少なくとも一度は公式のサイバーセキュリティポリシーを回避したことがあると答え、任意のタスクにおいて回避する確率は5%でした。

このような規模の違反が、上司や会社に対する広範な不満によって引き起こされるとは考えにくいことは、おそらく自明であり、研究者は実際にそれを発見した。実際、セキュリティ・プロトコルを回避した理由を尋ねたところ、最も多かった回答は、自分自身や同僚のために、そうすることで物事をうまく処理することができるから、というものでした。この理由は、意図的なセキュリティルール違反の約85%を占めた。一般的な認識とは異なり、損害を与えたいという意図的な欲求は、セキュリティ違反の3%に過ぎませんでした。つまり、悪意のない違反は、意図的な悪意のある違反の約28倍もあることになります。

重要なことは、比較的穏やかな違反は、従業員がストレスに苦しんでいる日にはるかに多く見られたということです。このことは、ストレスにさらされることで、やるべきことができなくなると認識されると、ルールを守ろうとする気持ちが弱まることを強く示唆しています。

ストレスの原因はよく言われることで、家族の要求、仕事の不安、同僚との衝突、さらにはサイバーセキュリティの規則そのものの要求などがあります。しかし、仕事をする上で直面するプレッシャーと、サイバーセキュリティの規定がその仕事を阻害しているという考えとの間には、明確な関連性が見られました。規則に従うと、仕事を完了するのに多くの時間や労力を要すると感じることが多く、また、規則のせいで自分が監視されているように感じ、信頼できないと不満を漏らす従業員もいました。

この調査結果は、インサイダー脅威が悪意ある意図的なものであることは少なく、むしろトレーニングの欠如や、できるだけ早く物事を終わらせたいという強いプレッシャーによるものであることを気づかせてくれます。

リスクを減らすには?

では、ガイドラインの遵守、ひいてはシステムのセキュリティを向上させるために、管理者は何をすればよいのでしょうか。まず、セキュリティ違反の圧倒的多数が意図的であり、良性であることを認識することが大切です。サイバーセキュリティのトレーニングは、それを基本に、セキュリティを維持しながら業務を遂行する方法を従業員に伝える必要があります。

また、セキュリティポリシーに違反したときには、自信を持って発言してもらうことも重要です。そうすることで、より早く問題に対処し、セキュリティリスクを低減することができます。

「従業員がミスをしたとき、人々はどのように反応するのか」とカスペルスキーのクリス・ハーストは言います。「社員がミスをした場合、そのことをオープンにし、起こりうるリスクに対して何かできる人にエスカレートさせるだけの自信を持つことが非常に重要です。」

また、セキュリティ規則の作成には、一般の従業員も参加することが望ましいと思います。そうすることで、従業員の業務を阻害するような規則は作られず、その結果、従業員は回避策を見つけようとし、規則自体の有効性が低下するのを防ぐことができるのです。規則が人々の業務にどのような影響を与えるかをより良く理解することで、セキュリティチームはより良い遵守の機会を得ることができます。これは、リモートワークに移行し、異なる働き方をする人々が増えているため、特に重要なことです。

もちろん、従業員のストレスやプレッシャーに対処することも悪いことではありませんが、この調査から得られる重要なポイントは、仕事の設計方法とサイバーセキュリティの設計方法が本質的に関連していることです。サイバー攻撃は増加傾向にあり、ほとんどの組織に影響を与えているため、インサイダー脅威は仕事とセキュリティ規則の設計の仕方が悪いせいだと考えるのはもはや十分ではありません。このことを理解することで、私たちは前向きな前進を始めることができるのではないでしょうか。

13万ドルで市民権が得られる「サトシ島」 / Satoshi Island: 'Crypto paradise' where citizenship costs $130,000


サトシ島は3200万平方フィートのプライベートアイランドで、手つかずの海、一年中降り注ぐ日光、モジュール式の家、そして分散型民主主義の約束が手に入るのです。

サトシ島はフィクションではなく、暗号資産コミュニティに捧げられた現実のプライベートアイランドなのです。

2023年から始まる、暗号通貨好きが集う場所

オーストラリアとフィジーの間に位置する熱帯の楽園バヌアツにあるこの島は、Satoshi Island Holdings Ltd.によって所有され、「世界の暗号資産の首都」として、暗号資産の愛好家や専門家が繁栄する場所にすることを意図しているそうです。

