週刊OSINT 2021-46号 / WEEK IN OSINT #2021-46(転載)


WEEK IN OSINT #2021-46

今号も、いくつかの素晴らしいヒントとツールをご紹介します。

  • Quiztime Solution
  • Overload Search
  • Instagram Video Verification
  • Which Face Is Real?
  • Facebook Marketplace

記事: Quiztime Solution

Steven "Nixintel" Harrisさんが、またしてもクイズタイムの課題を見事に書き上げました。特定の飛行機の識別から、お別れツアーの情報を見つけ、最終的には写真が撮られた正確な場所を見つけました。スティーブンさんは、もう一つの素晴らしいテクニックを紹介してくれました。Google Earthのバーチャルツアーを使って、何十もの場所を素早く訪れ、一致する場所を見つけるのです。素晴らしい記事をありがとうございました。


ツール: Overload Search

Twitterアカウントのcyb_detectiveは、OSINTに関するツールやヒントを次々と投稿しています。先週、彼女はPartial Overloadの「Overload Search」という非常にクールな拡張機能についてツイートしていましたが、これはGoogleの検索クエリを構築するための小粋なツールです。必要なフィールドをすべて入力すると、あなた独自のカスタム検索がGoogleで実行されます。手作業でたくさんの検索をしている人にはあまり役に立たないかもしれませんが、調査の分野を始めたばかりの人には、とてもありがたいツールです。そのため、国コードは国際的なISOフォーマットを使用し、国の正式な英語名を試してみてください。


小技: Instagram Video Verification

Twitterユーザーのohshint_さんからの素晴らしいヒントです。インスタグラムで顔の動画を要求されて困っている人は、ちょっとした動画を作ることで簡単にシステムを騙すことができます。Sketchfabを開いて、携帯電話のカメラを起動して、撮影してみてください。


サイト: Which Face Is Real?

コンピューターで作られた顔を認識するスキルを練習するための、@digint31によるクールなヒントです。何を見るべきかを知っていればそれほど難しくはありませんが、少しでも苦労しているのであれば、ここでプレイすることをお勧めします。このゲームにまだ慣れていない方には、Nixintelのブログ記事をお勧めします。この記事では、このような写真の兆候をすべて説明しています。


小技: Facebook Marketplace

クレイグ・シルバーマンがFacebook Marketplacesを調査したところ、マーケットプレイスのアカウントに登録されているすべてのリスティングを見つけ出し、同時にFacebookアカウントが何年に作られたかを知ることができる素晴らしい方法を発見しました。オランダのFacebookアカウントでテストしてみたところ、確かに表示されました。ソースコードとブラウザに送られるトラフィックをざっと見ましたが、これはサーバーから送られるテキストのようで、完全な日付やタイムスタンプはどこにも見当たりませんでした。だから、これがすべてのようですが、これは非常に役立つヒントになりますよ。クレイグさん、教えてくれてありがとうございました このようなヒントをもっと知りたい方は、こちらの彼のニュースレターをご覧ください。

チチカカオンラインショップからのカード情報漏えい(転載)


【限定】チチカカオンラインショップからのカード情報漏えい:

衣料通販サイトに不正アクセス、クレカ情報流出の可能性 - ネクスG子会社

衣料や雑貨を扱う通信販売サイト「チチカカオンラインショップ」が不正アクセスを受け、顧客のクレジットカード情報が流出し、一部が不正に利用された可能性があることがわかった。

ネクスグループの子会社で同サイトを運営するチチカカによれば、脆弱性を突く不正アクセスにより、不正なファイルを設置されたり、決済アプリケーションが改ざんされたという。クレジットカード情報861件が外部に流出し、不正に利用された可能性がある。

対象となるのは、2021年9月29日から2021年10月29日までに同サイトで顧客861人が決済に利用したクレジットカード情報で、名義、番号、有効期限、セキュリティコードが含まれる。

2021年10月21日に顧客より身に覚えのない購入があったと連絡があり、同サイトでは2021年10月25日にクレジットカードによる決済を中止。同月28日に警察、個人情報保護委員会へ報告するとともに、同サイトのサービス提供を翌29日に一時停止した。

クレジットカード決済を停止した2021年10月25日以降、同社ではクレジットカード情報が流出した可能性はないと見ているが、クレジットカード会社などとの相談の上、対象期間をサイトを停止した2021年10月29日までとしたという。

