イベントログの確認をするときに利用するサイト

使いやすいサイトは２つあります。 【EVENTID.NET】 http://www.eventid.net/ Top 画面から、または［Search］のところから、Event ID と Event Source を入力して内容を検索できます。 【Event-o-Pedia】 http://eventopedia.cloudapp.net/ サイトにアクセスして、 【Microsoft Windows】→【Built-in logs】とツリーを展開すると、Windows 2000/2003 と Windows 2008 の２つに分かれています。 それぞれのEvent Log のコード体系が異なるからですね。 特に【Security Log】は EventID で整列されていま...

netcat は利用禁止

netcat は利用禁止。 リモートシェル実行で立ちあげるとバックドアとなる危険がある。 さっき Virus Total で Windows 版 netcat の nc.exe（v1.11 NT www.vulnwatch.org/netcat/） をアップロードしてスキャンしてみたところ、24 / 52 でヒットした。 Symantec が検知するので幸いにもうちではアンチウイルスが検知・削除する。 そうでない場合には、アンチウイルスに nc.exe のハッシュを登録する、プロセス監視で nc.exe をブロックする、ネットワーク監視で該当ハッシュのファイルを検知する、プロセス生成のセキュリティイベントログを検知する、アクセスリスト（ACL）で利用ポートのみアクセス許可を行い空きポートを作らない、ポートスキャンで定期的に用途不明のポートが上がっていないかチェックする、などいろいろなやり方があるから、環境にあった方法で対応すればいい。 (adsbygoogle...

スパムメール情報サイト

事の発端は Symantec の検知イベントで 5.135.38.169 という IP アドレスへの通信を発見したのですが、それがスパムメールに関連するかどうかと思っていろいろと調べたので少し整理しておきます。 まず IP アドレスが分かっているので、その IP アドレスが不正なサイトかどうかをチェックしました。 そうするとこのサイトでチェックできることが分かりました。 The Anti Hacker Alliance (AHA) http://anti-hacker-alliance.com/ 【Search IP (e.g. 123.)】 というボックスがあって、ここに IP アドレスを入力するとその IP アドレスのチェックをしてくれます。 検索結果はこの URL。 http://anti-hacker-alliance.com/index.php?details=5.135.38.169 Blacklist...

Virus Total であやしいファイルのチェックを行う

Virus Total は疑わしいファイルが合った時、複数のウイルスソフトを使ってそのファイルのチェックを行ってくれます。 １．パソコンの全体スキャンを行ってくれるわけではなく、ファイルを指定してアップロードする必要があります。 ２．ウイルス対策ソフトは 50 種類以上用意されていて、アップロードしたファイルをスキャンして結果を表示してくれます。 ３．既に同じファイルを誰かがアップロードしてスキャンしていることもあり、その場合には「前回の結果」としてその時のスキャン結果を見ることになります。 ４．ファイルのハッシュ値を使って同じファイルかどうかの識別をしています。例えばProcess Explorer では、ファイルの Virus Total でのウイルスチェックを行う機能を持っていますが、マシン上でハッシュ値を取り出し、そのハッシュ値を Virus Total に問い合わせてスキャン履歴を取得しています。 あやしいファイルの見つけ方は一つではなく、いろいろな手法を組み合わせることになります。 これかも、というファイルがあったときは...

Bind 9 の脆弱性

今週の火曜日、12/9 に Bind その他 DNS サーバの緊急レベルの脆弱性が発表されました。 DNS キャッシュサーバとして動作する DNS サーバが CPU やメモリリソースを消費する DoS 攻撃を受けてしまうというものです。 既にパッチがリリースされているので、この攻撃が流行る前に、急いで対策をすることが必要。 (adsbygoogle = window.adsbygoogle || []).push({}); ...

12月のMicrosoft Update

12月10日（水）にMicrosoft Updateがリリースされました。 今回のリリースは MS14-075、MS14-080 から MS14-085 の計７件で、緊急 レベルのものが３件ありました。 ただ、セキュリティニュースを見るといくつか不具合があるようです。 Visual Studio の更新プログラム KB3002339 に問題があって、Windows Updateの動作がおかしくなったりシステムがハングしたりといったことが起きるとのことです。 ※Visual studio 2012 をインストールしているマシンのみ対象 その他にも、KB3004394 のパッチを適用するとデバイス関連、UAC 関連で不具合が発生したりするということでアンインストールを推奨したり、KB3011970 のパッチを適用すると Silverlight で動画再生ができないトラブルがあってSilverlightの入れなおしが必要となったりとしているようです。 KB3004394...

ActiveDefenseで悪性ファイルを検出する

マルウェア検出機能を持ったツールはたくさんある。 Active Defense の Digital DNA は未知のマルウェアを検出する用途では有名なツール。 一つ一つクリアかどうかを判断するため運用は大変な部分があるが、チェック対象のプログラムやモジュールがどんな関数を使っているかを見てスコアリングする。 メモリのスキャンも行い、メモリインジェクションされているかどうかも検出することができる。 (adsbygoogle = window.adsbygoogle || []).push({})...

Search String

コマンドは findstr /S /M "Bome" * Search String は PrcWorks0、Bome、UPX0、UPX1、UPX3、xfa、daxe、sqq] この意味分かるかな？ (adsbygoogle = window.adsbygoogle || []).push({})...