この島の名前は、ビットコイン(BTC)の開発者とされるサトシ・ナカモトにちなんでいる。

「バヌアツ首相と財務大臣から認可を受け、何年もの準備期間を経て、サトシ島は暗号資産経済とブロックチェーンベースの民主主義を実現するための準備が整いました」と同社は述べており、将来的には「分散型自治組織」として運営されることを予見しています。

先週行われたCointelegraphのインタビューで、デニス・トロヤック、ジェームズ・ロー、タラス・フィラトフ、ベンジャミン・ネロのSatoshi Islandチームは、この暗号資産の楽園は、すべてが暗号通貨で支払い、購入できる「真の暗号資産経済」になると述べています。この島の資産の所有権はすべて、ブロックチェーンを利用したNon-Fungible Token(NFT)で表現される予定です。

現在、モジュール式住宅を建設中で、2023年から世界に門戸を開く予定です。


「現実に映し出されたメタバース」

NFTのようないわゆるモジュール式住宅が、デジタル世界だけに存在すると思ってはいけないのです。すべての住宅は「Satoshi Island Land NFT」となり、NFTのように取引することができるのです。

「サトシアイランドは、デジタルの所有権をフィジカルに変える方法を導入し、NFTの進化における次のステップを踏み出そうとしています」と同社は説明します。

"従来の不動産の譲渡に伴う複雑な手続きなしに、簡単に売買できるSatoshi Island Land NFTを取得することで、誰でも島の一部を所有することができます。"

しかし、NFTの保有者は、バヌアツの公式な土地登記簿で、デジタルな権利を物理的な文書に変えることができると、創設者は説明しています。

そして、これだけでは終わりません。この島の壮大な計画には、暗号資産に焦点を当てたイベントを一年中開催し、暗号資産プロジェクトを収容し、世界中の暗号資産愛好家のために場所を集めることも含まれています。

市民権NFTは無料、市民権取得には13万ドルかかります

Satoshi Islandの創設者は、「永住権を持つ居住者」になりたい世界中の暗号愛好家から、5万件を超えるビザ nonfungible token (NFT) 申請が殺到していると述べています。

そして、Satoshi IslandのNFT「市民」になった人々は、さらに、2022年の第4四半期に設定された初期の「プライベートオープニング」を楽しむことができます。これは、島の国境がNFT市民権保持者に短期間の旅行で開放される時です。


また、NFT市民は、島を統治する政策について投票する権利を得ます。1つの財布に1つの市民権を持つことができ、そのNFTは1票としてカウントされます。また、NFT Mints & Airdropsは、このような市民に与えられるもう一つの特典です。「市民権NFTを保有するアドレスは、自動的にホワイトリストに登録され、Satoshi IslandのすべてのNFTミントとエアドロップに早くアクセスできるようになります」と同社は説明します。

ただし、ビザや市民権のNFTは、それ自体が、政府による別のビザ手続きを伴う島への移住許可を表すものではなく、またそれ自体でもないことに注意してください。

サトシ島NFTの市民権は誰でも今日から申請できますが、それは口語で理解されている「市民権」という言葉と混同しないでください。

島のウェブサイトには「サトシ島民権NFTはバヌアツの市民権とは関係ありません」と明記されており、同社はその事実を補強する説明文をツイートしています。

バヌアツ共和国への入国が許可されており、政府発行の有効なビザ、またはバヌアツへのビザなし渡航を許可している130カ国のパスポートを所持していれば、サトシ島の市民権NFTを所有しているかどうかにかかわらず、誰でも入国できるものとします。

バヌアツ共和国は、投資ルートによる市民権申請手続きを別途行っており、その費用は申請者一人につき最低でも130,000米ドルかかります

「"サトシ島市民権NFT "と "バヌアツ市民権 "は別物であることを覚えておいてください。しかし、バヌアツには、第二のパスポートを求める人々のために、定評ある投資による市民権プログラムがあります」と、島チームは説明します。

このプログラムを利用する場合、Satoshi Island Citizenship NFTは、バヌアツ投資移住局の迅速な手続きを利用することができます。

しかし、暗号通貨やNFTのような不安定な金融資産を扱う新規事業は、バヌアツ首相の承認を得たとはいえ、実現しないことも含め、常に固有のリスクを伴います。

2022年1月には、Crypolandと同様のベンチャー企業、「暗号通貨愛好家のための熱帯の楽園」が、1200万ドルの取引でフィジーのリゾートを確保できず、破綻している。

