イベントログの確認をするときに利用するサイト

使いやすいサイトは２つあります。

【EVENTID.NET】
http://www.eventid.net/

Top 画面から、または［Search］のところから、Event ID と Event Source を入力して内容を検索できます。


【Event-o-Pedia】

http://eventopedia.cloudapp.net/

サイトにアクセスして、

【Microsoft Windows】→【Built-in logs】とツリーを展開すると、Windows 2000/2003 と Windows 2008 の２つに分かれています。

それぞれのEvent Log のコード体系が異なるからですね。

特に【Security Log】は EventID で整列されています。

netcat は利用禁止

netcat は利用禁止。

リモートシェル実行で立ちあげるとバックドアとなる危険がある。

さっき Virus Total で Windows 版 netcat の nc.exe（v1.11 NT www.vulnwatch.org/netcat/） をアップロードしてスキャンしてみたところ、24 / 52 でヒットした。

Symantec が検知するので幸いにもうちではアンチウイルスが検知・削除する。

そうでない場合には、アンチウイルスに nc.exe のハッシュを登録する、プロセス監視で nc.exe をブロックする、ネットワーク監視で該当ハッシュのファイルを検知する、プロセス生成のセキュリティイベントログを検知する、アクセスリスト（ACL）で利用ポートのみアクセス許可を行い空きポートを作らない、ポートスキャンで定期的に用途不明のポートが上がっていないかチェックする、などいろいろなやり方があるから、環境にあった方法で対応すればいい。

スパムメール情報サイト

事の発端は Symantec の検知イベントで 5.135.38.169 という IP アドレスへの通信を発見したのですが、それがスパムメールに関連するかどうかと思っていろいろと調べたので少し整理しておきます。

まず IP アドレスが分かっているので、その IP アドレスが不正なサイトかどうかをチェックしました。

そうするとこのサイトでチェックできることが分かりました。

The Anti Hacker Alliance (AHA)
http://anti-hacker-alliance.com/

【Search IP (e.g. 123.)】 というボックスがあって、ここに IP アドレスを入力するとその IP アドレスのチェックをしてくれます。

検索結果はこの URL。
http://anti-hacker-alliance.com/index.php?details=5.135.38.169

Blacklist を持ってる多数サイトをチェックして該当 IP アドレスがヒットするかどうかチェックします。

今回 FABELSOURCES という Blacklist にはこのアドレスがヒットしていました。

ここは国コード dk なのでデンマークのサイトのようです。
そして スパムメールの Blacklist を公開していました。

サイト下の方に Lookup というのがあるのでそれを使います。

そうすると
5.135.38.169 is listed in spamsources.fabel.dk.
と表示され、ブラックリストにリストされている（つまり登録されている）ことが分かりました。


このようにブラックリストを公開しているサイトはたくさんあって、まとめてサーチできるのが上の AHA や MX Toolbox です。

MX Toolbox では Blacklists を開くと先ほど AHA で検索したのと同じ結果が出てきます。
同じように Analyze Header を開くとメールヘッダ解析をしてくれます。

Virus Total であやしいファイルのチェックを行う

Virus Total は疑わしいファイルが合った時、複数のウイルスソフトを使ってそのファイルのチェックを行ってくれます。

１．パソコンの全体スキャンを行ってくれるわけではなく、ファイルを指定してアップロードする必要があります。

２．ウイルス対策ソフトは 50 種類以上用意されていて、アップロードしたファイルをスキャンして結果を表示してくれます。

３．既に同じファイルを誰かがアップロードしてスキャンしていることもあり、その場合には「前回の結果」としてその時のスキャン結果を見ることになります。

４．ファイルのハッシュ値を使って同じファイルかどうかの識別をしています。例えばProcess Explorer では、ファイルの Virus Total でのウイルスチェックを行う機能を持っていますが、マシン上でハッシュ値を取り出し、そのハッシュ値を Virus Total に問い合わせてスキャン履歴を取得しています。

あやしいファイルの見つけ方は一つではなく、いろいろな手法を組み合わせることになります。

これかも、というファイルがあったときは Virus Total でチェックして確認します。

ただし、このやり方で発見できるのは誰かが既にスキャンした既知のファイルに対してのみです。

フォレンジックも踏まえて行う場合には、このやり方をすることで該当ファイルのハッシュ値がサイトに登録されてしまいます。
それにより攻撃者にばれてしまう、アンチウイルスソフトに組み込まれてライブフォレンジックに失敗してしまう、といったことになるので、Virus Total のスキャンはやらない手法をとることになります。

Bind 9 の脆弱性

今週の火曜日、12/9 に Bind その他 DNS サーバの緊急レベルの脆弱性が発表されました。

DNS キャッシュサーバとして動作する DNS サーバが CPU やメモリリソースを消費する DoS 攻撃を受けてしまうというものです。

既にパッチがリリースされているので、この攻撃が流行る前に、急いで対策をすることが必要。

12月のMicrosoft Update

12月10日（水）にMicrosoft Updateがリリースされました。

今回のリリースは MS14-075、MS14-080 から MS14-085 の計７件で、緊急 レベルのものが３件ありました。

ただ、セキュリティニュースを見るといくつか不具合があるようです。

Visual Studio の更新プログラム KB3002339 に問題があって、Windows Updateの動作がおかしくなったりシステムがハングしたりといったことが起きるとのことです。
※Visual studio 2012 をインストールしているマシンのみ対象

その他にも、KB3004394 のパッチを適用するとデバイス関連、UAC 関連で不具合が発生したりするということでアンインストールを推奨したり、KB3011970 のパッチを適用すると Silverlight で動画再生ができないトラブルがあってSilverlightの入れなおしが必要となったりとしているようです。

KB3004394 は既に修正パッチがリリースされているし、残り２点については既に公開が中止されています。

ActiveDefenseで悪性ファイルを検出する

マルウェア検出機能を持ったツールはたくさんある。

Active Defense の Digital DNA は未知のマルウェアを検出する用途では有名なツール。

一つ一つクリアかどうかを判断するため運用は大変な部分があるが、チェック対象のプログラムやモジュールがどんな関数を使っているかを見てスコアリングする。

メモリのスキャンも行い、メモリインジェクションされているかどうかも検出することができる。

Search String

コマンドは findstr /S /M "Bome" *

Search String は PrcWorks0、Bome、UPX0、UPX1、UPX3、xfa、daxe、sqq]

この意味分かるかな？