外部事業者による調査は2021年11月26日に完了。対象となる顧客には、2021年12月23日よりメールで報告と謝罪を行っている。同サイトについては、脆弱性診断で指摘された内容を修正の上、クレジットカード以外での決済にて再開したという。

 プレスリリースアーカイブ

SuiSavon-首里石鹸-オンラインショップからのカード情報漏えい(転載)


【限定】SuiSavon-首里石鹸-オンラインショップからのカード情報漏えい:
美容グッズ通販サイトで顧客情報流出のおそれ - 店舗利用者にも影響

石けんや美容グッズを取り扱う通信販売サイト「SuiSavon―首里石鹸―オンラインショップ」が不正アクセスを受け、顧客情報が外部に流出した可能性があることがわかった。

同サイトを運営するコーカスによれば、第三者による不正アクセスがあり、決算アプリケーションを改ざんされたもの。

2020年12月24日から2021年3月11日までの間、同サイトで入力された最大1217人分のクレジットカード情報が外部に流出した可能性がある。クレジットカードの名義、番号、セキュリティコード、有効期限が含まれる。

また、対象期間中にスマートフォンより同サイトへログインした最大1万3037人分のログイン用メールアドレス、パスワード、生年月日についても流出した可能性があることが判明した。

会員システムは、オンラインショップと店舗で同様のものを利用しているため、対象期間中に店舗から新規会員登録を行った場合もメールアドレス、パスワード、生年月日を入力することとなり、外部に流出した可能性があるとしている。

プレスリリースアーカイブ

APEX、「WORLD CLASS」にJALら7社を認定 / THE WORLD CLASS 2022 AIRLINE AWARDS(転載)


APEX、「WORLD CLASS」にJALら7社を認定:

THE WORLD CLASS 2022 AIRLINE AWARDS

WORLD CLASSは、安全性、快適性、持続可能性、サービス、包括性の国際基準を満たしていることを意味します。

WORLD CLASSの受賞は、監査とお客様による評価によって決定されます。

業界の専門家による大規模な監査では、すべてのクラスで何度もフライトを行い、お客様の体験のあらゆる側面を評価します。

また、機内での体験に関する1年間のお客様の評価を分析し、監査データと組み合わせて、お客様の体験を完全に評価します。

WORLD CLASSは、3つの構成要素に分類された、お客様に関連する広範な次元で検討されます。

2022年ワールドクラス・アワード

※アルファベット順に表示

👑Emirates / エミレーツ航空


👑Japan Airlines / 日本航空 ※OneWorld


👑Royal Dutch Airlines / KLMオランダ航空 ※Skyteam


👑Qatar / カタール航空 ※OneWorld


👑SAUDIA / サウディア ※Skyteam


👑Singapore Airlines / シンガポール航空 ※Star Alliance


👑Turkish Airlines / ターキッシュ エアラインズ ※Star Alliance

OSINTコンテンツの最新情報を得る / Staying Up to Date with OSINT Content(転載)


Staying Up to Date with OSINT Content

オープンソースインテリジェンスは常に進化している分野なので、利用可能な新しい技術やツールについて常に最新の情報を得ることが重要です。OSINTが初めての方でも、この分野に長く携わっている方でも、オンラインで共有されているOSINTリソースの多さに圧倒されるのは当然のことです。

ここで重要なのは、OSINTはツールやリソースを集めて、いつか使うことを期待するものではないということです。OSINTの目的は、OSINTツールを効果的に使用し、批判的思考と分析スキルを用いて収集したデータに意味を持たせることにあります。オランダのOSINTガイによるブログ記事「OSINT as a mindset」では、サーチプランを持ち、方法論を重視することがなぜ重要なのかが説明されています。 https://medium.com/secjuice/osint-as-a-mindset-7d42ad72113d

では、この記事の本題に入りましょう。OSINTコンテンツの最新情報を得るには、いくつかの方法があります。ここではいくつかのアイデアをご紹介します。

  1. Twitterの検索バーを使います。OSINT(オープンソース・インテリジェンス)やSOCMINT(ソーシャルメディア・インテリジェンス)などのキーワードで検索します。また、プライバシーに関するコンテンツを探している場合は、OPSEC(オペレーショナル・セキュリティ)や、プライバシーやセキュリティという言葉を検索してみてください。これらのキーワードはすべて、OSINT関連のコンテンツの投稿に使われています。OSINTのようなキーワードで検索すると、OSINTの話題を定期的に投稿しているTwitterユーザーを見つけることができるので、次のヒントが役に立ちます。

