OSCP セキュリティエンジニアなら目指すべき

あ、私、取得していませんw

Pete LinforthによるPixabayからの画像

 

セキュリティエンジニアならまずCISSPですが、まぁ、セキュリティ全般の知識をもっている証左とはなります。

さらに高度なテクニックを駆使し、分析、マルウエアの解析、サイバー攻撃の手法の理解を求められます。

 

ふらっとみたところ、最近、合格された方が体験記を書かれていたので、ご紹介。

 

OSCP受験記&勉強方法

 
こういう資格をチャレンジする日本のエンジニアが増えてほしい。
それが日本全体としてサイバーディフェンスを強化することになります。
 
読んだけど、大変そう。。w 英語だしw
 
参考:

CISSP

OSCP

 

危険な脆弱性Zerologonをエクスプロイトする攻撃が観測される!

前に投稿したZerologon、被害が確認されつつあります。

 

 

OpenClipart-VectorsによるPixabayからの画像

 

 

Microsoft: Iranian hackers actively exploiting Windows Zerologon flaw

 
 
記事によると、この脆弱性をついたエクスプロイトが観測されたようです。イランベースのサイバーエスピオナージのMuddyWater(MERCCUY)の仕業といわれ、マイクロソフトが警告をだしています。
 
同様にCisco Tarosもこの脆弱性を突くエクスプロイトを観測しています。
 
Windowsサーバをお持ちの方は8月のセキュリティパッチを早めに適用しましょう。
 

スパムフィルターを掻いくぐるスパム(攻撃)

日々ネットワークを関してしている脅威インテリジェンス。マルウエアの配布元を探ってリスト化し、それを企業やセキュリティベンダーに提供しています。

 

最近のスパムメールには、大概マルウエアを添付するわけではなく、マルウエアの所在する、もしくはその手掛かりの情報があるサイトへ誘導することをします。

 

脅威インテリジェンス側もそのサイトのIPアドレスやドメイン名、URLをリスト化してはやくブロックするように提供しています。

 

できれば、スパムメールが届く前に、もしくは、届いても、悪意のあるサイトへ到達しないようにしたいもので、リストは日々アップデートされています。

 

当然、攻撃側も、悪意のあるサイトをなるべく発見されてないように努めます。また、サイトは常時一定のところにいるわけではなく、転移しています。

 

今回の報告は、なるべくサイトのURLを特定されてないように、つまりスパムフィルターなどのセキュリティ対策をかいくぐるためのテクニックが判明しました。

 

https://www.bleepingcomputer.com/news/security/spammers-add-random-text-to-shortened-links-to-evade-detection/

 

 

なかなか興味深い内容ですね。

 

URLは、通常 

プロトコル+ドメイン名(ホスト名)+URI+オプション

で構成されます。

 

規格では、ドメイン名の記述方法で

Athority(ユーザ名に使われる)が記述できるようになっています。

 

例えば

"joseph@www[.]hogehoge[.]com/world/black"

てな感じで、

"www[.]hogehoge[.]com/world/black"

には悪意のあるスクリプトが埋め込まれているとしましょう。

 

実際

www[.]hogehoge[.]comがこのURLを知らないよ、って答えると、

リダイレクト要求して、

"www[.]hogehoge[.]com/world/black"

にアクセスしてね。と答えます。
 
まずはユーザ名をランダム化して、なるべくフィルタに引っかからないようにします。
 
さらにURLですけど、ショートURLに変換してくれるサービスがありますよね?
それを使うことで、さらに

"www[.]hogehoge[.]com/world/black"

を含めてマスクして、
”pastebin/khsoieBe71ia81s"(例)
とします。
 
そこまでチェックするのって、フィルター側は結構面倒なんですよね。
いやぁ、敵ながら考えますね。
 
一旦アクセスしてしまうと、お決まりのPowerShell起動、Dllダウンロード、最後は、本体のLokiBotマルウエアのダウンロード。
というパターン。
 
 

Emotet:脅威は続く

昨年末から日本でもEmotetの被害が出てきましたけど、まだまだ世界的に猛威を振るっているようです。

 

https://www.zdnet.com/article/microsoft-italy-and-the-netherlands-warn-of-increased-emotet-activity/?&web_view=true

 

 

今度は、イタリアやオランダが狙われているようです。

7月に大々的に復活したのですが、あるホワイトハッカーが頑張ってくれて、EmotetのオペレータがハックしたWebサイト(ペイロードの保管用)にペイロードを仕込んでいたのを見つけて、無害の画像ファイルに置き換えてくれて無害化してました。

 

んでもね。。オペレータもさることながら、それを防ぐ手立てを。

 

ボットネットは、単にマルウエアの媒介に使いますが、このネットをさらにダークWeb上にてサービスとして販売します。
時にはランサムウエアを扱う業者に。
そいsて、おおきな企業にとっては大きな被害となります。
 
そこで各国やセキュリティエージェントが協力して封じ込めしようとしています。

 

いまはスパム業者がよくつかっているようです。マルウエアを含んだドキュメントファイルを添付して、、、

そして、その添付ファイルをZipで暗号化して、メールスキャンを回避するようになっています。

 

そのようなメールが来たら、ご注意を。

 

 

 

Google App Engine: 不正利用でフィッシングサイトの温床に!

うまくクラウドアプリのドメイン割り当て方法を利用して(悪用して)、フィッシングサイトへの誘い込みやマルウエアをダウンロードさせる方法をリサーチャーが公表しました。この手法だと、なかなか大手のセキュリティプロダクトでは検知できないようです。

(休み中なのでやや詳しく解説w)

Gerd AltmannによるPixabayからの画像

 

Google App Engine feature abused to create unlimited phishing pages

 
Google App Engineはグーグルのサーバ上でウエブアプリを開発、ホスティングするクラウドベースのサービスプラットフォームですね。
フィッシングキャンペーンではよくある手口ではあるのですが、Googleのエンジンでも危険性があるということです。
 
アプリはURL上サブドメインで表示されます。構成上、一つのサービスの上にあるわけですから、それぞれのアプリを区別する方法はサブドメインでの表記となります。
 
まぁ、悪意のあるアプリが存在しても、そのサブドメインをブラックリストに入れてしまえば、危険性はなくなります。(ま、通常は有償サービスとなりますけど)
 
Google AppEngineの場合
Version-dot-Sevice-dot-project_ID.resion_ID.r.appspot.com
となります。
アプリの名前だけでなく、バージョンや、プロジェクトのID、地域IDとかも情報もあります。
もう一つ重要なのは、これらのフィールドが誤っている場合、404(ページ不明)を出さずに、アプリのデフォルトのページをリダイレクトすることです。
たくさんのバージョンやプロジェクトを作って正規のアプリを登録しておきます。その中に一つマルウエアを仕込んだアプリを入れ込みます。
長いサブドメイン名にすることが簡単で、これはブラックリスト化するのが面倒になります。(正規表現使えるものならいいかな?でもパフォーマンスは?)
 
証明書もGoogleが保証した形となると、セキュリティ製品もその評価があまくなります。ここではSymantecさんの評価ではPassしていますね。
ネットワークIoCレコードを採取している場合にも、サブドメインがランダム化されている場合、別々のIoCとして認識してしまうことがあります。
EDRも見つけにくいかもしれません。
 
一ついい情報。
セキュリティエンジニアでペンテスターであるYusuke Osumiさんが実際にフィッシングサイトに利用されているサイトをリスト化してTweetされております。
この辺り日本人が貢献しているのはうれしい限りです。