Kali linuxにTorブラウザをインストールする方法

Kali linuxにTorブラウザをインストールしたのだが、一般的に紹介されている方法では使えなかったので、メモ。

ネット上の記事を見ると、sudo apt torbrouser-launcherでインストールし、torbrouser-launcherを起動することでTorブラウザが使えることになっているのだが、自分の環境でそれをやると、下記のエラーが出てしまった。

Traceback (most recent call last):
File “/usr/lib/python3/dist-packages/torbrowser_launcher/launcher.py”, line 603, in run
self.common.refresh_keyring()
File “/usr/lib/python3/dist-packages/torbrowser_launcher/common.py”, line 199, in refresh_keyring
‘–refresh-keys’], stderr=subprocess.PIPE)
File “/usr/lib/python3.7/subprocess.py”, line 800, in init
restore_signals, start_new_session)
File “/usr/lib/python3.7/subprocess.py”, line 1551, in _execute_child
raise child_exception_type(errno_num, err_msg, err_filename)
FileNotFoundError: [Errno 2] No such file or directory: ‘/usr/bin/gpg2’: ‘/usr/bin/gpg2’
Aborted

 結果的にシンプルに解決できたので、対応をメモしてきたい。

WSL2にGUI環境を構築し、Google Chromeをインストールした前提。

1.Tor公式サイトからモジュールダウンロード

2.モジュール解凍

　※モジュール名称を、tor-browser-linux64-9.5.1_en-US.tar.xzとする。

　tar -xvJf tor-browser-linux64-9.5.1_en-US.tar.xz

3.Torブラウザ起動

　モジュールを回答したフォルダのBrowserディレクトリに移動し、起動する。

　./tor-browser_en-US/Browser/start-tor-browser &

結果的にシンプルな3ステップに収まったのだが、この結論にたどり着くまでにかなりの時間を要した。

【参考】
https://www.howtogeek.com/423866/how-to-install-and-use-the-tor-browser-on-linux/

【転載】警備員が警備中に窃盗して逮捕される

【独自】ＡＬＳＯＫ警備員を逮捕、警備中「金盗んだ」｜TBS NEWS:

　警備会社ＡＬＳＯＫ東京の社員が警備中に弁護士事務所を物色したとして警視庁に逮捕されていたことが分かりました。事務所から２００万円を盗んだと見られています。

　逮捕されたのは警備会社ＡＬＳＯＫ東京の社員、梅山了太容疑者（２６）で、東京・千代田区のビルを巡回警備中に弁護士事務所を物色した疑いが持たれています。弁護士の机の中からは現金２００万円が無くなっていて、梅山容疑者は「金を盗んだ」と話しているということです。

　金が無くなった後、弁護士が事務所にカメラを設置し机を物色する制服姿の梅山容疑者の姿が写っていたことから逮捕に至りました。

　ＡＬＳＯＫ東京はＪＮＮの取材に対し、「社員が逮捕され深くお詫びします。再発防止に努めます」とコメントしています。

Kali Linuxにgoogle chromeをインストールする方法

WSL2を使ってKali Linuxをインストールし、GUIで使えるようになったのだが、WSL2のKali Linuxにはブラウザが入っていない。

そこで、google chromeのインストールを行ったのだが、説明が完結しているサイトが無かったので、メモがてらまとめておく。

1.Chrome .debパッケージダウンロード

まずは、Chrome .debパッケージをダウンロードしてくる。

入手方法は下記参照。

https://mebee.info/2020/03/28/post-7904/

尚、上記サイトにはインストールの手順が書いてあるが、拙者の環境ではコけた。

2.gdebiコマンドのインストール

aptコマンドでのインストールがこけてしまったので、依存関係も解決しながらインストール出来るgdebiコマンドのインストールを行う。

　sudo apt install gdebi

3.Chromeのインストール

gdebiコマンドを使ってChromeのインストールを行う

　sudo gdebi ~/Downloads/google-chrome*.deb

下記のサイトが参考になった。

https://tutorialforlinux.com/2020/02/06/step-by-step-google-chrome-kali-linux-2020-installation-guide/2/

