【転載】オンライン翻訳サービスにおけるセキュリティリスクについて

グーグル超えで話題のDeepL。無料版と有料版でのセキュリティリスクの違いは考慮出来ていますか?(大元隆志) - 個人 - Yahoo!ニュース:

ドイツに本社を構える「DeepL GmbH」社が提供する翻訳サービス「DeepL」が、翻訳精度の高さで有名なGoogle翻訳を超えたと話題を集めている。

　参考:DeepL翻訳　TOEIC950点レベル匹敵も「人間ではあり得ないミス」が起こる理由

では、セキュリティという観点ではどうだろうか?日本企業が利用しても安全なレベルのセキュリテイなのか考察したい。

■翻訳サービス利用上のリスク

クラウド型で提供される翻訳サービスは以下のような動作で翻訳を実行する。

　1)　利用者がクラウドに翻訳したい文書をアップロードする

　2)　クラウド上で文書が翻訳される

　3)　翻訳結果が表示される

　こういった動作となるため、翻訳したい文書はクラウド上に一時的に保存されることになる。翻訳サービスのセキュリテイを考慮する上で、ここに保存された文書がどのように扱われるかを考えることが重要である。

　例えば、ilovetranslation.comという翻訳サイトがあるが、この翻訳サイトで翻訳した結果は、Googleのデータベースに登録され、誰でも検索結果として閲覧出来る。下図はある検索ワードでヒットしたものだが、契約書を含むメールに勝手にメールアドレスが追加されており、情報漏えいの観点から追加した理由を問いただすメールなのだが、Googleインデックスに登録され、全世界に公開されてしまっている。

ilovetranslationにて翻訳された文書。契約書のメールに勝手に追加されたメールアドレスを問いただすメールの文書が、Google検索によって世界に公開されている。

このように、翻訳サービスは非常に便利なサービスではあるが、サービスの特性上、情報漏えいリスクには注意を払わなければならないサービスの一つである。

■2つ存在するDeepLの翻訳サービス

DeepLのセキュリテイに話を戻そう。DeepLの翻訳サービスには、2つのエディションが存在し無料版のDeepL翻訳と、有料版のDeepL PROが存在する。

　・DeepL翻訳(無料版)

　　DeepL翻訳の利用規約には以下の記載があり、Deeplに送信された文書はDeepLサーバ上に保存され翻訳アルゴリズムの改善のために一定期間保存されると明記されている。また、いかなる個人情報も翻訳しないように注意書きがなされている。恐らくこれは、DeepLの開発元がドイツに存在するためGDPRに対する配慮と思われる。

4.テキストと訳文（無料のDeepL翻訳）

個人情報の類が含まれるテキストはいかなる場合も使用しないでください。

翻訳サービスをご利用の際に入力したテキストはすべてDeepLのサーバーに送信されます。テキストのサーバーへの送信は、翻訳サービスを提供するために不可欠です。入力したテキストとその翻訳は、翻訳アルゴリズムの強化及び性能向上を目的として、一定期間保存されます。

皆様が訳文に加えた訂正内容も、翻訳の精度を確認したり、必要であれば訂正内容に合わせて訳文をアップデートしたりするためにDeepLのサーバーに送信されます。入力した訂正内容も、当社の翻訳アルゴリズムの強化及び性能向上を目的として、一定期間保存されます。

出典:DeepLの利用規約より引用

　・DeepL Pro(有料版)

　次に、有料版のDeepL Proの利用規約を見てみよう。無料版との違いは入力した文書と翻訳後の文書はDeepLサーバーに保存されることはないと明記されている。また、Pro版であっても、個人情報を含む文書の利用は禁止されている。

5.テキストと訳文（DeepL Pro）

DeepL Proをご利用の場合、入力したテキストと訳文はサーバーに保存されることはなく、翻訳時にのみ使用されます。DeepL Proでは、翻訳サービスの品質向上を目的として皆様のテキストを使用することはありません。詳しくは、 DeepL Pro利用規約をご確認ください。

個人情報の類が含まれるテキストはいかなる場合も使用しないでください。

出典:DeepL Proの利用規約より引用

■機密文書の翻訳にはDeepL Proが必須

DeepL翻訳、DeepL Proのどちらであっても通信経路はHTTPSにて暗号化されている。従って、翻訳前の文書と翻訳結果がDeepL上に保存されないDeepL Proであれば通信経路上でもクラウド上でも情報漏えいに繋がるリスクは低そうだ。

