Symantec CIDS シグネチャ - HTTP Hylafax Faxsurvey Remote PW Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP Hylafax Faxsurvey Remote PW Access 侵入 URL: www.test.jp/test/cgibin/faxsurvey?/bin/cat%20/etc/passwd リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 1740 ［調査］ Hylafax とは？ Fax 送受信に使われる古いパッケージ。 この中に faxsurvey というコマンドがあり、入力チェックをしない不具合がある。 ①faxsurvey パッケージは入っていない。 ②Symantec はこの通信をブロックした。 攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。 (adsbygoogle...

Symantec CIDS シグネチャ - HTTP JJ Sample CGI Cmd Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP JJ Sample CGI Cmd Exec 侵入 URL: www.test.jp/test/cgi-bin/jj?pwd=SDGROCKS&pop=0&name=rudi&adr=elder4&phone=4523534~/bin/ls リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 4382 ［調査］ jj とは？ jj は CGI のサンプルプログラム。このプログラムに問題があるため、コマンド実行されるおそれがある。 ①jj は入っていない。 ②Symantec はこの通信をブロックした。 攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。 (adsbygoogle...

Symantec CIDS シグネチャ - HTTP Info2www CGI Command Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP Info2www CGI Command Exec 侵入 URL: www.test.jp/test/cgi-bin/info2www?(../../../../../../../bin/mail リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 4378 ［調査］ info2www とは？ info ファイルを www ブラウザで閲覧できるようにする。 古いバージョンの info2www では ルート権限でプロセスを実行できてしまうバグがあり、そのためにコマンド実行が試行された。 ①info2www パッケージは入っていない。 ②Symantec はこの通信をブロックした。 攻撃元...

Symantec CIDS シグネチャ - HTTP htdig File Disclosure CVE-2000-0208

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: Attack: HTTP htdig File Disclosure CVE-2000-0208 侵入 URL: www.redsonline.jp/test/cgi-bin/htsearch?exclude=%60%60 リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 4281 ［調査］ htdig とは？ 小規模サイトのWeb検索や索引を作成するシステム。 10年以上前の古いパッケージ。 htsearch は htdig の持つフロントエンドのコマンドで、実際のサーチ（検索）を行う。 %60 は `（バックスラッシュ）の文字コード。 htdig を使っていなければ問題ないものであり、また、Symantec...

Symantec CIDS シグネチャ - HTTP SCO Skunkware ViewSrc Traversal

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP SCO Skunkware ViewSrc Traversal 侵入 URL: www.test/test/_vti_pvt/authors.pwdgi-bin/view-source?../../../../../../../etc/passwd リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 2877 ［調査］ vti_pvt というディレクトリにアクセスしている。 FrontPage、Expression Web、または SharePoint Designer をインストールすると作成されるディレクトリ。 これらソフトは使っていないので対象外。 上位フォルダへアクセスして、そこから...

Symantec CIDS シグネチャ - Web Attack: ISM DLL Remote Administration

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: Web Attack: ISM DLL Remote Administration 侵入 URL: www.test.jp/test/scripts/iisadmin/ism.dll?dir/bdir+??c: リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 2284 ［調査］ HTTP Htgrep CGI File Access とセットでやってきました。 HTTP Htgrep CGI File Access は Linux をターゲットにしていますが、ISM DLL Remote Administration は Windows をターゲットにしています。 このシグネチャは IIS 4.0...

Symantec CIDS シグネチャ - HTTP Htgrep CGI File Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP Htgrep CGI File Access 侵入 URL: www.test.jp/test/cgi-bin/htgrep/file=index.html&hdr=/etc/passwd リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 1932 ［調査］ htgrep とは？ Perl で作られた CGI スクリプト。もう古いパッケージで既にサポートもされていない。 htgrep パッケージを使ってファイルの中身が見れるかどうかを確認するためのスキャン攻撃。 ①htgrep パッケージは入っていない。 ②Windows サーバだが、/etc/passwd と Linux のファイルをアクセスしようとしている。 ③Symantec...

攻撃者を捕まえる方法

サイバーセキュリティにおいて、攻撃者を捕まえる最も効果的な方法とは。 ①その攻撃者が最もよろこぶ餌をまく 　　－そんじょそこらの餌じゃダメ。最もよろこぶ餌をまくこと ②そうすると攻撃者はターゲットだけを見るようになる 　　－他への関心をなくすことにによって他へのセキュリティを守ることができる ③攻撃者がボロを出すまでじっと待ち、そこを捕まえる 　　－時間がかかっても相手が動くまでじっと待つ 　　－必ずボロを出すのでそこを捕まえる 必ずしも当てはまるわけじゃないけど、よくある手法の一つで...

openssl の深刻な脆弱性

openssl の深刻な脆弱性のパッチが明日リリースされる。 どんな内容かは未発表。 出たら急いで適用スケジュールを立てなくては。。。 3/25 追記 緊急のパッチは２件ありました。DoS と MITM。 詳細はネットで探せばいくらでもあるのでここでは割愛しま...