  2. Tweetdeckを使ってダッシュボードを設定し、OSINTやSOCMINTなどのキーワードやハッシュタグをフォローしましょう。まだまだあります。フォローしたいアカウント(OSINTのコンテンツを定期的に投稿している人)を特定したら、そのアカウントをユーザーとして追加して、その人が発信するツイートをモニターできるようにします。Tweetdeckは、ユーザーやキーワードを監視・追跡するための簡単で無料のオプションです。

  3. 毎週月曜日の朝08:00 CESTに発行されるSector035Week in OSINTをお読みください。TwitterでSector035をフォローして最新情報を入手してください。似ているようで違うのが、Lorand Bodoが毎週OSINT、テロリズム、過激派に関するツイートを厳選して紹介しています。最新情報は、Lorandをフォローしてください。ツールが投稿されているのを見たら、そのツールがどのように機能するかを理解する最善の方法は、自分でテストしてツールやリソースを探索することだということを覚えておいてください。そのツールがあなたのOSINTの仕事に役立つかどうかを評価し、もしあなたが現在現場で働いていないのであれば、OSINT担当者がどのようにそれを応用できるかを考えてみてください。

  4. Start Meページは、OSINTツールのブックマークによく使われます。ツイッターでHatless1derとして活動しているGriffinは、OSINTに特化したStart Meページを開設している。https://start.me/p/DPYPMz/the-ultimate-osint-collection

    他のOSINT Start Meページを発見したい場合は、Google Dorkの「site:」を使用してください。

    Site:start.me “osint” 

    Site:start.me “socmint” 

    Site:start.me “opsec”

    Alternatively you can use the Google Dork “inurl:”

    inurl:start.me “osint”

    inurl:start.me “socmint”

    inurl:start.me “opsec”

    これにより、一般には知られていないOSINT、SOCMINT、OPSECのStart Meページを提供できることが多い。

  5. YouTubeは、OSINTのリソースやテクニックを無料で学べる良いリソースです。もしあなたが視覚的な学習者であれば、Benjamin StrickOSINT Dojoのチャンネルで、ステップバイステップで説明されている優れたOSINT技術があります。

  6. OSINT関連の最新のカンファレンスを探して、無料の講演がオンラインで公開されているかどうかを確認してください。例えば、最近のLayer 8カンファレンスの講演をチェックしてみましょう。https://www.youtube.com/c/Layer8Conference

  7. https://www.reddit.com/r/OSINT のようなフォーラムで他の人から学びましょう。OSINTについてもっと知りたい人や質問がある人は、定期的にこのサブレディットに投稿します。

  8. OSINT Curious Discordチャンネルに参加して、私たちに関わってください! https://discord.com/invite/FHagzwXqbT
この短いブログ記事が、最新のOSINTコンテンツをどこで見つけられるか、いくつかのアイデアを提供してくれることを願っています。オンラインでの情報の探し方は人それぞれですが、上述したように、ブログ記事を読んだり、YouTubeのビデオを見たり、自分で検索してコンテンツを探したりと、誰もが楽しめるものがあります。

情報セキュリティ体制の“格付け”、IT連が開始 初年度は42社が星獲得(転載)


情報セキュリティ体制の“格付け”、IT連が開始 初年度は42社が星獲得
 

日本のIT関連団体を束ねる日本IT団体連盟(以下、IT連)は、日経500種平均構成銘柄の企業を対象に、情報セキュリティへの取り組みや情報開示の体制について“格付け”する取り組みを始めた。初年度は500社中42社が「特に優良で他の模範となる」として星を獲得した。

調査期間は2021年7月~9月上旬。各社の有価証券報告書やコーポレートガバナンス報告書、企業Webサイト、ISMS認証、Pマークといった公開情報を参照した他、各社が公開していない情報セキュリティの取り組みを確認するアンケート調査も実施。これらを総合的に評価した。

業種別の傾向では、保険業6社中6社が「おおむね積極的な情報開示を行っていた」として1位に。次点は情報・通信業で「情報開示度合いにばらつきが大きい。通信は積極的である一方、情報(IT)には消極的な企業が複数社あった」としている。その他製品、電気・ガス業、卸売業もばらつきはあるものの「おおむね積極的な情報開示を行っている」という。