　一方で、無料のDeepL翻訳については、通信経路はHTTPSで暗号化されているが、翻訳前の文書と翻訳結果がDeepL上に保存されてしまう。Googleのインデックスに登録されるようなリスクは現時点では存在しないが、翻訳前のデータがクラウドサービス事業者の設備に保存されることに変わりはないため、機密文書等は翻訳しないように社内でも周知する必要があるだろう。

■クラウド・セキュリティ評価のCASBによるチェック

最後に、クラウドのセキュリティリスクアセスメントに用いられるCASBソリューションにて、Google翻訳、マイクロソフト翻訳、DeepL Proを比較してみた。

　最も評価が高かったのがマイクロソフト翻訳、次いでGoogle翻訳となり、翻訳精度の高さでは最も優秀という評価であったDeepL PROだが、セキュリティという観点では最下位となった。

マカフィー製CASBのMvision Cloudによる翻訳サービスの比較。セキュリティという視点ではDeepL Proは最下位となった。

　但し、最下位だったからといって企業での利用が推奨されないかというとそういう訳ではない。今回のクラウド・セキュリティリスクアセスメントに用いたMvision Cloudではクラウドサービスを1～10点で評価し、企業内での利用を許可して良いレベルのものには1～6点の範囲のものとなるので、今回3つのサービス共にこの範囲内に収まっている。

　また、翻訳サービスの特性として匿名利用可能である点や、各種ログを取得していないといった点がスコアを落とす要因となっているが、これらく翻訳サービスとしてはむしろ好ましい特性であるため、CASBの基準では低く評価されても、実害は無い。

　CASBのDeepL Proに対する評価で筆者が気になった点は、セキュリティ運用体制に関する第三者機関が発行するCertificationを取得していない点だ。DeepL Proはドイツの企業が開発しているため、GDRPの基準を満たしているとしているが、CASBの評価どおり第三者機関が提供するCertificationを取得していないとすれば、「データの管理は万全です」と言われても、それを証明する証拠が存在していない。この点については、DeepL Proの契約を検討している企業は注意を払う必要性があるだろう。

■翻訳サービスは便利。しかし、ルールの整備が必要

DeepLの翻訳精度は確かに高く、筆者も利用している。ただ、企業としてDeepLのような翻訳サービスを業務利用するには、翻訳サービス上で翻訳してもよいサービスと、禁止すべき文書ファイルを定義しルールを整備する必要があるだろう。そして、機密文書を翻訳する場合にはDeepL Proの利用を必須とすべきだ。

　また、利用者の多くは翻訳サービス利用上の注意点や利用規約等は読まないため、トレーニングの提供も実施する必要があるだろう。便利なサービスも使い方を誤れば情報漏えいツールとなってしまうため、安全な利用方法も合わせて周知することが大切だ。

組織がランサムウェア攻撃で身代金を支払った場合、被害の回復にかかる費用が2倍になる！？（転載）～ランサムウェア攻撃を受けた日本企業の3分の1（31%）が、身代金を支払ったことを認めている～

ソフォスの調査により、組織がランサムウェア攻撃で身代金を支払った場合、被害の回復にかかる費用が2倍になることが明らかに sophos.com/ja-jp/press-of…:

sophos.com/ja-jp/press-of…

ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス（日本法人：ソフォス株式会社　東京都港区）は、世界的に実施した調査に関するレポート『The State of Ransomware 2020（ランサムウェアの現状2020年版』を発表しました。この調査結果により、組織がランサムウェア攻撃を受けた際、暗号化されたデータを復元するためにサイバー犯罪者に身代金を支払うことは、被害を回復するための容易で安価な方法ではないことが明らかになりました。実際、組織が身代金を支払うと、被害を回復するのに必要な総費用は約2倍になっています。本調査は、欧州、南北アメリカ、アジア太平洋および中央アジア、中東、およびアフリカを含む6大陸の26カ国の企業の5,000人のIT意思決定者を対象に実施されました。

日本企業の約半分（42%）が過去12か月間にランサムウェア攻撃を受けており、調査したITマネージャーの55%が身代金を支払うことなくバックアップからデータを復元していました。この調査によると、調査対象の国の中で日本はランサムウェア攻撃によるデータ暗号化の防止に最も効果的な結果を得ておらず、93%の攻撃がデータの暗号化に成功しています。日本はまた、ランサムウェア攻撃の被害を回復するのに最も費用がかかっている国の1つであり、1位のスウェーデンに次いで第 2 位となっています。