仕事で必要なメンタルの強さ

これは番外編です。 職場で仕事をしていると、いろんな人と接することになります。 もちろん仕事を前向きに取り組んでる人もいるにはいるけど、そうじゃない人もいっぱいいます。 ・文句ばかり不満でいっぱいの人。 ・余計なことはやりたくないと、言われたことだけしかやろうとしない人 ・人を見下して周りの人を道具として扱うような人。 ・自分の仕事だけが大事であって、他の人の仕事はたいしたことないと考える人 私はエンジニアであってマネージャーではないから、こういった人たちのモーチベーションをどのように管理しようという話をしようとしているのではないです。 ただ、セキュリティという仕事をすると、技術の知識も広く必要なのですが、それだけじゃなくて、たくさんの人とのコミュニケーションを取ることも必要になります。 そんな人を見ていると、良い仕事、良い上司、成功体験や失敗体験、人との信頼、いろんな経験...

セキュリティ侵害とはいつも隣り合わせ

私はいつもセキュリティ侵害と隣合わせで仕事をしている。 だから毎日いろんなログをチェックする。 不正なプロセスが上がってないか、サービスが登録されたりしていないか、未知のファイルが生成されていないか、C&C サーバへの通信は起きていないか、RDP のリバースターミナルが作られていないか、VPN は正しく使われているか、特権アカウントの無断利用がないか、パフォーマンスの異常がないか、アプリケーションエラーが起きてないか。。。 知らない事象が起きていないかどうかを把握するために、いろんなことを知ってないといけない。 コミュニケーションも大事。 協力的な人もいれば非協力的な人もいる。 敵意を持った人まで現れる。 それも仕方がないこと。 その中でなんとかやる。 それが現場のセキュリティエンジ...

2015年2月のWindowsUpdate

2015年2月のWindowsUpdateがリリースされました。 Internet Explorer の脆弱性が前評判でも緊急扱いでしたが、緊急（リモートでコードが実行される） レベルでパッチがリリースされました。 でも IE だけじゃなかったです。 Windows カーネルモードドライバの脆弱性も、グループポリシーの脆弱性も、Officeの脆弱性も、いろいろと緊急でリリースされてました。 一つ一つの脆弱性について議論するよりかは、まとめて全部適用しましょう。 それで...

侵害を見つけるためにプロセスの実行をイベントログに記録する

マシンで不審な動作が行われていないかをチェックするのに、セキュリティイベントログでプロセスの生成や終了を出力させます。 これはグループポリシーで設定できます。 そしてマシンが侵害されると意図せずプロセスの実行が行われるので、これを見つけます。 ただしこのようにして出力するようにしたプロセスの生成イベントは、例えば net.exe コマンドが実行したとか、quser.exe コマンドが実行したとしか、イベントログには出力されません。 侵害が起きたかどうかのイベントを検知するためにはこれも重要な情報なのですが、プログラムの引数も欲しいです。cscript.exe のプロセス生成だけではなくて、引数で VB スクリプトファイル名も知りたいということです。 ※もちろんハッカーはスクリプトを実行したら必ずファイルを消しますから、どんなスクリプトかを知ることができるかどうかは微妙です。経験的には...

クロスサイトスクリプティング Q&A

クロスサイトスクリプティングって何ですか？ → インターネットを使っている中で起きるセキュリティ攻撃の一つです。 どこでその攻撃を受けるの？ → IEやChromeなどのブラウザを使っている中で受けることがあります。 IE や Chrome などにパッチを当てて最新に保てば大丈夫ですか？ → いいえ。ダメなんです。IE や Chrome がスクリプト実行できることに問題があります。 では IE や Chrome のスクリプトを止めるのはどうですか？ → JavaScriptやActiveXなどを含むブラウザーのスクリプトを無効にする方法で対応ということも言われますが、著しく使い勝手が悪くなります。個人で楽しむにはスクリプト実行は前提にもなっているので致命的と言っていいです。 クロスサイトスクリプティングの脆弱性があるというのは何？ → Web サーバがクロスサイトスクリプティング用の対策をしてないということです。 誰が攻撃をするのですか？ →...