星を1つ得た企業は以下の42社。22年度以降は取り組みなどに応じ、星の数を複数に拡大していく計画という。

  • ANAホールディングス
  • JFEホールディングス
  • KDDI
  • SCSK
  • SOMPOホールディングス
  • T&Dホールディングス
  • TIS
  • Zホールディングス
  • アルプスアルパイン
  • エクシオグループ
  • エヌ・ティ・ティ・データ
  • オムロン
  • オリックス
  • キヤノンマーケティングジャパン
  • スカパーJSATホールディングス
  • セブン&アイホールディングス
  • セブン銀行
  • ソニーグループ
  • ソフトバンク
  • ソフトバンクグループ
  • トレンドマイクロ
  • ネットワンシステムズ
  • ベネッセホールディングス
  • リコー
  • 伊藤忠テクノソリューションズ
  • 関西電力
  • 九州電力
  • 三井住友フィナンシャルグループ
  • 三井物産
  • 三菱UFJフィナンシャル・グループ
  • 三菱電機
  • 双日
  • 大阪ガス
  • 大日本印刷
  • 凸版印刷
  • 日本ユニシス
  • 日本製鉄
  • 日本電気
  • 日本電信電話
  • 日立製作所
  • 富士フイルムホールディングス
  • 野村総合研究所

⽇本IT団体連盟サイバーインデックス企業調査2021アーカイブ

LOLBAS(Living Off The Land Binaries and Scripts)/環境寄生型攻撃とは?

Living-Off-the-Land Attacks
 

サイバーのトレンドは移り変わりやすいものですが、現在よく見られる手法の一つに「living-off-the-land」というバイナリの使用があります。living off the land」(LotL)という概念は、Derbycon 3.0(2013年)でChristopher CampbellとMatt Graeberが初めて紹介したもので、OSやユーザーから提供された、通常は正当な目的で使用されているが悪意のあるアクターにも悪用される可能性のあるバイナリを使用する際の攻撃者の行動を指します。これにより、攻撃者は、通常のネットワーク活動や通常の管理作業に紛れ込み、隠れた状態を維持することができ、その結果、赤旗を上げる可能性が低くなります。

LotLBinは、ファイルレス・マルウェアや正規のクラウド・サービスと組み合わせて、組織内で検知されない可能性を高めるために、通常は搾取後の攻撃フェーズで、さまざまな脅威アクターによって使用されていることに留意する必要があります。LotLは、DLLハイジャック、ペイロードの隠蔽、プロセスダンプ、ファイルのダウンロード、UACキーロギングの回避、コードのコンパイル、ログの回避、コードの実行、横方向への移動、持続などの機能を備えています。LotLBinsの概念は新しいものではない。初期のDOSバージョンやUnixシステムをはじめとするほとんどすべての従来型のオペレーティングシステムには、攻撃者が悪用できる実行ファイルが含まれていました。しかし、Windowsの場合、サイバー攻撃者が利用できるWindowsシステムツールが100種類以上存在します。

このブログシリーズでは、脅威となる人物がなぜLotLを使うのか、LotLの仕組みを確認し、実際のLotL攻撃の例を紹介します。また、一般的に使用されているいくつかの手法を検出し、防止するためのガイダンスを紹介します。

Why Attackers Live Off the Land

「living-off-the-land」という手法は、攻撃者にレーダーを掻い潜る機会を与えます。正当なツールであれば疑われることも少なく、ハッシュ値やIOC、シグネチャなど多くの検知方法を回避することができます。

LotL攻撃は非常に効果的です。Ponemon Instituteの「State of Endpoint Security Risk Report」によると、ファイルレス攻撃は、ファイルベース攻撃の約10倍の確率で成功するとのことです。

これらのツールは、通常、セキュリティオペレーションセンター(SOC)のルールからホワイトリストに登録されているため、これらのツールからの活動は無視されることが多いのです。Living off the land(LotL)とは、ランサムウェアのように、攻撃者がマルウェアの使用を攻撃の連鎖のかなり後の段階まで抑制し、被害者に対応する時間をほとんど、あるいは全く与えないという戦術です。

また、悪意のある活動を発見しても、その背後にいるのが誰なのかを調査員が判断しなければならないため、帰属の確認にはさらに時間がかかります。一般的に、サイバー攻撃グループは、使用するマルウェアによって識別されます。高度なサイバー犯罪グループや国家の支援を受けたハッカーは、カスタムメイドのマルウェアを使用することが多いため、特定の活動の背後にいるかどうかを簡単に識別することができます。しかし、LotLツールやカスタムされていないマルウェアを使用して攻撃が行われた場合、そのような活動の背後にいる可能性のある人物を特定することははるかに困難です。

これらの理由を総合すると、攻撃者にとって明らかにメリットがあるため、攻撃者はLotLツールを利用して活動を行うことが多くなっています。

Why is Popularity Continuing?