身代金を含まない、ビジネスのダウンタイム、受注の損失、運用コストなど、ランサムウェア攻撃による影響に対処するための総費用は平均73万米ドルでした。企業が身代金を支払った場合、この平均コストは140万米ドルに上り、ほぼ倍になりました。ランサムウェア攻撃を受けた日本企業の3分の1（31%）が、身代金を支払ったことを認めています。日本では、身代金を支払ってもデータを復元できなかった事例は確認されませんでした。

ソフォスの主任リサーチサイエンティストのChester Wisniewskiは、次のように述べています。「ダウンタイムの発生による被害を避けるためには身代金を支払わなければならないと考えてしまうかもしれません。身代金を支払うことは、表面上、データを復元する効果的な方法のように見えるかもしれませんが、これは幻想にすぎません。ソフォスの調査結果は、身代金を支払っても、時間と費用面で復元のための負担はほとんど変わらないことを示しています。これは、すべてのデータを復元するための鍵が1つだけであることがほとんどないためと考えられます。多くの場合、攻撃者はいくつもの鍵を共有しており、これらの鍵を使用してデータを復元する場合、作業が複雑となり時間がかかるのです」

世界的には、5%の公的機関の組織が身代金を支払ってもデータを復元できませんでした。実際、暗号化されたデータを復元できなかった組織は全世界では6%でしたが、調査した公的機関の組織ではその数値は13%に上ります。

しかし、通説とは逆に、公的機関はランサムウェアによる影響が世界で最も少なくなっています。前年に大きなランサムウェア攻撃を受けたと回答した調査対象の公的機関組織は45%に留まっています。世界的には、民間のメディア、レジャー、エンターテインメント企業がランサムウェアの影響を最も受けており、回答した組織の60%が攻撃を受けたことを報告しています。

【転載】企業ネットワークの68%はハッカーが本気出せば侵入可能！？

two hackers trucker hat hoodie pentesters

企業ネットワークは狙われている:

セキュリティ情報会社Positive Technologiesの侵入テストレポートが興味深いものがありました。テスターが30分未満で企業ネットワークに侵入できるケースもある様です。

www.techrepublic.com

ペンテストを受けた企業の6分の1が、過去の攻撃の痕跡を明らかにした。ローカルネットワークへの侵入にかかる平均時間は4日でしたが、ペンテスターたちは、最短30分で侵入できることを発見しました。しかし、大多数のケースでは、成功した攻撃はそれほど複雑ではなく、ペンテスターは、攻撃は「中程度の」スキルを持つハッカーの権限の範囲内であると述べています。

テストしたシステムのうち、侵入に耐えられるだけの十分な性能を持つものはわずか7%でしたが、25%が1ステップ、43%が2ステップ、25%が3～6ステップでハッキングされていました。

テストでは、71%の企業では、スキルのないハッカーでも社内ネットワークに侵入することができたという事実を含め、いくつかの驚くべき脆弱性が明らかになりました。

また、侵害の77%はウェブアプリケーションの保護が不十分なことに関連しており、ペンテスターは86%の企業で少なくとも1つのベクターを発見しました。報告書で説明されている侵入ベクトルとは、ネットワーク境界での違反を可能にした弱点を探る方法のことである。

（TechRepublic記事より引用）※機械翻訳

元レポート（Positive Technologies）

Penetration testing of corporate information systems External pentests results, 2020

キタきつねの所感

ホワイトハッカーの侵入テスト結果の統計データは中々表に出てくる事が無い気がします。しかし、この海外の調査結果を見ると、日本企業の侵入テスト調査データは「怖くて発表出来ない」状況かも知れません。