Symantec CIDS シグネチャ - Web Attack: Joomla JCE Vulnerability

アンチウイルスソフト Symantec の検知イベントでこんなのがありました。 Joomla・・・じゅーむら。オープンソースのツールで複数の人数でブログなどを作るのに使うことができる。PHPで書かれている。 JCE・・・Joomla contents editor の略  つまり、Joomla は Apache や IIS の Web サーバ上で動作する PHP のツールで、そこの脆弱性に対しての攻撃があったことを示している。 ただ、該当のサーバが Joomla! が使っていなければサーバ上にそもそも脅威は存在しないため意味のない攻撃となる。 ちなみにこの脆弱性の説明を Symantec のサイトで確認すると下記のようにある。 Web Attack: Joomla JCE Vulnerability http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27481 JCE...

私はセキュリティエンジニア

私はオンラインゲーム会社に務めていて、セキュリティ専門のチームでセキュリティエンジニアをしています。 ハッキングとかDoSとか、そういったサイバー関係の攻撃の対応がメインの業務です。 セキュリティソリューションの検討や導入、セキュリティ関係の最新動向の把握とシステムへの対応、そしてインシデントレスポンスをしたりします。 常時の負荷は大したことなくて余裕のある感じなのですが、一旦インシデントが起きるとかなりのプレッシャーと緊迫した状態で仕事をしてい...

glibc の脆弱性。議論する前に適用を。

glibc の脆弱性が公開されて数日経ちました。 緊急だと騒いだり、影響は少ないから落ち着いて対処をと言ったり。。。 どっちが正しいかを考える必要はない。 攻撃コードが作成される可能性がある。 だから、そうなってしまう前にパッチを急いで当てれば良い。 もし不要なパッチなら適用するのは無駄な作業になるのだからちゃんと調べろという人がいる。 セキュリティエンジニアにとってはそんなこと言われて調べるのが無駄な作業。 なぜなら全ての企業のセキュリティエンジニアが gethostbyname 関数の影響が Apache に影響があるのかどうかとか、メールサーバに影響があるのかどうか分かるわけじゃないからです。 既に危険だとアナウンスされているのだから、私は適用を進めるべきだと思ってる。 Goをかけてもらい、各所に影響があると話をして、スケジュールを立てて、システムエンジニアに作業をしてもらう。 それが企業のセキュリティエンジニア。 もし「お前がやれ」という指示をするなら、その時点で、そこにセキュリティは無いだろう。 私は価値観の理解のあるところで働けていて、とても恵まれている。 (adsbygoogle...

Linuxで実行したコマンドのログを取る

Linux ではどんなコマンドが実行されたのか、ログを取るといい。 Sebek2 が有名。 これは Honeynet でもよく使われていて、その場合、ハッカーがどんなコマンドを実行したのか、それをログに取るのに使われる。 ログはリモートに保存される。ちょうど rsyslog のような感じ。 通信は暗号化される。デフォルトポートは 1101 番を使う。 (adsbygoogle = window.adsbygoogle || []).push({}...

Symantec CIDS シグネチャ文字列: Web Attack: Wordpress Arbitrary File Download

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク］ シグネチャ名: Web Attack: Wordpress Arbitrary File Download シグネチャ ID: 27847 シグネチャサブ ID: 73094 侵入 URL: xxxxxxx.co.jp/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php 侵入ペイロード URL: N/A イベントの説明: [SID: 27847] Web Attack: Wordpress Arbitrary File Download 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM イベントの種類: 侵入防止 ハッキングの種類: 0 重大度:...

Symantec Web Attack: Exploit Kit Variant

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。 ［検出したリスク］ シグネチャ名: Web Attack: Exploit Kit Variant 6 イベントの説明: [SID: 24204] Web Attack: Exploit Kit Variant 6 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE イベントの種類: 侵入防止 重大度: 致命的 アプリケーション名: C:/PROGRAM FILES (X86)/GOOGLE/CHROME/APPLICATION/CHROME.EXE ネットワークプロトコル: TCP トラフィック方向: インバウンド リモート IP: 175.126.123.160 ローカルポート:...

Symantec Web Attack: Malicious File Download

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。 ［検出したリスク］ シグネチャ名: Web Attack: Malicious File Download 24 イベントの説明: [SID: 27892] Web Attack: Malicious File Download 24 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE イベントの種類: 侵入防止 重大度: 致命的 アプリケーション名: C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE.EXE ネットワークプロトコル: TCP トラフィック方向: インバウンド リモート IP: 80.252.188.229 ローカルポート:...