さらに、バヌアツ政府の政策により、「NFT市民」にどのような法的保証や権利が与えられるのか、まだわかっていません。このように、Satoshi Islandの壮大な計画が実現するまでは、お金を払っても受け取れない商品やサービスによって損をするリスクがあります。

出典:Satoshi Island: 'Crypto paradise' where citizenship costs $130,000:

週刊OSINT 2022-12号 / Week in OSINT #2022-12

 

ディープなフェイク検出から衛星画像まで、OSINTの世界からのニュースを少しずつ紹介します。

今回紹介するv7labsの「Fake Profile Detector」のように、試してみたくなるような新しいツールが登場することがあります。しかし、AIが生成したさまざまな写真でそれをテストしているうちに、その正体が見えてきたのです。ただ、ひとつのことをきちんとこなすツールに過ぎないのです。他のツールと同様に、それが何のために設計され、どのように動作するのかを知り、その結果を手動で検証する方法をよく理解しておくことが重要です。もしツールが壊れたり、結論が出なかったり、間違った結果を出したりしたら、調査員がその結果を無視して引き継ぐしかないのですから。読者であるあなたが、このメルマガを見て、検証もせずに、ここで取り上げたツールを使い始める時には、そのことを決して忘れないでください。それはさておき、今号の概要を見てみましょう。

  • Fake Profile Detector
  • Using Tools
  • Scrcpy
  • Downloading YouTube Videos
  • Farearth Observer
  • Satellite Imagery
  • Python Tools

ツール: Fake Profile Detector

前号、Micah Hoffmanは、プロフィール写真の真偽を確認するのに役立つChrome拡張機能のリンクを紹介しました。この拡張機能は、確認が必要な写真のURLをv7labsに送信し、その後、小さなポップアップがその写真が生成されたものか、本物であるかを教えてくれます。この拡張機能は StyleGAN で作成された写真に対してのみ機能することに注意してください。引用します。

”免責事項:このAIモデルは、実際には存在しない人物の偽の顔を生成するために使用されるStyleGAN画像に対してのみ動作します。動画ディープフェイクや顔交換は検出できません。"

ThisPersonDoesNotExist からの写真は問題なく検出されましたが、同じく StyleGAN を使用していると主張する Face Generator からの写真では、いくつかの問題が発生しました。5人の男性と5人の女性の顔をテストしましたが、生成された顔を検出できたのは2回だけでした。このように、StyleGANは完璧なものではありませんので、結果は慎重に判断してください。時間が経てば改善されるかもしれませんが、それに依存するのはやめましょう。


小技: ツールの使い方、頼り方

注意:
タスク自動化ツールを扱う場合、そのプロセスを知ることが重要です。データをその場で取得し、検証可能な方法で保存するための単純なコマンドやツールであれば問題ありません。しかし、ツールやサービスが、ある結論に至った経緯を示すことなく、分析や情報提供をしている場合、オリジナルの調査結果を裏付ける別の情報源を見つけるか、必要な手順を踏んで手作業で検証することが必要です。検証ができない場合は、レポートに追加するかを考える必要があります。常にそのような扱いをするようにしてください。でなければ裏付けとなる証拠、あるいは裁判のための証拠としては不十分と見なされるでしょう。

今回は、一般的なツールの使い方と、それに対する個人的なアドバイスについて書きたいと思います。オープンソースのPythonスクリプトでも、ウェブベースのツールでも、あるいはオンラインサービスやプラットフォームでもかまいません。何を使うにしても すべてを検証してください。

なぜこのようなことを言うかというと、専門家の判断や他の人の矛盾した結果よりも、道具とその結果を信じてしまう人を何度も見てきたからです。そのようなことがないように、必ず検証してください。「検証」という言葉の意味について、Oxford Dictionaryに書かれていることを見てみましょう。

"何かの真実、正確さ、妥当性を立証するプロセス"