※侵入テストをした企業の1/6が既に「攻撃を受けていた」データがありますが、日本企業でも同程度の比率であったとすると、やはり開示しない企業も多いかと思います。

要塞化されているとはずの企業ネットワークが2Stepの攻撃で68％が破られており、攻撃をはじき返して合格点を得たのはわずか7%の企業だけです。

この数字を見ると、最近攻撃者（ハッカー）がランサムウェア等を駆使して2重恐喝を企業に仕掛けて問題となっているのも、この辺りに原因がある気がしてなりません。

しかし、データとして一番衝撃だったのは「中」程度のスキルのペンテスター（ホワイトハッカー）がほとんどのケースで侵入出来た事です。

つまりこれは、本当の攻撃者（ブラックハッカー）も1ステップ（大した攻撃スキルがなくても）侵入が出来てしまう事に他なりません。

f:id:foxcafelate:20200829093938p:plain

※Positive Technologiesレポートより引用

その攻撃手法（＝脆弱点）も調査レポートには載っていて、

f:id:foxcafelate:20200829094056p:plain

※Positive Technologiesレポートより引用

Webアプリケーションの脆弱性が77%、ブルートフォース攻撃（DB管理認証とリモートアクセス認証）で21％であって、内部ネットワークには、これらの脆弱点を突く攻撃、つまり既知の脆弱性でほとんどのケースで侵入が出来てしまった事が浮かび上がってきます。

ゼロディ脆弱性に関しては14%しか使われてない事から、高度なスキルを持つペンテスター（ホワイトハッカー）でなくても、企業ネットワークへの侵入が可能であるというのはこのデータにも表れていそうです。

企業が求められる対策は、要は、

可及的速やかにパッチを当てる

の一言で済んでしまうのですが、レポートにはペンテスターが侵入に使った脆弱性のレベル（CVSS v3.1ベース）が載っていて、これが各企業がパッチ管理を考える上で参考になるかと思います。

f:id:foxcafelate:20200829095006p:plain

※Positive Technologiesレポートより引用

Webアプリ、パスワードポリシーフロー、Configフローについては、当然と言えば当然ですが、CVSSの緊急（Critical）と高リスク（High)のパッチを意識していれば、60~80%はカバーされる事が分かります。

一方で、脆弱なソフトウェアに関しては中リスク（Medium）までの脆弱性パッチを当てないと、ペンテスターの攻撃（＝ブラックハッカーの攻撃）の多くを防げないと思われます。

パッチ管理については、全てのパッチファイルを当てるのが理想ではありますが、なかなかそうも言えない場合も多いかと思いますので、リスク軽減策として、こうしたデータを活用し、カバーしきれない脆弱点はWAFや監視ツール等の併用といった多層防御を考えていく事が必要なのかと思います。

日本で調査した場合、どういったデータになるのか気になる所ですが、テレワーク環境など、企業が守るべき情報資産は日々拡大していますので、外部のホワイトハッカーを使って自社のセキュリティ状況を定期的にテストする事も、これからは必須になってくるのではないでしょうか。

※その他、テスターの攻撃例（詳細）なども掲載されていますので、ご興味ある方は元レポートをご覧になって下さい。

無金利ローン「CREZIT（クレジット）」の用途を考える

以前株主優待に積極的にチャレンジしていた際、資金効率をいかに上げるかに腐心していた。

というのも、株主優待の権利落ちは月1回。しかもエントリーした翌日には決済してしまうため、1ヶ月のうち、1週間程度の資金需要を満たせればよいのである。

当時取った方法は、サラ金のノーローンを使う方法だった。

ここは、少し条件があるものの、何度でも1週間無利息で借り入れることができ、その借り入れや返済もオンラインで行う事ができたため、非常に使い勝手が良かった。

しかし、無利息借り入れを3年くらい続けていたら、契約を打ち切られてしまった。

最近久しぶりにサイトにアクセスしたら、2020年6月末日で一般ローンの受付を終了してしまったらしい。

そんな中、新たな無金利ローンを見つけた。

それが、

CREZIT（クレジット）

である。

スマホ完結型というのが、個人的には気に入らないのだが、とりあえず登録してみた。

最初は10万円までしか借り入れができないようだが、借入と返済を繰り返すことで信用スコアが積み上がり、借入可能額が増えていく仕組みのようだ。

株主優待での活用を考えてみることにしよう。

【転載】総務省ガイドラインの各項目チェック＋コンサル、テレワーク環境の情報漏えいリスク可視化サービス（サイバートラスト、DNP）

総務省ガイドラインの各項目チェック＋コンサル、テレワーク環境の情報漏えいリスク可視化サービス（サイバートラスト、DNP）:

サイバートラスト株式会社と大日本印刷株式会社（DNP）は7月22日、テレワーク環境での情報漏えいリスクの可視化を行うサービスを開始すると発表した。

新型コロナウイルスの感染防止対策として企業等でのテレワークの導入が進む一方で、家庭やサテライトオフィスなど利用環境が多岐にわたり、サイバー攻撃やウイルス感染、盗聴・なりすまし等の被害が発生する可能性が高まり、情報端末や外部記憶媒体の紛失・盗難によるリスクが増大している。

両社では、企業の情報漏えい対策やサイバー攻撃対策等を立案・実施してきた実績を掛け合わせ、短期間でテレワーク環境を整えたい企業等に対し、これらのリスクを可視化し対策を判断するサービスを開始する。

同サービスでは、企業がチェックシートに回答した後に電話やメールによる質疑応答を行い、情報セキュリティのコンサルタントがリスクチェックを実施、企業の情報資産の把握とリスクの可視化、予算や状況に合わせた管理上の対策立案までを実施する。

同サービスは下記2つの診断コースを提供する。

1.フル診断コース

総務省「テレワークセキュリティガイドライン」約30項目のチェック、リスクの可視化と対策の提示。

リスクチェック結果をもとにリスクの度合いを算出し脅威の発生度合いを可視化

価格：100万円（テレワーク用サーバ等の対象機器設置場所が1箇所の場合）

期間：最長で2週間程度

2.スピード診断コース

総務書「テレワークセキュリティガイドライン」約20項目のチェック、リスクの可視化と対策の提示。

テレワークに使う情報端末やサーバー等を明確に把握するための「資産台帳（簡易版）」の作成支援。

価格：30万円（テレワーク用サーバー等の対象機器設置場所が1箇所の場合）

期間：最長で1週間程度

《高橋潤哉（ Junya Takahashi ）》

総務省「テレワークセキュリティガイドライン」バックアップ

【転載】JPCERT/CC Eyes「ログ分析トレーニング用コンテンツの公開」

お知らせ：JPCERT/CC Eyes「ログ分析トレーニング用コンテンツの公開」:

JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント（以下、インシデント）調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。

Log Analysis Training

https://jpcertcc.github.io/log-analysis-training

本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっています。

今回は、本コンテンツの概要についてご紹介します。

トレーニング対象者

本コンテンツは、以下のようなインシデント調査、分析に関わる初級者を対象としています。

現場のシステム管理者
組織のセキュリティ窓口担当者
インシデント分析に関心のある方

得られる知識

本コンテンツを通して、以下の知識を得ることができます。

攻撃者の典型的なネットワーク侵入の手口
侵入の痕跡を見つけるために必要なWindowsのログ設定
Windowsログの調査手順
ログ調査のポイント
Active Directoryログから攻撃の痕跡を分析する手法の基礎

トレーニングの概要

本コンテンツは、座学のパートとハンズオンのパートに分かれています。各パートの概要は以下の通りです。

座学

標的型攻撃に関する説明
侵入後のネットワーク内部での攻撃パターンについて
「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」の解説

ハンズオン

ツールを使用したイベントログの抽出
Windowsクライアントのイベントログの調査
Proxyログの調査
侵入端末の特定
Active Directoryログの調査

おわりに

このコンテンツは、Windowsイベントログの調査手法を学ぶことがメインとなります。Windowsのデフォルト設定では、イベントログにインシデント調査に活用できる情報があまり保存されないことから、イベントログはインシデント調査時に軽視されがちです。しかし、適切な設定がされていれば、重要な情報を記録することが可能です。このコンテンツを通して、Windowsイベントログ分析の重要性を理解してもらえればと思います。質問や要望などがありましたら、GitHubでIssueを作成していただきますようお願いします。

インシデントレスポンスグループ　田中信太郎

田中信太郎（Shintaro Tanaka）

2016年9月より現職。主に、インシデントのコーディネーション、マルウエア分析に従事。

バックアップ

【転載】AD保護に大事なLAPSツール、英語版ガイドしか公式にはないので、日本語公式ガイド作りました！

さとっぺ retweeted: AD保護に大事なLAPSツール、英語版ガイドしか公式にはないので、日本語公式ガイド作りました！日本語ガイドで導入しやすい、人にお勧めしやすくなったと思いますのでぜひ！　Local Administrator Password Solution (LAPS) 導入ガイド (日本語版)　msrc-blog.microsoft.com/2020/08/26/202…:

さとっぺ retweeted:

AD保護に大事なLAPSツール、英語版ガイドしか公式にはないので、日本語公式ガイド作りました！日本語ガイドで導入しやすい、人にお勧めしやすくなったと思いますのでぜひ！　Local Administrator Password Solution (LAPS) 導入ガイド (日本語版)　msrc-blog.microsoft.com/2020/08/26/202…

バックアップ

【転載】ラテラルムーブメント（横展開）の時に、いまだによく使われる SMB。横展開が実行された時の Windows ログの出方について。

さとっぺ retweeted:

ラテラルムーブメント（横展開）の時に、いまだによく使われる SMB。横展開が実行された時の Windows ログの出方についてまとめてあります。検出のロジックを考える時の参考になります。

Detecting Lateral Movement 101:
link.medium.com/hInMBpJJs8:

さとっぺ retweeted:

ラテラルムーブメント（横展開）の時に、いまだによく使われる SMB。横展開が実行された時の Windows ログの出方についてまとめてあります。検出のロジックを考える時の参考になります。

Detecting Lateral Movement 101:

link.medium.com/hInMBpJJs8

ーー日本語訳ーー

横方向の動きの検出101：Windowsログ分析による動きのSMB / Windows管理共有の追跡

MITER ATT＆CKリファレンス：戦術：横方向移動
テクニックID：T1021（リモートサービス）
サブテクニックID：T1021.002（リモートサービス：SMB / Windows管理共有）

通常、敵対者は、被害者組織に最初の足がかりを得ると、横方向への移動を開始します。一旦初期アクセスを得ると、彼らは特権をエスカレートさせ、エスカレートした特権を使って横方向に移動し、マルウェアを伝播させたり、さらに偵察して標的情報を収集したりします。

脅威のアクターが組織内を横方向に移動する手法は数多くあります。MITER ATT＆CKは、攻撃者が使用するこれらのさまざまな技術を理解するために開始するのに最適なリソースの1つです。MITERは、「ラテラルムーブメント」戦術の下で、これらのラテラルムーブメント手法を非常によく整理しています。サイバー防御チームとして、これらの手法とそれらを検出および防止する方法を知っておく必要があります。

この簡単な記事では、敵が横方向に移動するために使用する手法の1つであるSMB共有について説明します。これは、組織内を横方向に移動するために敵対者が最も使用する手法の1つであり、それを検出する準備を整える必要があります。Windowsイベントログによって、この手法がどのように見えるかがわかります。

敵対者はこの手法をどのように使用しますか？

攻撃者は、管理者が合法的な作業に使用するデフォルトのWindows管理共有を乱用します。Windowsでは、デフォルトで、管理活動用にc $、admins $、IPC $共有が提供され、これらの共有には管理アカウントからアクセスできます。

攻撃者は、特権が昇格すると、これらの共有を他のワークステーションからマッピングし、マルウェアをコピーして横に移動します。さらに、net.exeなどのWindowsネイティブサービス/バイナリを使用して共有に接続し、移動によって生成されるアラートを削減します。以下は、ネットワーク共有をマップするために使用されるコマンドです。このコマンドは、マシン192.168.189.155のc $ admin-shareをマップします。

net use m：\\ 192.168.189.155 \ c $ / USER：kirtar

このアクティビティは、ソースマシンとターゲットマシンでいくつかのフットプリントを作成します。このアクティビティを検出するには、どのログを探す必要がありますか？

横方向の動きをどのように検出しますか

これにより、ソースマシンのセキュリティログに2つの重要なログエントリが生成されます。

イベントID 4688（SysmonイベントID 1）：プロセスの作成[コマンドライン監査を有効にして]イベントID
4648：明示的な資格情報を使用してログオンが試行されました。

一般的な組織では、通常のユーザーは他のワークステーションまたはサーバーの管理共有を移動してマップしません。したがって、通常のユーザーのワークステーションからのnet.exe（管理共有のマッピング）のSysmon eventid 1（4688 —セキュリティ）を調査する必要があります。

イベントID 1（コマンドラインパラメーター付きの4688）は、次の重要な詳細情報を提供します
-現在のプロセスとそのフルパス- 説明-
元の
ファイル名-
実行時にバイナリと共に渡されるコマンドラインパラメーター
-ユーザーの現在のディレクトリ-
スポーンしたアカウント/ユーザーこのプロセス
-プロセスバイナリイメージの
ハッシュ-親プロセス-
親プロセスコマンドラインパラメータ