【転載】OMMC姉貴ってなんだ！？

 バカッターって昔からいるが、最近もパラパラ出ているんだな。

昔は自分で投稿⇒拡散⇒炎上

って感じだったが、

最近は、友達にだけ共有⇒友達が拡散⇒炎上

てケースが多いのかな。

それにしても、マンガ動画から簡単に元ネタにたどり着けた。。。

↓↓マンガ動画↓↓

↓↓元ネタ動画↓↓

【転載】Ｓポイントメンバーサイトにおける不正アクセスと被害について

[PDF] Ｓポイントメンバーサイトにおける不正アクセスと被害について エイチ・ツー・オー リテイリング株式会社 阪急阪神ホールディングス株式会社 株式会社阪急阪神ポイント 2020年8月11日 h2o-retailing.co.jp/ja/news/news-4…:







[PDF] Ｓポイントメンバーサイトにおける不正アクセスと被害について

エイチ・ツー・オー リテイリング株式会社

阪急阪神ホールディングス株式会社

株式会社阪急阪神ポイント

2020年8月11日

h2o-retailing.co.jp/ja/news/news-4…




バックアップ

【転載】米ユタ大学がランサムウェアに感染し、457,000USDを払う

ユタ大学はランサムウェアに見舞われ、$457Kの身代金を支払う:

ユタ大学は、ランサムウェア攻撃中に盗まれたファイルを脅威アクターがリリースするのを防ぐために、457,000ドルのランサムウェアを支払いました。

本日投稿された「データセキュリティインシデント」通知の中で、ユタ大学は2020年7月19日(日曜日)にランサムウェアによって攻撃されたことを明らかにしました。

「2020年7月19日(日)、大学の社会行動科学部(CSBS)は、CSBSコンピューティングサーバーに対するランサムウェア攻撃について、大学の情報セキュリティオフィス(ISO)から通知を受けました。「侵害されたCSBSサーバー上のコンテンツは、未知のエンティティによって暗号化され、もはや大学によってアクセスできませんでした」と、ユタ大学が明らかにしました。

この攻撃は、大学の社会行動科学大学(CSBS)部門のサーバーを暗号化しました。攻撃の一環として、脅威アクターはコンピュータを暗号化する前に暗号化されていないデータを盗みました。

2019年末以来、ランサムウェア事業者はランサムウェアを展開する前に暗号化されていないファイルを盗み始めました。

盗まれたデータには学生と従業員の情報が含まれていたため、大学はそれを防ぐために身代金を支払うことにしました。

「慎重に検討した結果、大学は、そのサイバー保険会社と協力して、ランサムウェアの攻撃者に手数料を支払うことにしました。これは、情報がインターネット上で公開されないようにするための予防的かつ予防的なステップとして行われました」と、データセキュリティインシデント通知に記載されています。

大学は、彼らのサイバー保険契約が$457,059.24 USDの身代金を支払い、「授業料、助成金、寄付、州または納税者の資金が身代金を支払うために使用されなかった」と述べています。

ランサムウェア攻撃だけでなく、データ漏洩も

ランサムウェア事業者は通常、掘り出し物の側を維持し、身代金が支払われていた場合、これらの攻撃中に盗まれた情報を開示しません。

しかし、これはデータ侵害であり、影響を受ける人々はデータ、信用履歴、その他のアカウントを保護するためにそれに応じて行動する必要があります。

脅威アクターが盗まれたデータを自分の目的のために使用しないと言うことは何もありません。

このため、社会行動科学大学(CSBS)のすべての学生と従業員が、不正な行為に対する信用履歴を注意深く監視し、オンラインで使用するパスワードを変更することを強くお勧めします。

ユタ大学は最近、身代金の支払いだけではありません.

2020年6月、UCサンフランシスコは復号者を受け取り、ファイルを回復するために114万ドルの身代金支払いを支払いました。



ーー以下原文ーー

The University of Utah has paid a $457,000 ransomware to prevent threat actors from releasing files stolen during a ransomware attack.