もし、あなたがある主張の真実や正確さ、妥当性を求めていないのなら、何を求めているのでしょうか?検証しなければ、調査プロセス全体の重要なステップがスキップされてしまうのです。これは、あなたがTwitterで自分のスキルを誇示したいのか、調査ジャーナリストとして記事を書いているのか、あるいは何らかの法的な立場でこの分野に携わっているのかに関係ありません。調査をするときは、必ずすべてを確認すること。それは通常、人を巻き込むので、根拠のない主張でその人たちを判断するのは、単にあなたの判断ではありません! なぜなら、調査結果が公表されると元に戻せなくなり、その影響は壊滅的なものになるからです。「猫イジメに断固NO!: 虐待動画の犯人を追え」をもう一度見て、南アフリカの無実の男性がどのようになったかに注目してください。

最後に、実際によく目にする失敗例を紹介しましょう。ユーザーは、NamecheckrInstantusernameなどのオンラインツールを使って、複数のプラットフォームでユーザーを見つけることができるかどうかをチェックすることがよくあります。WhatsMyNameのような、アカウントの存在を確認するのに適したツールでさえ、完全に安全というわけではありません。WhatsMyNameのようなツールで、特定のユーザー名が見つかるウェブサイトのリストが表示されても、そのリストをそのままレポートにコピー・ペーストすることは絶対にしないでください。なぜなら、それらのサイトは、アカウントが存在するという証拠を提供するのではなく、ヒットしそうに見せかけるだけだからです。

ツールやサイトの結果を鵜呑みにせず、すべて検証すること。また、アカウントが存在する場合でも、探している人物と同一人物であることを確認する必要があります。そうしないと、何人も何十人もの人を追いかけてしまうことになります。


ツール: Scrcpy

少し前に、ある方からバーチャルフォンについて、どのように機能しているのか、という質問を受けました。バーチャルフォンをいくつか持っていても、Snapchatのようなアプリを動かすという課題があったりするんです。だから、私は初日からいくつかの物理的な携帯電話を使っています。そして、これまでのところ、私にとって最もシンプルに使えるツールのひとつが、Genymotionの「srcpy」です。これは、接続されているあらゆるAndroidデバイスをキャプチャして制御することができ、画面に表示されているものをそのままキャプチャすることができるんです。


サイト: Downloading YouTube Videos

Zewenは、YouTubeから高画質の動画をダウンロードする方法について、情報を提供しました。URLにppを追加して、youtube.comyoutubepp.comに変更すると、y2mateというサイトにリダイレクトされ、すぐに好きな画質で動画をダウンロードしたり、音声だけを取り出してMP3としてダウンロードしたりすることができます。


サイト: Farearth Observer

wisdomという人が、OSINTCurious Discordですごいリンクをシェアしていました。Farearth Observerというサイトでは、人工衛星をリアルタイムで追跡しているのですが、その飛行を録画したものへのリンクもあります。任意の記録を選択し、ポップアップすると、都市の人口情報を含む画像が画面上に表示されます。解像度は高くありませんが、ほぼリアルタイムの画像情報が必要な人や、時間つぶしに最適なリソースです。


小技: Satellite Imagery

衛星画像について、Julia Bayerがいくつかの知識とコツを教えてくれました。このTwitterのスレッドでは、光学衛星とレーダー衛星の違いを説明し、誰もが衛星画像の世界に飛び込むことができるサイトやソースを紹介しています。


リンク: Python Tools

Ritu GillCyber Training Internationalでトレーニングを行っており、いくつかのStart.meのページをオンラインで共有しています。そのうちのひとつが、Pythonツールのリストです。実際には'Linux Tools'と呼ばれていますが、ざっと見たところ、これらのほとんどは単にPythonベースのツールで、おそらくWindowsでも問題なく動作することがわかりました。ソーシャルメディアからデジタルアセットまで、あらゆる種類のスクリプトが集められています。


出典:Week in OSINT #2022-12

ループイフダン利益・相場まとめ2022年3月




出典:ループイフダン利益・相場まとめ2022年3月【アイネット証券】:

セキュリティ担当者の価値 / How Do I Demonstrate the ROI of My Security Program?


セキュリティチームは、「ノー」と言うことから脱却し、セキュリティの取り組みをビジネス目標に整合させ、ビジネスリーダーが理解できる方法で指標を報告する必要があります。

セキュリティのROIを実証するには?