次のスクリーンショットは、LAPTOP-O5R917V2 \ kirtarのアカウントを使用して、c $共有がIPアドレス192.168.189.155のマシンにマッピングされていることを示しています。親プロセスは、net.exeがcmd.exeを介して実行されることを示しています。ハッシュ、親プロセスのコマンドライン、イメージパスに関する詳細は、スクリーンショットで確認できます。

これにより、攻撃者がマルウェアをコピーした可能性のあるマシン（宛先）とともに、侵害された可能性のあるアカウントとマシンに関する重要な情報が得られます。

ソースで生成される他のログは4648です。このログは、攻撃者が明示的な認証情報を使用してネットワーク共有をマッピングするときに生成されます。このイベントは、宛先IPとホスト名、および両方のアカウント（元のアカウントと切り替えられたアカウント）に関する非常に重要な情報を提供します。この情報は、前のイベントから受け取った情報を実証するのに役立ちます。以下のスナップショットを見てください。

スクリーンショットに示すように、元のアカウントはLAPTOP-O5R917V2 \ kirtarと切り替えられたアカウントkirtarです（これはリモートマシンへの認証に使用されます）。ターゲットマシンSANS-SIFTのホスト名。さらに、ネットワーク情報は宛先IPアドレス（192.168.189.155）を提供します—これは、前のイベントのコマンドラインパラメーターに対して検証できます。

宛先での検出

同じコマンドで、宛先マシンにもいくつかのログが生成されます。宛先で以下のログが生成されます。

4776-コンピューターがアカウントの資格情報を検証しようとしました
4672-新しいログオンに割り当てられた特別な権限
4624（タイプ3）-アカウントが正常にログオンしました

これら3つのイベントすべての時間を確認すると、ほぼ同時にログに記録されています。これらのイベントは、ローカルNTLM認証（4776）がローカル管理アカウント（4672）を介してネットワーク（Type3）で発生するために生成されます。

宛先で生成される主要なログの1つは、EventID 5140です。これは、実際のイベント（ネットワーク共有アクセス）の「ログ」です。

このログは、次の情報を提供します
-共有へのアクセス/マッピングに使用されるアカウント-
ソースマシンのIPアドレス（共有へのアクセス元）
-共有の名前とパス

上記で実行したコマンドの結果として生成された5140 EventIDの次のスクリーンショットを参照してください。これは、アカウントSans-SIFT \ kirtarがC $共有へのアクセスに使用されていることを示しています。この共有にアクセスするソースマシンのIPは192.168.189.1です。

このログに関連する警告がいくつかあります（5140）。このログはデフォルトでは有効になっていません。詳細な監査ポリシー設定の[オブジェクトアクセス]で[ファイル共有]監査を有効にして、GPOで有効にする必要があります。次に、2008R2 +エディションで利用できます。5140に必要な監査ポリシー構成を示す次のスクリーンショットを見てください。

したがって、これまでに見てきたように、この横方向の動きを検出するために活用できるWindowsセキュリティイベントログがかなりあります。正確なフィルターに基づいてアラートを作成すると、精度を向上させ、横方向の動きの検出における誤検知を減らすのに役立ちます。

同様に、イベントログを使用して、他の横方向の移動手法も検出できます。他のテクニックについても記事を書こうと思います。

現時点ではこれで終わりです。読んでいただき、ありがとうございます。

――原文――

Detecting Lateral Movement 101: Tracking movement SMB/Windows Admin Shares through Windows Log Analysis

MITRE ATT&CK Reference : Tactic: Lateral Movement
Technique id: T1021 (Remote Services)
Sub-technique Id: T1021.002 (Remote Services: SMB/Windows Admin Shares)

Adversaries, typically, start moving laterally once they get initial foothold in the victim organization. Once they get initial access, they escalate their privileges and move laterally with the escalated privileges either to propagate their malware or to further reconnaissance & collect the targeted information.

There are many techniques by which threat actors move laterally in the organization. MITRE ATT&CK is one the best resources to start with to understand these various techniques used by the adversaries. MITRE has very well organised these lateral movement techniques under “Lateral Movement” tactic. As a cyber defense team, we should be aware of these techniques and how to detect and prevent them.