その証拠に、LotLのTTP(戦術、技術、手順)は、時間が経てば経つほど普及していきます。Crowdstrike社の「2019 Global Threat Report」では、攻撃の40%以上が、すでにインストールされているツールや機能を使って実行されていると指摘しています。

LotLのTTPは、MetaSploit、PowerSploit、Exploit Packなど、オープンソースで人気のあるハッキングフレームワークやツールの中で、ますますアクセスしやすくなっています。言うまでもなく、安価にレンタル・購入できるコモディティ・マルウェアには、販売時にすでにLotL機能が搭載されています。

最近まで、LOLの技術は、コンプロマイズ後の活動で使用されることがほとんどで、攻撃者はPowerShell、Windows Management Instrumentation(WMI)、CMD、Psxec.exeなどの正規の管理ツールを活用して、偵察や横移動を行っていました。しかし、ここ数年、LotLBinは、最初の侵害行為のペイロードの一部として、マルウェア作者の間で人気を博しています。

サイバー攻撃でLotLが使用されていることを検知・分析することは、もはや高度な脅威アクターグループや強固なマルウェアを示唆するものではありません。しかし、ほとんどの組織やセキュリティチームにとって、検知と緩和は依然として困難な状況にあります。

How Do LotL Attacks Work?

先に述べたように、LotLBinsの概念は新しいものではなく、Windowsに特有のものでもありません。ほとんどすべての従来のオペレーティングシステム(OS)には、攻撃者が悪用できる実行ファイルが含まれていますが、ここでは例示のためにWindows OSに焦点を当てて説明します。

LotLアタッカーは、たいてい4つのアプローチのうちの1つを使います。

  • Dual-use tools:ネットワークやシステムの管理に使用されるツールをハイジャックすることで、攻撃者はネットワークのトラバース、コマンドの実行、データの盗用、さらには追加プログラムやマルウェアのダウンロードが可能になります。例えば、ファイル転送プロトコル(FTP)クライアントや、他のシステム上でプロセスを実行するために使用されるMicrosoft SysinternalsのツールであるPsExecなどのシステム機能が挙げられます。

  • Fileless persistence:再起動後、ハードディスクに読み込まれていないにもかかわらず、悪意のある感染がシステムに残ってしまう攻撃のこと。これは通常、悪意のあるスクリプトをWindowsレジストリに保存することで行われます(VBS(Visual Basic Scripting)に関連する変更など)。

  • Memory-only threats:有害なペイロードがメモリ内で直接実行される。これは確立された攻撃形態である。2001年には、マイクロソフト社のウェブサーバー「IIS」の脆弱性を突いた「CODE-RED」というメモリ専用ワームが大量に感染しました。メモリのみを使用する方法では、デバイスのメモリに直接侵入することができ、再起動で除去することができますが、パッチが適用されていないコンピュータは常に再感染の危険にさらされています。

  • Non-Portable Executable (PE) file attacks:この方法では、悪意のある感染は、バイナリ実行ファイル(EXE)やダイナミックリンクライブラリ(DLL)を使用せずに、JavaScriptやPowerShellなどの領域に影響を与えます。移植可能な実行ファイルを使用しない攻撃は、JavaScript、PowerShell、マクロやスクリプトを含むMicrosoft Office文書などの領域に影響を与えます。悪意のある感染は、正規のツールの内部に留まります。

