2014年11月29日土曜日

Windowsの起動と停止をイベントログで確認する

0

Windowsがいつ起動していつ停止したかをイベントログで確認する。

EventLog サービス のログ
システム イベントログ に出力。
イベント ソースは EventLog で、サービスの起動が EventID 6005、停止が EventID 6006。
ログのフィルタで 6005 と 6006 を抽出するとサービスの起動と停止が交互に並ぶ。

Kernel-General のログ
システム イベント ログに出力。
イベント ソースは Kernel-General。
Event ID 12:オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx に開始しました。
Event ID 13:オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx にシャット ダウンします。
注:この時間は UTC 表示であり、9時間ずれる。
ログのフィルタで 12 と 13 を抽出するとサービスの起動と停止が交互に並ぶ。

これら4つ(12,13,6005,6006)のイベントを抽出すると下記の順に並んで出力される。

1.EventLog 6005 イベントログサービス開始
2.Kernel-General 13 (前回の)システムシャットダウン (過去の時刻で登録される)
3.Kernel-General 12 (今回の)システム起動 (過去の時刻で登録される)
4.EventLog 6006 イベントログサービス終了

Kernel-General の 12, 13 のログの方が見やすい。

正しい手順での起動と停止となっていればこれらのログだけが規則正しく並ぶ。
STOP エラー、強制的な電源断などが起きた場合には これらのようには出力されないことがある。


予期しない再起動などの動作についての補足

EventLog サービスの停止が正しく行われなかった場合、EventLog 6008 が出力される。
ソース: EventLog
Event ID 6008
メッセージ:以前のシステム シャットダウン (yyyymmdd hhmmss) は予期されていませんでした。
※STOP エラーが起きた場合、電源ボタンでマシンを落とした場合などのケースで発生する。

別にイベント ID 41 が記録されることもある。(Windows 7/8/2008/2012)
システム イベントログ に出力。
ソースは Microsoft-Windows-Kernel-Power.
Event ID 41:システムは正常にシャットダウンする前に再起動しました。このエラーは、システムの応答の停止、クラッシュ、または予期しない電源の遮断により発生する可能性があります。

STOPエラーが発生した場合には Event ID 6008 とは別に2つのイベントログが出力される。

System Error
システム イベントログに出力。
イベント ソースは System Error、Event ID 1003
説明:エラー コード xxxxxxxx、パラメータ1 xxxxxxxx、パラメータ2 xxxxxxxx, パラメータ3 xxxxxxxx、パラメータ4 xxxxxxxx.

Save Dump
システム イベントログに出力。
イベント ソースは Save Dump、Event ID 1001
説明:
このコンピュータはバグチェック後、再起動されました。
バグチェック: xxxxxxxx (xxxxxxxx, xxxxxxxx, xxxxxxxx, xxxxxxxx)
ダンプが保存されました: C:\WINDOWS\MEMORY.DMP

イベントをウォッチする組み合わせは次の通り。
・Kernel-General の 12 と 13 でシステムの起動と停止を把握。
・EventLog 6008 でハングや STOP エラー、電源断などを把握。
 Microsoft-Windows-Kernel-Power の 41 も補助的に確認。
・System Error 1003 で STOP エラーを把握。
 ダンプが取れているかどうかを Save Dump 1001 で把握。


Security Toolset

0

WireShark
Sysinternals suite
 - Process Explorer
 - tcpmon
msconfig



2014年11月28日金曜日

Flash Player の臨時アップデート

0

11月25日に臨時でアップデートした Flash Player のセキュリティパッチの話。

アナウンス内容は 10/14 のアップデートで修正した内容の追加の対策が盛り込まれている。
10月の修正内容では十分ではなく、中途半端なパッチだったということかな。

Flash Player のアップデートについてまとめます。

Google
・Google Chrome の Flash Player は特別な操作を行わなくても自動的に最新版に更新される。
→11/26 に Google Chrome もアップデート

その他のブラウザ
・Windows 8.x の Internet Explorer(IE)に組み込まれた Flash Player は Windows Update により自動的に最新版に更新される。

・Windows 7 では自動更新のチェックを行って対策する。
※[コントロールパネル] - [システムとセキュリティ] - [FlashPlayer] で設定を行い、通知を使って手動インストール