In this quick article, I am going to talk about one of the techniques used by the adversaries for moving laterally — SMB Shares. This is one of the most used techniques by adversaries to move laterally in the organization and we should be better prepared to detect it. We will see how Windows Event Logs make this technique highly visible.

How Adversaries Use this technique?

Adversaries abuse the default Windows admin shares that are used by the administrators for legit work. Windows, by default, provides c$, admins$ and IPC$ shares for administrative activities and these shares are accessible through administrative accounts.

Adversaries, once escalated privileges, map these shares from other workstations and copy their malware and move laterally. Moreover, they use windows native services/binaries like net.exe to connect to the shares to reduce any alerts generated by their movement. Following is the command used to map network share — this command maps c$ admin-share of the machine 192.168.189.155.

net use m: \\192.168.189.155\c$ /USER:kirtar

This activity creates a few footprints at the source as well as the target machines.Which logs we need to look for to detect this activity?

How to detect the lateral movement?

This will generate 2 important log entries in Security logs at the source machine.

Event ID 4688 (Sysmon EventID 1): Process Create [ with command line auditing enabled]
EventID 4648: A logon was attempted using explicit credentials.

In a typical organization, normal users do not go around and map the admin shares of the other workstations or the servers. Hence, any Sysmon eventid 1 (4688 — security) for net.exe (mapping admin share/s) from the workstation of the normal users should be investigated.

EventID 1 (4688 with command line parameters) provides following key details
-Current Process with its full path
-Description
-Original File Name
-Command Line parameters passed with the binary while executed
-Current directory of the user
-the account/user who has spawn this process
-hashes for the process binary image
-Parent Process
-Parent Process command line parameters

The following screenshot shows that c$ share is mapped of the machine with IP Address 192.168.189.155 by using account of LAPTOP-O5R917V2\kirtar. The parent process shows that net.exe is executed via cmd.exe. The details related to hash, parent process command lines, image path can be seen in the screenshot.

This gives us crucial information about potentially compromised account and machine along with the machine(destination) where adversaries might have copied their malware.

The other log generated at the source is 4648. This log is generated as attacker uses an explicit credential to map the network share. This event provides very important information about the destination IP & hostname and both of the accounts (original and switched). This information will help us to substantiate the information received from the previous event. Look at the snapshot below.

As shown in the screenshot, the original account is LAPTOP-O5R917V2\kirtar and the switched account kirtar (this is used for authenticating to the remote machine). The hostname of the target machine SANS-SIFT. Furthermore, Network Information provides the destination IP address (192.168.189.155) — this can be verified against the command-line parameters of the previous event.

Detection at the Destination

The same command generates a few logs on the destination machine as well. Following logs are generated at the destination.

4776 — The computer attempted to validate the credentials for an account
4672 — Special privileges assigned to new logon
4624 (Type 3) — An account was successfully logged on

Look at the time for all these 3 events, they are logged at nearly same time. These events are generated because local NTLM authentication (4776) happens over the network (Type3) via local administrative account (4672).

One of the key logs generated at the destination is EventID 5140. This is “the log” for the actual event — network share access.

This log provides the following information
-the account used for accessing/mapping the share
-IP address of the source machine (from where the share is accessed)
-Name and Path of the share

Please see the following screenshot of 5140 EventID generated as a result of the command that we ran above. It shows that account Sans-SIFT\kirtar is used to access the C$ share. The IP of the source machine from where this share is accessed is 192.168.189.1.

There are couple of caveats related to this log (5140). This log is not enabled by default, this needs to be enabled via GPO by enabling “File Share” auditing under “Object Access” in Advanced Audit Policy Configuration settings. Secondly, it is available in 2008R2+ editions. Look at the following screenshot that shows the audit policy configuration required for 5140.

So, as we have seen there are quite a few windows security event logs that can be leveraged to detect this lateral movement. Creating Alerts based on the precise filters will help in improving precision and reducing false positives in detecting lateral movement.

Similarly, event logs can be used to detect other lateral movement techniques as well. I will try to write articles for other techniques as well.

That’s it for now. Thanks for reading and happy hunting fellas !!

by :
Kirtar Oza
Twitter : @Krishna (kirtar_oza)
LinkedIn: https://www.linkedin.com/in/kirtaroza/
email: kirtar.oza@gmail.com

登録: 投稿 (Atom)