攻撃には、これらのカテゴリーのうち1つ以上の活動が含まれることがあり、これまでにいくつかの複合的な脅威が確認されています。

How to Protect Against Living-off-the-Land Attacks

Primary Defense Tactics

LotL攻撃に対する最初の防御策は、ネットワークへの不正なアクセスの可能性を制限することです。すべての VPN やリモートアクセスシステムにおいて、二要素認証と効果的なクレデンシャル管理を行うことが重要です。ユーザとマシンのアイデンティティを管理するための洗練されたアプローチは、悪意のあるアクターの攻撃経路を狭め、ネットワークにアクセスして横方向に移動することを困難にします。鍵や証明書を紛失したり侵害されたりした企業は、特にリスクが高いと言えます。盗まれた鍵やログイン証明書によって、攻撃者は通常は非公開で暗号化されている領域に最初にアクセスできるようになります。また、ID の作成と使用を分析・監視できるようになると、侵入者の行動が最初に発見される可能性が高くなります。(土地を離れて生活している攻撃者は、通常、攻撃を特定しにくい方法で行動することを忘れないでください)。

また、ツール間のデータ交換やネットワーク内のシステム機能が効果的に暗号化されていれば、万が一、攻撃者に気づかれずに侵入されたとしても、その被害を抑えることができます。攻撃者は、証明書の管理に役立つシステム機能も悪用しています。例えば、WindowsプログラムのCertUtil(証明書のダウンロードと更新に使用)は、攻撃者によって悪用されており、ユーザーに危険なファイルを開かせた後、悪意のあるペイロードを追加でダウンロードするために使用されています。

Additional Tips

  • ネットワーク内でのDual-use toolsの使用状況を監視する。
  • 必要に応じてアプリケーションホワイトリストを使用する。
  • 迷惑メール、予期せぬメール、不審なメールの受信に注意する。
  • Microsoft Officeの添付ファイルで、ユーザーにマクロを有効にするよう促すものに注意する。
  • セキュリティソフトウェアとオペレーティングシステムを常に最新の状態に保つ。
  • 2FAやログイン通知などの高度なアカウントセキュリティ機能がある場合は、それを有効にする。
  • すべてのアカウントに強力なパスワードを使用する。
  • 終了時には必ずセッションからログアウトする。

Taking a Parent-Child Perspective

親プロセスから生成された子プロセスに異常がある場合、悪意のある活動を示している可能性があるため、親子関係の観点から見ると、少し興味深いことになります。例えば、word.exeからpowershell.exeが生成された場合、スピアフィッシングの添付ファイルである可能性があります。親子関係を利用してLotL攻撃を検知する現在のソリューションには、ルールの記述やヒューリスティックな手法があります。これらの解決策はうまく機能しますが、時に厳格すぎたり緩すぎたりして、うまく一般化できません。また、ルールの作成には多大な労力が必要となります。

Search-and-Filter Approach

おそらく、より役立つ戦術は、SIEMを使用して、これらすべてのバイナリ、ライブラリ、スクリプト、コマンド、および操作を検索することです(あなたが持っているログによります)。検索を実行したら、以下に追加の手順を示します。

  • まず始めに、これらの検索では、管理者アカウントの動作が多く表示されます。これらのツールは、ネットワーク管理者やシステム管理者が日常的に使用しているものです。これらのユーザーのリストを作成し、検索対象から除外してください。

  • 次に、これらのイベントをユーザー名と数でグループ化して見てみましょう。これらのツールや機能が大量に定期的に使用されているアカウントは、調査する必要があります。この方法で、ほとんどの合法的な行動が判明したと満足できるまで作業を続けます。(期間は、お客様の環境の規模や複雑さによって異なります)。

  • そして、チューニングされたデータを2つの目的で使用することができます。まず、ログを定期的に調査して、知らないうちにこれらのイベントが急増しているアカウントがないかどうかを確認することができます。また、SIEMのルールを設定して、管理者以外のアカウントによるこれらのツールや機能の使用の急増を検出することもできます。

  • その後、すべてのバイナリ、ライブラリ、スクリプト、コマンド、および操作を含むルックアップテーブルまたはリファレンスセットを作成します。そして、あるアカウントが一定期間(推奨は24時間)にこれらを大量に使用し、かつ管理者アカウントではない場合、さらなる調査のために警告を発します。

Additional Resources

これらの攻撃者がどのようなツールや機能を使用しているかを知ることで、これらの攻撃からよりよく保護することができます。世の中には素晴らしいリソースがたくさんあります。その中でも特に役に立つものをいくつか紹介しましょう。

  • The LOLBAS Project
    このプロジェクトでは、Windows上でLotLテクニックに使用できるすべてのバイナリ、スクリプト、ライブラリをドキュメント化しています。詳細はこちらの Read Me をご覧ください。私たちにとってより重要なのは、次のステップで私たちが探す115のバイナリ、スクリプト、ライブラリをすべてリストアップしたLOLBASを見ることです。

  • GTFOBins
    LOLBASに触発されて、GTFOBinsはLOTL攻撃の一部として悪用される可能性のある188のUnixバイナリを文書化しています。サイトはこちら - GTFOBins.