In a 'data security incident' notification posted today, the University of Utah disclosed that they were attacked by ransomware on Sunday, July 19, 2020.

"On Sunday, July 19, 2020, the university’s College of Social and Behavioral Science (CSBS) was notified by the university’s Information Security Office (ISO) of a ransomware attack on CSBS computing servers. Content on the compromised CSBS servers was encrypted by an unknown entity and no longer accessible by the college," the University of Utah disclosed.

The attack encrypted the servers in the university's College of Social and Behavioral Science (CSBS) department. As part of the attack, the threat actors stole unencrypted data before encrypting computers.

Since the end of 2019, ransomware operators have started stealing unencrypted files before deploying their ransomware. The ransomware gang then threatens the victims by saying they will publicly leak the stolen files if a ransom is not paid.

As the stolen data contained student and employee information, the university decided to pay the ransom to prevent it from being leaked.

"After careful consideration, the university decided to work with its cyber insurance provider to pay a fee to the ransomware attacker. This was done as a proactive and preventive step to ensure information was not released on the internet," stated in their data security incident notification.

The university states that their cyber insurance policy paid a ransom of $457,059.24 USD and that no "tuition, grant, donation, state or taxpayer funds were used to pay the ransom."

Not only a ransomware attack but also a data breach

Ransomware operators typically keep their side of the bargain and do not disclose the information stolen during these attacks if a ransom had been paid.

With that said, this is a data breach, and those affected must act accordingly to protect their data, credit history, and other accounts.

There is nothing to say that the threat actors will not use the stolen data for their own purposes, such as identity theft and phishing attacks against students and employees.

Due to this, it is strongly suggested that all students and employees in the College of Social and Behavioral Science (CSBS) carefully monitor their credit history for fraudulent activity and change any passwords that they utilize online.

The University of Utah is not alone in recently paying ransom payments.

In June 2020, UC San Francisco paid a $1.14 million ransom payment to receive a decryptor and recover their files.

【転載】テレワークの実践方法やツールをまとめたガイドブック公開（google）

テレワークの実践方法やツールをまとめたガイドブック公開（google）:

• 
  
  
  
  テレワークを継続するにあたり、必要だと思うこと
  
  
  
• 
  
  
  
  “つながり”の質と帰属の認識
  
  
  

グーグル合同会社（google）は7月16日、テレワークの実践方法やツールをまとめた「働き方のこれからをつくろう。」ガイドブックを公開した。



新型コロナウィルスの影響で、テレワークをはじめとする柔軟な働き方が求められる中、最新調査ではテレワークの導入率が全国で4月の27％から6月の35％へ増加しており、テレワーク経験者の約半数が継続意向を示している。同社では、以前から一つのエリアや拠点にとらわれない「分散型ワークスタイル」を実践しており、その中で得た知見やノウハウともとに新たな日常へのシフトを可能にする「働き方のこれからをつくろう。」ガイドブックを公開する。



本ガイドブックでは企業がテレワークを継続するにあたり必要だと思うことについて、実施者を対象に調査したデータを紹介。「会社のツールやシステムの整備・拡充」「ペーパーレス化」に続き「情報セキュリティ対策」も企業の規模にかかわらず求められている。



また、同社が実施した調査から、実際にテレワークを実施した従業員のうち半分近くの49.3％が継続を望んでいるが、一方で23.1％が継続以降が強くないことを取り上げ、その理由として「オフィスでないと閲覧できない資料やデータがある」「社内コミュニケーションが取りづらい」「仕事のON/OFFの切り替えがしづらい」「社内ツールが利用しづらい」「PC・周辺機器の設備が整っていない」を不満点として挙げている。



同社では新型コロナウイルス禍以前から「分散型ワークスタイル」を取り入れてきたが、同社社員の中でもミーティングの際にチームメンバーと直接会う場合とビデオ会議上でバーチャルに会う場合で、臨場感に大きな違いを感じない従業員は55％いる一方、ビデオ会議に参加した際に他のメンバーとの一体感を感じている従業員は37％という結果もあり、「つながりの質」の低下が分散型ワークスタイルの課題としている。