Flahs のバージョンチェック
https://www.adobe.com/jp/software/flash/about/

最新版 Flash のダウンロード
https://get.adobe.com/jp/flashplayer/

2014年11月27日木曜日

Windowsのパスワードの保存と不正利用の脅威について

0

Windows のパスワードは LM ハッシュ またはNT LM ハッシュ の形でレジストリに保存されている。

ファイルの実体はSAM(Security Account Manager) ファイルであり、ファイル名は %SystemRoot\system32\config\SAM となっている。そしてレジストリ上の HKLM/SAM にマウントされる。

ActiveDirectory の場合、ドメインユーザー情報は ドメインコントローラ上の ディレクトリデータベース(デフォルト値は DC上の %SystemRoot%\NTDS\ntds.dit ファイル)に格納される。

マシンがオンラインの場合、SAM ファイルは OS が排他的にアクセスをするため、単純にはこのファイルは移動したりコピーすることができないように制御されている。(注1)
ただし、メモリ上にコピーがあり、そこからパスワードのハッシュ値とかまた pwddump などのツールからパスワードそのものが取り出せることも知られている。(注2)

パスワード文字列が分からなくてもパスワードのハッシュ値があれば認証することができる。
このハッシュ値はマシンやユーザー名に依存しないので、同じパスワード文字列を設定している場合には別のドメインでも別のマシンや別のユーザー名でもそのハッシュ値で認証できてしまうことが考慮すべき点である。

注1:
管理者権限で実行してもアクセス出来ないが、システム権限であればアクセスすることができる。
システム権限によるアクセスの仕方は PsExec.exe を使う手法が有名で、ネットで簡単に検索できる。

注2:
ローカルアカウントの全てのユーザーアカウントが脅威になる。
ドメインに参加している共有サーバは、アクセスしている全てのアカウントのユーザー・パスワード(正確にはハッシュ値だが。)がメモリ上に残っており、同様に脅威となる。


万能な対策は私にも分からない。

今は必要最低限の権限でアカウントを作ることと、(どんな些細なことであっても)疑いがあった際にはすべてのアカウントのパスワードを変更することが重要なことである。

2014年11月23日日曜日

リンク集

0

Windows

セキュリティ TechCenter
https://technet.microsoft.com/ja-jp/security/bulletin/
マイクロソフトのセキュリティパッチの一覧。
[最新のリリース] の欄から月次にリリースされたパッチ情報にアクセスできる。


Linux

Red Hat Customer Portal
https://access.redhat.com/home
[Security]-[Red Hat CVE Database]とアクセスして脆弱性情報を参照できる。


脆弱性情報

CVE Details
http://www.cvedetails.com/
CVE の脆弱性情報の一覧を確認できる。


ウイルス対策

Virustotal
https://www.virustotal.com/
アンチウイルスのオンラインスキャンをしてくれる。



2014年11月22日土曜日

11月19日にリリースされた定例外にリリースされたセキュリティパッチ

0

11月19日(水)に Microsoft からセキュリティパッチがリリースされました。

定例のセキュリティリリースは毎月第2の水曜(正式には毎月第2火曜の翌日、アメリカ基準のため)なのですが、それとは別のリリースとなっています。

リリース情報は Microsoft のサイトにあります。

リリース情報
MS14-068 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms14-068
Kerberos の脆弱性により特権が昇格される (3011780)

なぜ定例のパッチではないリリースとなったか
2014年11月11日(水)の定例のリリースは事前アナウンスは16件でしたが、リリースされたのが14件でした。
その時に見送られたパッチになります。

この意味も紐解いてみようと思います。

Kerberos って何ですか?
ネットワーク上の認証方式の1つでサーバとクライアントで身元の確認を行うのに使われる。
共通鍵の暗号化を行う。
Active Directory の推奨の認証方式。

どこに脆弱性があるんですか?
サーバ側で認証の要求をチェックする仕組みに脆弱性があったそうです。
例えばユーザー権限のアカウントを持ってる人が、ネットワークのアクセスをするのにADへ認証をしに行ったときに、ユーザー権限ではなくてアドミン権限を手に入れることができるというものです。

パッチはどこに適用するんですか?
ドメインコントローラに急いで適用するよう Microsoft はアナウンスしています。
合わせて、ドメインコントローラ以外は今回の問題の影響はないが、多層防御の更新("Defense in Depth" update)をするともアナウンスしています。