セキュリティプログラムのROIを実証する際、セキュリティチームが行うべきことは3つあります。

1つ目は、セキュリティの役割を "NOのオフィス "とする認識を改めることです。セキュリティ・プログラムの役割は、リスクを排除することではなく、ビジネスがリスクを取れるようにすることであることを受け入れる必要があります。例えば、ある企業がリスクの高い国、リスクの高いサイバー法、リスクの高いオペレーターのいる国で事業を立ち上げる必要がある場合、ほとんどのセキュリティ・チームは、すぐに「ノー」と言うでしょう。しかし、実際には、サイバーセキュリティの脅威を特定、検出、対応することができる健全なセキュリティ・プログラムを構築することによって、企業がリスクを負うことを可能にすることが、セキュリティ・チームの仕事なのです。企業のリーダーは、セキュリティ・チームが自分たちのビジネス目標の達成を支援しようとしていることを知れば、強力なサイバーセキュリティ・プログラムの価値をより理解することができるようになるのです。

同様に、サイバーセキュリティ・チームは、自社のビジネス目標を理解し、それに基づいてセキュリティ対策を行う必要があります。多くのセキュリティチームが、自分たちのセキュリティ対策をビジネスの優先事項として押し付けようとしていますが、実際には、その対策がビジネスにとってマイナスになる可能性もあります。例えば、使用済みオペレーティング・ソフトウェアが稼働しているラインの生産性を向上させることがビジネス目標だとします。セキュリティ専門家の中には、攻撃によるダウンタイムを防ぐために、セキュリティ管理を強化しようとする人もいます。しかし、このアプローチは生産性を向上させるものではなく、むしろ逆効果で製造効率を低下させる可能性があります。

むしろ、セキュリティ・チームは一歩下がって、製造ラインの生産性を向上させるためのセキュリティ戦略をどのように導入できるかを評価する必要があるのです。よりビジネスに重点を置いたアプローチとしては、ビジネスの回復力目標をサポートするために、より優れた識別と対応策を構築し、製造環境を隔離するデバイスへのアラートの忠実度を高め、サイバー攻撃に備えるためにインシデント対応や危機対応演習をより頻繁に行うことなどが挙げられます。CEO と CFO が最大のビジネス推進要因として認識しているものを理解し、サイバーセキュリティ戦略をそれらの推進要因に合わせることは、最終的にサイバーが収益性の高いビジネス目標に結びついているという認識と関連し、サイバー支出に対する ROI を増加させることに繋がります。

最後に、サイバーチームは、ビジネスリーダーが理解できるような方法で、自分たちの指標を報告する方法を考えなければなりません。例えば、セキュリティ・チームが、ビジネスを行っているリスクの高い国に起因するサイバー攻撃を何件受けたかについて報告することが挙げられます。ビジネスが利益を上げている場合、経営陣は、報告されている何千ものサイバー攻撃の可能性に直ちに影響を与えるとは考えないかもしれません。しかし、セキュリティ・チームが測定基準を少し進化させて、その特定の地域でフィッシングの対応にどれだけの時間がかかったか、USB マルウェアのために毎月どれだけのノートPCを初期化しなければならなかったか、または耐用年数の切れたOSのために生産ラインがどれだけのダウンタイムを経験したかを示すと、リスクの高い状況でこれらのサイバーセキュリティ問題を直接収益の喪失に結びつけることができるようになるのです。そして、この知識こそが、ビジネス・リーダーがセキュリティ・リスクとそれがビジネスに与える潜在的な影響、そして組織の安全を守るセキュリティの役割をよりよく理解するために必要なものなのです。

出典:How Do I Demonstrate the ROI of My Security Program?:

短縮URLの調査 / Investigate shortened URLs


OSINT調査において、短縮URLに遭遇することがある。例えば、そのような短縮URLは次のようなものです:https://bit.ly/3KNfO4K。問題は、このURLがどこにつながっているかということです。そして、これに加えて、そのURLがいつ作成されたかを知りたい場合もあるでしょう。このブログでは、短縮URLを安全に調査する方法について説明します。なぜなら、ただリンクをクリックするだけではいけないからです!

短縮URLとは?

URLとは、"Uniform Resource Locator "の略です。URLは、インターネット上の特定の場所を指します。例えば、URL "www.aware-online.com "は、インターネット上の場所であるウェブサイトを指しています。短縮URLでは、上記よりも短いURLですが、完全に転写されたURLと同じ場所を指しています。例えば、短縮URL「https://bit.ly/3KNfO4K」は、実際には「www.aware-online.com」と同じですが、短く書かれています。

URLを短縮する方法は?