Symantec CIDS シグネチャ - OS Attack: GNU Bash CVE-2014-6271

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で確認できたメッセージ。 ［検出したリスク］ シグネチャ名：OS Attack: GNU Bash CVE-2014-6271 侵入 URL:127.0.0.1/cgi-bin/authLogin.cgi イベントの説明:[SID: 27907] OS Attack: GNU Bash CVE-2014-6271 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM イベントの種類:侵入防止 リモート IP: 113.42.244.56 ［状況］ ・Webサーバで、リモートから該当の攻撃を受け付けた。 ・攻撃は Symantec が遮断したため、不成立。 ［処置］ 攻撃をしてきた IP アドレス 113.42.244.56 は ファイアーウォール で遮断。 ※ IP アドレスレベルでブロックし、二度とアクセスできるようにする必要はない。 ［どんな攻撃？］ CVE...

STOP エラーの発生をイベントログで検知する

STOP エラーが発生した時のイベントログの出力例。 ソース EventLog からのイベント ID 6008 番。 システム イベントログ ソース： EventLog 種類： エラー イベントID： 6008 説明： 以前のシステム シャットダウン（yyyy/mm/dd hh:mm:dd）は予期されていませんでした。 ソース DrWatson からのイベント ID 4097 番。 アプリケーション イベントログ ソース： DrWatson 種類： 情報 イベントID： 4097 説明： アプリケーション C:\WINDOWS\system32\winlogon.exe がアプリケーション エラーを起こしました。dd/mm/yyyy HH:MM:SS xxx にエラーが発生しました。発生した例外 c00000005 アドレス 10059E07 (module name) ソース...

STOP エラーの後、タスクスケジューラサービスの起動に失敗

Windows 2003 Server で起きた問題。 STOP エラーが起きた直後で、タスクスケジューラサービスの起動に失敗したことがありました。 OS 起動時のダイアログ タイトル：　サービス コントロール マネージャ システム スタートアップの最中、少なカウとも 1 つのサービスまたはドライバにエラーが発生しました。詳細はイベント ビューアのイベント ログを参照してください。 よく出るメッセージです。 自動起動に設定されていて起動していないサービスをチェックしたところ、３つ起動していないものがありました。 １．Microsoft .NET Framework NGEN v4.0.30319_X86 ２．Task...

ジョブ（$~$Sys0$.job）の実行履歴

タスクスケジューラのログファイル SchedLgU.Txt  にこのようなログが表示されていた場合。 "$~$Sys0$.job" (rundll32.exe)         開始 20xx/xx/xx mm:dd:ss         結果: タスクは次の終了コードで完了しました: (0). このマシンはウィルスに感染しています。 アンチウイルスで検知したかどうかの問題ではありません。 速やかにネットワークから切り離し、マシンのリプレースが必要です。 (adsbygoogle = window.adsbygoogle || []).push({}...

Windows マシンをリモートでアクセスする時 RDP は必ずログオフで切断すること

Windows マシンをリモートでアクセスするのに RDP を使うケース。 作業が終わったら、再接続のために×ボタンで切断したり、タイムアウトでセッションを切断することがある。 しかし、この様な場合、管理マネージャを見れば分かるが、RDPセッションはアクティブのまま残っている。 このような状態でセッションが残っていると、アクセス元マシンがハッキングされた場合に RDP セッションを再利用される心配がある。 RDP アクセスは必ずログオフで切断すること。 (adsbygoogle = window.adsbygoogle || []).push({}...

アンチウイルスソフトが tmp フォルダのファイルを検知したときには既にそのマシンはマルウェアに感染している

アンチウイルスソフトの管理をしていると、tmp フォルダのファイルを検知することが有ります。 ［検知内容］ リスク名: Trojan.Gen.2 ファイルパス: C:\Users\ユーザー名\AppData\Local\Temp\nsp71D9.tmp 送信元: リアルタイムスキャン リアルタイムスキャンでセーフなパターンはいくつかあるけど、例えばブラウザとか使ってファイルをダウンロード中にファイルを検知した場合はセーフですね。 でもその場合には検知ファイルのパスはこうなるはずです。 ・IE のダウンロード先は既定では Download フォルダ ・Chrome のダウンロード先は既定では  C:\Users\<ユーザー名>\Downloads Temp フォルダにファイルが作成されるケースは、既に悪意のあるプログラムが実行していて、そのプログラムが作った一時ファイルを検知するという場合があります。 今回はそのケースでした。 トロイの木馬でマシン情報を集めてインターネット上へアップロードする機能を持っているものでした。 幸い、ファイルが作成されたタイミングで削除しているので、それ以上の悪意ある行動は取れなかったようです。 すみやかにマシンを入れ替えました。 (adsbygoogle...