  • JPCERT/CC
    JPCERT/CCは、多くの素晴らしいサイバーセキュリティのコンテンツをリリースしています。2016年に、彼らは攻撃者に悪用されるWindowsコマンドの投稿を公開しましたが、これは今でも当てはまります。これらを「初期調査」「偵察」「感染拡大」の3つのカテゴリーに分けています。ポストの全文はこちらでご覧ください。

  • Azure Sentinel Rare Operations
    Azure Sentinelの検出機能の1つは、少数のアカウント以外では発生しないはずだが、攻撃者にとっては便利な稀な操作を探すものです。探すべき操作と無視すべきアカウントについては、こちらの記事をご覧ください。

これらのバイナリ、ライブラリ、スクリプト、コマンド、操作は、LotL攻撃を検知してブロックするのに役立つ素晴らしいリソースとなります。

最終的には、ネットワークに侵入した攻撃者が利用できるツールやシステムなどのリソースには限りがあります。攻撃者がアクセスできる潜在的に有害な機能と、その機能を使ってできることを制限することで、LotL攻撃はより早く発見され、阻止されることが期待できます。この記事に興味を持っていただき、上記の防御策のいくつかを実践していただければ幸いです。

米国CISA、脆弱なアプリを発見するApache Log4jスキャナーをリリース / CISA releases Apache Log4j scanner to find vulnerable apps(転載)


CISA releases Apache Log4j scanner to find vulnerable apps:

アメリカのサイバーセキュリティ・インフラ安全保障局(CISA)は、CVE-2021-44228およびCVE-2021-45046として追跡されている2つのApache Log4jリモートコード実行脆弱性の影響を受けるWebサービスを特定するためのスキャナをリリースしたことを発表しました。

「log4j-scannerは、CISAのRapid Action Forceチームがオープンソースコミュニティの他のメンバーから派生したプロジェクトで、log4jの脆弱性の影響を受ける潜在的に脆弱なウェブサービスを組織が特定できるようにするものです」と説明します。

このスキャンソリューションは、サイバーセキュリティ企業のFullHunt社が開発したCVE-2021-44228バグの自動スキャンフレームワーク(Log4Shellと呼ばれています)など、同様のツールをベースにしています。

このツールにより、セキュリティチームは、Log4j RCEの公開についてネットワークホストをスキャンし、脅威者が組織環境内でコードを実行することを可能にするWebアプリケーションファイアウォール(WAF)のバイパスを発見することができます。

CISAは、log4j-scannerのプロジェクト・ページで、以下の機能を強調しています。

  • URLリストのサポート
  • 60以上のHTTPリクエストヘッダに対応(従来は3~4ヘッダ)
  • HTTP POSTデータパラメータのファジング
  • JSONデータパラメータのファジング
  • 脆弱性発見・検証のためのDNSコールバックをサポート
  • WAFバイパスのペイロード
CISAのLog4Shellへの対応

CISAは、ApacheのLog4jロギングライブラリに存在する重大なセキュリティ上の欠陥を悪用した攻撃への政府および民間組織による対応を支援するための最新の措置です。

また、世界中のサイバーセキュリティ機関と米国連邦政府機関が本日発表した、Log4jの脆弱性「CVE-2021-44228」「CVE-2021-45046」「CVE-2021-45105」に対処するための緩和ガイダンスの背景には、同機関の存在があります。

また、CISAは、脅威者がLog4Shellの脆弱性を突いてマルウェアに感染させようとする試みを阻止するため、Log4Shell攻撃に脆弱なデバイスに緊急にパッチを適用することを率先して推進しています。

2021年12月17日、CISAは、連邦政府民間行政機関に対し、2021年12月23日までLog4Shellに対するパッチを適用するよう命じました。また、サイバーセキュリティ機関は、最近、この欠陥を「Known Exploited Vulnerabilities Catalog」に追加し、2021年12月24日まで、この重大な欠陥を軽減するために連邦政府機関に迅速な行動を要求しています。