《ScanNetSecurity》

バックアップ

【転載】Emotet関連情報収集メモ

Emoいメモ。 #Emotet:

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ



ここ数日、ネットメディアニュースなどで『Emotetが活動再開！』という内容の記事を見かけることが増えましたね。

JPCERT/CCからも2020年7月20日に注意喚起が出ています。

www.jpcert.or.jp



www.itmedia.co.jp

news.mynavi.jp



Emotetに感染しないためにはどうすれば良いかですが、

基本的には以下3点を行う事が大事です。

・メールに添付されたファイルを開かない

・メール本文に記載されたURLにアクセスしファイルをダウンロードしない

・ファイルのマクロ有効化ボタンを押さない（マクロを有効化しない）



しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。

特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。

ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。


さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。

下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。

• Emotetについての注意喚起
• 
  EmotetのIoC情報を知りたい
  • ANY.RUN
  • URLhaus
  • Cryptolaemus Pastedump
  • Pastebin
• Emotetの情報をTwitterで知りたい
• Emotetの情報をブログ等で知りたい

Emotetについての注意喚起

まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。



▼JPCERT/CC

マルウエア Emotet の感染に関する注意喚起

マルウエア Emotet の感染活動について



▼IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人 情報処理推進機構



▼Emotetに対しての対応FAQ（JPCERT/CC）

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

※個人的にはこのFAQめっちゃ参考になると思っています

EmotetのIoC情報を知りたい

EmotetについてのIoC情報（通信先情報、検体情報など）をまとめました。
監視などを行う際に活用してみてください。

ANY.RUN

オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。

①https://any.run/malware-trends/emotet



Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。



②https://app.any.run/submissions



ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。（ので、気をつけてくださいね）



Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

URLhaus

abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。

①https://urlhaus.abuse.ch/browse/tag/emotet/



URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。


②https://urlhaus.abuse.ch/api/



URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。

・Database dump (CSV)
１：URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)





２：URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)

Cryptolaemus Pastedump

CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。

https://paste.cryptolaemus.com/

Pastebin

Pastebin（ペーストビン）でも情報を発信してくれるページがあります。

• https://pastebin.com/u/jroosen
• https://pastebin.com/u/paladin316
• https://pastebin.com/u/emf1123

Pastebinだとこの辺り。

Emf1123's Pastebin - https://t.co/wBNyYug1KT https://t.co/8bUEWr6c4o

Paladin316's Pastebin - https://t.co/wBNyYug1KT https://t.co/Mnuu9QpWL6

Jroosen's Pastebin - https://t.co/wBNyYug1KT https://t.co/sm4rr5GST9

— ねこさん⚡��Ͷow or Ͷever��(ΦωΦ) (@catnap707) 2020年7月22日

 ねこさん情報ありがとうございます！！！

Emotetの情報をTwitterで知りたい

Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。

Cryptolaemus@Cryptolaemus1

\_(ʘ_ʘ)_/@pollo290987

Brad@malware_traffic

abuse.ch@abuse_ch

ANY.RUN@anyrun_app

bom@bomccss

S-Owl@Sec_S_Owl

さとっぺ@satontonton

watoly@wato_dn

tike@tiketiketikeke

hiro_@papa_anniekey

sugimu@sugimu_sec

abel@abel1ma

moto_sato@58_158_177_102

Emotetの情報をブログ等で知りたい

Emotetについての情報が書いてあるブログ（組織、個人）や記事をまとめました。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog

Emotet（エモテット）徹底解説！感染すると何が起こる？ | wizLanScope

Emotetについて(参考情報) | FireEye Inc

Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ



▼個人ブログ

bomccss.hatenablog.jp

bomccss.hatenablog.jp



sugitamuchi.hatenablog.com

sugitamuchi.hatenablog.com



hash1da1.hatenablog.com



以上です。



これ以外もあるぞ！という方はぜひTwitter等で教えてくださると幸いです。

ではでは！

＜更新履歴＞

2020/07/22 PM 公開

2020/07/23 PM 修正（Pastebinの情報を追記）