Windowsの起動と停止をイベントログで確認する

Windowsがいつ起動していつ停止したかをイベントログで確認する。 EventLog サービス のログ システム イベントログ に出力。 イベント ソースは EventLog で、サービスの起動が EventID 6005、停止が EventID 6006。 ログのフィルタで 6005 と 6006 を抽出するとサービスの起動と停止が交互に並ぶ。 Kernel-General のログ システム イベント ログに出力。 イベント ソースは Kernel-General。 Event ID 12：オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx に開始しました。 Event ID 13：オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx にシャット ダウンします。 注：この時間は UTC 表示であり、９時間ずれる。 ログのフィルタで...

Security Toolset

WireShark Sysinternals suite 　－ Process Explorer 　－ tcpmon msconfig (adsbygoogle = window.adsbygoogle || []).push({})...

Flash Player の臨時アップデート

11月25日に臨時でアップデートした Flash Player のセキュリティパッチの話。 アナウンス内容は 10/14 のアップデートで修正した内容の追加の対策が盛り込まれている。 10月の修正内容では十分ではなく、中途半端なパッチだったということかな。 Flash Player のアップデートについてまとめます。 Google ・Google Chrome の Flash Player は特別な操作を行わなくても自動的に最新版に更新される。 →11/26 に Google Chrome もアップデート その他のブラウザ ・Windows 8.x の Internet Explorer（IE）に組み込まれた Flash Player は Windows Update により自動的に最新版に更新される。 ・Windows 7 では自動更新のチェックを行って対策する。 ※［コントロールパネル］...

Windowsのパスワードの保存と不正利用の脅威について

Windows のパスワードは LM ハッシュ またはNT LM ハッシュ の形でレジストリに保存されている。 ファイルの実体はSAM（Security Account Manager） ファイルであり、ファイル名は %SystemRoot\system32\config\SAM となっている。そしてレジストリ上の HKLM/SAM にマウントされる。 ActiveDirectory の場合、ドメインユーザー情報は ドメインコントローラ上の ディレクトリデータベース（デフォルト値は DC上の %SystemRoot%\NTDS\ntds.dit ファイル）に格納される。 マシンがオンラインの場合、SAM ファイルは OS が排他的にアクセスをするため、単純にはこのファイルは移動したりコピーすることができないように制御されている。（注１） ただし、メモリ上にコピーがあり、そこからパスワードのハッシュ値とかまた...

リンク集

Windows セキュリティ TechCenter https://technet.microsoft.com/ja-jp/security/bulletin/ マイクロソフトのセキュリティパッチの一覧。 ［最新のリリース］ の欄から月次にリリースされたパッチ情報にアクセスできる。 Linux Red Hat Customer Portal https://access.redhat.com/home ［Security］－［Red Hat CVE Database］とアクセスして脆弱性情報を参照できる。 脆弱性情報 CVE Details http://www.cvedetails.com/ CVE の脆弱性情報の一覧を確認できる。 ウイルス対策 Virustotal https://www.virustotal.com/ アンチウイルスのオンラインスキャンをしてくれる。 (adsbygoogle...

11月19日にリリースされた定例外にリリースされたセキュリティパッチ

11月19日（水）に Microsoft からセキュリティパッチがリリースされました。 定例のセキュリティリリースは毎月第２の水曜（正式には毎月第２火曜の翌日、アメリカ基準のため）なのですが、それとは別のリリースとなっています。 リリース情報は Microsoft のサイトにあります。 リリース情報 MS14-068 - 緊急 https://technet.microsoft.com/ja-jp/library/security/ms14-068 Kerberos の脆弱性により特権が昇格される (3011780) なぜ定例のパッチではないリリースとなったか 2014年11月11日（水）の定例のリリースは事前アナウンスは16件でしたが、リリースされたのが14件でした。 その時に見送られたパッチになります。 この意味も紐解いてみようと思います。 Kerberos って何ですか？ ネットワーク上の認証方式の１つでサーバとクライアントで身元の確認を行うのに使われる。 共通鍵の暗号化を行う。 Active...

標的型のメール

標的型のメールは毎日やってきます。 単純なスパムももちろんあるけど、あえて特定の企業や個人を狙ってメールすることもあります。 私がよく見るケース。 ・メールにリンクが書いてあって、ここを参照してください と書かれてる。 → exe だったり、インストーラ形式だったり、html だったり。 ・添付ファイルがあって、"xxxxx.doc           .exe" と見た目文書ファイルなんだけど、実は exe の実行ファイルとなっていたりする。 →もちろんマクロが含んだ word のファイルだったり、zip の圧縮ファイルだったり、やっぱいろいろ。 基本は英語か怪しい日本語で書いてあることが多いです。 単純にクリックしただけでは、まだセーフのこともあります。 ・メールに書かれたリンクをクリックして、Google Chrome...

11月の月例パッチは14件

11月12日に月例のパッチをリリースしました。 事前アナウンス時には16件となっていましたが、問題があったそうでリリースされたのは 14件でした。 そのうち緊急は4件。 すみやかに適用を。 パッチがリリースされたら早急に適用しなくちゃいけないですね。 (adsbygoogle = window.adsbygoogle || []).push({})...

今月のセキュリティパッチは16件

Microsoft のサイトで 2014.11 のセキュリティパッチがどうなるのか見てみました。 今月は16件あって、うち 5 件は緊急となっています。 Microsoft のサイトでは緊急の定義が書かれていて、それを見ると、ユーザーの操作なしでコード実行の悪用が行われる可能性のある脆弱性 となっています。Web ページを閲覧するとかメールを開けると警告やプロンプトが表示されずにコード実行が起こるといったことも含まれているのだそうです。 パッチがリリースされたら早急に適用しなくちゃいけないですね。 (adsbygoogle = window.adsbygoogle || []).push({})...