イベントログの確認をするときに利用するサイト

使いやすいサイトは２つあります。 【EVENTID.NET】 http://www.eventid.net/ Top 画面から、または［Search］のところから、Event ID と Event Source を入力して内容を検索できます。 【Event-o-Pedia】 http://eventopedia.cloudapp.net/ サイトにアクセスして、 【Microsoft Windows】→【Built-in logs】とツリーを展開すると、Windows 2000/2003 と Windows 2008 の２つに分かれています。 それぞれのEvent Log のコード体系が異なるからですね。 特に【Security Log】は EventID で整列されていま...

netcat は利用禁止

netcat は利用禁止。 リモートシェル実行で立ちあげるとバックドアとなる危険がある。 さっき Virus Total で Windows 版 netcat の nc.exe（v1.11 NT www.vulnwatch.org/netcat/） をアップロードしてスキャンしてみたところ、24 / 52 でヒットした。 Symantec が検知するので幸いにもうちではアンチウイルスが検知・削除する。 そうでない場合には、アンチウイルスに nc.exe のハッシュを登録する、プロセス監視で nc.exe をブロックする、ネットワーク監視で該当ハッシュのファイルを検知する、プロセス生成のセキュリティイベントログを検知する、アクセスリスト（ACL）で利用ポートのみアクセス許可を行い空きポートを作らない、ポートスキャンで定期的に用途不明のポートが上がっていないかチェックする、などいろいろなやり方があるから、環境にあった方法で対応すればいい。 (adsbygoogle...

スパムメール情報サイト

事の発端は Symantec の検知イベントで 5.135.38.169 という IP アドレスへの通信を発見したのですが、それがスパムメールに関連するかどうかと思っていろいろと調べたので少し整理しておきます。 まず IP アドレスが分かっているので、その IP アドレスが不正なサイトかどうかをチェックしました。 そうするとこのサイトでチェックできることが分かりました。 The Anti Hacker Alliance (AHA) http://anti-hacker-alliance.com/ 【Search IP (e.g. 123.)】 というボックスがあって、ここに IP アドレスを入力するとその IP アドレスのチェックをしてくれます。 検索結果はこの URL。 http://anti-hacker-alliance.com/index.php?details=5.135.38.169 Blacklist...

Virus Total であやしいファイルのチェックを行う

Virus Total は疑わしいファイルが合った時、複数のウイルスソフトを使ってそのファイルのチェックを行ってくれます。 １．パソコンの全体スキャンを行ってくれるわけではなく、ファイルを指定してアップロードする必要があります。 ２．ウイルス対策ソフトは 50 種類以上用意されていて、アップロードしたファイルをスキャンして結果を表示してくれます。 ３．既に同じファイルを誰かがアップロードしてスキャンしていることもあり、その場合には「前回の結果」としてその時のスキャン結果を見ることになります。 ４．ファイルのハッシュ値を使って同じファイルかどうかの識別をしています。例えばProcess Explorer では、ファイルの Virus Total でのウイルスチェックを行う機能を持っていますが、マシン上でハッシュ値を取り出し、そのハッシュ値を Virus Total に問い合わせてスキャン履歴を取得しています。 あやしいファイルの見つけ方は一つではなく、いろいろな手法を組み合わせることになります。 これかも、というファイルがあったときは...

Bind 9 の脆弱性

今週の火曜日、12/9 に Bind その他 DNS サーバの緊急レベルの脆弱性が発表されました。 DNS キャッシュサーバとして動作する DNS サーバが CPU やメモリリソースを消費する DoS 攻撃を受けてしまうというものです。 既にパッチがリリースされているので、この攻撃が流行る前に、急いで対策をすることが必要。 (adsbygoogle = window.adsbygoogle || []).push({}); ...

12月のMicrosoft Update

12月10日（水）にMicrosoft Updateがリリースされました。 今回のリリースは MS14-075、MS14-080 から MS14-085 の計７件で、緊急 レベルのものが３件ありました。 ただ、セキュリティニュースを見るといくつか不具合があるようです。 Visual Studio の更新プログラム KB3002339 に問題があって、Windows Updateの動作がおかしくなったりシステムがハングしたりといったことが起きるとのことです。 ※Visual studio 2012 をインストールしているマシンのみ対象 その他にも、KB3004394 のパッチを適用するとデバイス関連、UAC 関連で不具合が発生したりするということでアンインストールを推奨したり、KB3011970 のパッチを適用すると Silverlight で動画再生ができないトラブルがあってSilverlightの入れなおしが必要となったりとしているようです。 KB3004394...

ActiveDefenseで悪性ファイルを検出する

マルウェア検出機能を持ったツールはたくさんある。 Active Defense の Digital DNA は未知のマルウェアを検出する用途では有名なツール。 一つ一つクリアかどうかを判断するため運用は大変な部分があるが、チェック対象のプログラムやモジュールがどんな関数を使っているかを見てスコアリングする。 メモリのスキャンも行い、メモリインジェクションされているかどうかも検出することができる。 (adsbygoogle = window.adsbygoogle || []).push({})...

Search String

コマンドは findstr /S /M "Bome" * Search String は PrcWorks0、Bome、UPX0、UPX1、UPX3、xfa、daxe、sqq] この意味分かるかな？ (adsbygoogle = window.adsbygoogle || []).push({})...