URL短縮をサービスとして提供しているウェブサイトはいくつかあります。例えば、https://bitly.comhttps://tinyurl.comhttps://tiny.cchttps://cutt.lyhttps://www.shorturl.at

Bitly.comの例

短縮URLを安全に開くには?

リンクをクリックするだけでは危険だということを、皆さんは以前から知っています。確かに、Webサイトの中には、そのWebサイトにアクセスすることで実行/インストールされる悪意のあるソフトウェア(マルウェア)が含まれている場合があります。短縮URLの場合、このリスクはさらに大きくなります。結局のところ、どのウェブサイトに行き着くかはわからないのです。私たちのアドバイスは、まず、短縮URLがどこを指しているのかを確認してから、そのURLにアクセスすることです。その方法については、以下をご覧ください。

短縮URLがいつ作成されたかを知るにはどうしたらいいですか?

短縮URLの完全なURLを調べる方法は、短縮URLを作成するために使用されたウェブサイトによって異なります。例えば、「https://bit.ly/3KNfO4K」というURLに出会ったとします。URLの後に「+」を付けると、そのURLが何を指しているのかが分かります。つまり、得られるリンクは「https://bit.ly/3KNfO4K+」です。このリンク先には、以下のような情報が表示されます。これで、このURLは「https://www.aware-online.com」につながっていることがわかりましたね。


上記のように、短縮URLをどのように展開するかによって、プラットフォームが異なります。以下の表では、ウェブサイトごとに、短縮URLをどのように調査できるかを見ることができます。

Platform Shortened URL Addition Result URL
Bitly.com https://bit.ly/3KNfO4K “+” achter URL https://bit.ly/3KNfO4K+
Tinyurl.com https://tinyurl.com/3cpzwmtt “preview” before domain https://preview.tinyurl.com/3cpzwmtt
Tiny.cc https://tiny.cc/ugkpuz “=” after URL https://tiny.cc/ugkpuz=
Cutt.ly https://cutt.ly/GALu1o0 “@” after URL https://cutt.ly/GALu1o0@

しかし、プラットフォーム自体がURLを拡張する可能性を提供しない場合はどうでしょうか?その場合は、リンクを拡張してくれる他のウェブサイトを試してみることができます。例えば、これを行うウェブサイトは、Unshorten.It! (https://unshorten.it/)、URL Expander (https://urlex.org/)、CheckShortURL (https://checkshorturl.com/)があります。


最後に、URLを訪問する前に、https://www.virustotal.com のようなサービスを利用するのも有効です。このウェブサイトは、既知のマルウェアについてウェブサイトを分析し、安全にウェブサイトを訪問できるようにします。


出典:Investigate shortened URLs

2022年3月16日~31日 サイバー攻撃タイムライン / 16-31 March 2022 Cyber Attacks Timeline

ロシアのウクライナ侵攻の影響で、サイバー空間にも明らかに影響が及んでいます。ハクティビストは非常に忙しく(138件中15件、約11%がハクティビズムに関連している)、同様に138件中11件(8%)がサイバー戦争作戦に何らかの形で関連している。

しかし、その影響はこれだけにとどまりません。戦争は間違いなくサイバースパイ戦線を特徴づけており、21件(サンプルの約15%)が直接または間接的にウクライナと関連しています。UAC-0026 (AKA Scarab)、Ghostwriter、Armageddon、Curious Gorge、COLDRIVERは、ウクライナの企業を標的とした脅威者の一部に過ぎません。 合計すると、約19.7%(138件中27件)のイベントがウクライナに関連しており、これは3月後半に観測された件数の多さを端的に物語っています。

一般に、ランサムウェアの攻撃は、イベントの約16%(138件中23件)を占め、月前半の2倍の割合となりました。しかし、このサイバー犯罪の特徴は、Lapsus$がより多くの有名な被害者をリストに追加したことです。

脆弱性の悪用は、この第1四半期の重要なトレンドであり続け、このタイムラインでも、12.3%(138件中17件)が脆弱性が悪用されたために発生しています(「Spring4Shell」(CVE-2022-22963およびCVE-2022-22965)の脆弱性のおかげで世界中のシステム管理者は眠りを妨げられており、同様にフィンテック企業への攻撃も執拗に続き、これまでに観測された最高額は Ronin Network からの624万ドル(約8億円)となっています)。

日本関連は1件でした。




出典:16-31 March 2022 Cyber Attacks Timeline