この攻撃を検知する仕組みがありますか?
パッチを適用する前に、この攻撃が成功した場合の検知方法の一例が Microsoft の Security Research and Defense Blog にあります。

セキュリティ イベントログ Event: 4624
An account was successfully logged on.
・・・
New Logon:
Security ID: TESTLAB\Administrator
Account Name: nonadmin
・・・

と、Security ID の名前と Account Name の名前が異なっているということです。

パッチ適用後はこのようなログインは失敗しますからこのようなイベンログは出てこないです。
※ログイン失敗のイベントログで、Additional Information のところに failure code が 0xf と記載がされます。

2014年11月16日日曜日

標的型のメール

0

標的型のメールは毎日やってきます。
単純なスパムももちろんあるけど、あえて特定の企業や個人を狙ってメールすることもあります。

私がよく見るケース。

・メールにリンクが書いてあって、ここを参照してください と書かれてる。
→ exe だったり、インストーラ形式だったり、html だったり。

・添付ファイルがあって、"xxxxx.doc           .exe" と見た目文書ファイルなんだけど、実は exe の実行ファイルとなっていたりする。
→もちろんマクロが含んだ word のファイルだったり、zip の圧縮ファイルだったり、やっぱいろいろ。

基本は英語か怪しい日本語で書いてあることが多いです。


単純にクリックしただけでは、まだセーフのこともあります。

・メールに書かれたリンクをクリックして、Google Chrome のダウンロードマネージャーが起動。
・ファイルをダウンロードした後に「インストールしますか?」というダイアログが起動。
→ここで辞めればセーフ


実行しちゃったら、すぐさまマシンの入れ替えが必要です。


悪性プログラムがインストールされちゃうと、PC からインターネットに向けてセッションを張ります。(※1)
利用するポートも必ずしも 80 や 443 を使うとは限らなくて、何番ポートを使って接続しようとするかは分かりません。
相手のサーバは C&C(Command and Control)サーバと呼ばれます。

そして C&C サーバは PC にコマンドを送り実行させます。

・ファイルを盗み見てネットワーク上に送ったりします。

・起動しているリモートデスクトップのセッションを乗っ取ったりします。(※2)

・サーバにアクセスして、システム情報、アカウント情報、接続されたネットワーク情報などをコマンド実行をして集め、そのファイルをアップロードしたりします。(※3)


これらの兆候を見つけるのは、難しいですがこんなやり方があります。

1.ネットワーク機器のセッションログで C&C サーバへのセッションを見つけます。
 →定期的に同じアドレス宛てに通信していたりする場合に見つけられる可能性があります。

2.プロセスが落ちたり、異常な動作をすることの本人の気付きが必要になります。
 →単なるパフォーマンスの問題と思っていても、実はそうじゃなかったりするケースです。

3.セキュリティイベントログで「プロセスの生成」を監査します。
→セキュリティイベントログはあらかじめ出力設定が必要になります。
 →使ってもいないのに例えばこんなコマンドを実行した履歴があったら要注意です。
    ・command.exe / attrib.exe / regedit.exe
    ・ipconfig.exe / net.exe / net1.exe
    ・netsh.exe / quser.exe / sc.exe
    ・cscript.exe / wscript.exe / notepad.exe ・・・

2014年11月14日金曜日

11月の月例パッチは14件

0

11月12日に月例のパッチをリリースしました。

事前アナウンス時には16件となっていましたが、問題があったそうでリリースされたのは 14件でした。
そのうち緊急は4件。

すみやかに適用を。

パッチがリリースされたら早急に適用しなくちゃいけないですね。

2014年11月9日日曜日

今月のセキュリティパッチは16件

0

Microsoft のサイトで 2014.11 のセキュリティパッチがどうなるのか見てみました。

今月は16件あって、うち 5 件は緊急となっています。

Microsoft のサイトでは緊急の定義が書かれていて、それを見ると、ユーザーの操作なしでコード実行の悪用が行われる可能性のある脆弱性 となっています。Web ページを閲覧するとかメールを開けると警告やプロンプトが表示されずにコード実行が起こるといったことも含まれているのだそうです。

パッチがリリースされたら早急に適用しなくちゃいけないですね。