2021年に読みたいハッキング本(日本語)をまとめてみた
今回は2021年に読みたい「ハッキング本」をまとめました。
2020年までに発売された「ハッキング本」の中でも、日本語のみに焦点を絞って紹介していきます。(英語版の方は今後作成する予定です。)
ハッキング・ラボのつくりかた ― 仮想環境におけるハッカー体験学習
wizerdbibleを主宰していたIPUSIRON氏が執筆している本。
ハッキングを実際に試しながら勉強を進めたい場合、自分の管理している環境以外にハッキングすることはNGなので、自分で構築した環境に攻撃をする必要がある。
本書は、じっくりと攻撃用の環境構築について丁寧に解説をしながら、読者と一緒に環境を構築する構成となっている。
取り扱うハッキングの内容としては、「windows」「Linux」「無線LAN」など多岐にわたっており、網羅的に学習ができるようになっている。
「情報セキュリティに興味はあるけど、何をしていいのかわからない!」「ハッキングに何となく興味はあるけれども、どんな勉強をしたらいいのかわからない!」といった方にオススメな本です。
Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際
初心者でこの本を読むのはなかなかの気合が必要となる本書であるが、発売より多くの人に読まれてきた1冊である。C言語やアセンブリ言語の知識を持っていれば読む際の敷居は下がるだろう。
本書冒頭に掲載されているサンプルプログラムを基に脆弱性についての解説をしていくが、ページが進むにつれて、「ところでサンプルプログラムには、ある脆弱性がある。気づいただろうか?」のように、おちゃめなところもある。
バッファオーバーフローや暗号における脆弱性についての解説もあるので、初心者向けではないがオススメである。
またプログラムは32bitなので、できれば32bit環境を用意して遊ぶとより理解が深まる。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
いわゆる徳丸本。元京セラ株式会社で現EGセキュアソリューションズ株式会社代表取締役である、徳丸浩氏執筆の1冊。日本のセキュリティを黎明期から支えてきた人物の書籍。
WEBアプリケーション特化な本書は第2版からOWASP Top 10 - 2017対応した内容に加筆修正された。
構成は、脆弱性の解説はもちろんだが、WEBアプリケーションを支える技術の章や、脆弱性診断を実際にやってみる章もあるなど、これから学ぼうとしている初心者にとってはオススメな書籍となっている。
![[徳丸 浩]の体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践](https://m.media-amazon.com/images/I/41WBMf7zcML.jpg)
Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
株式会社トライコーダ代表取締役、OWASP Japan チャプターリーダー、ScanNetSecurity編集長など様々な活動をしている上野氏をはじめとする人たちによるWEBアプリケーションセキュリティに関する初心者向けの1冊。
巻末には、WEBアプリケーション脆弱性診断の手法付きである。
徳丸本と並び初心者向けの本といえるだろう。
![[上野 宣]のWebセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術](https://m.media-amazon.com/images/I/51ypijm5COL.jpg)
サイバーセキュリティ レッドチーム実践ガイド
『The Hacker Playbook 3』の日本語版。脆弱性診断ではなく、ペネトレーションテストについて、手法、ツール、考えかたを分かりやすく解説している書籍。
基本的に仮想環境に実習環境を用意するのだが、攻撃用の環境+被害者側の環境だけでPCのメモリが最低でも32G必要となってくるほどの規模になる。
セキュリティの知識ゼロで本書を理解することは難しいため、上で紹介した本を読破した後にさらなる力を求めるなら読むといった流れでプランを立てればよいだろう。
ハッカーの技術書
日本のIoT関係のセキュリティ技術者では有名な黒林檎氏(本名ではない)による書籍。
セキュリティキャンプでもIoTセキュリティの講師を担当するなど活動している。
Windows、Linuxはもちろんの事、最近流行のクラウドについても触れている。
また、フィッシングやマルウェアについても解説がされている。
実習はAD環境を構築したりなどするが、レビューを見ると環境構築でつまずいている方を散見するので、ガッツリ学習したい場合はある程度サーバ構築をした経験があるなど、前提知識が必要かもしれない。
初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
とりわけ初心者に対して、マルウェア解析技術を解説している書籍。2020/12刊行で比較的新しい。
マルウェア解析に必要な技術である、「表層解析」「動的解析」「静的解析」「メモリ解析」などについて基礎から解説。
完全に初心者向けかというと、アセンブリ言語を多少知っている必要があるので、ある程度知識がある人向けだろう。
リバースエンジニアリングツールGhidra実践ガイド
NSA(アメリカ国家安全保障局)が開発した、機密ツール「Ghidra」について、実際にマルウェアを解析しながら、操作方法を学習できる1冊。
基本的にこのツールが出てくるまでは、よく引き合いに出るIDA Proが主流だったが、あちらが有料かつ販売する人物に条件があるなど制約がるのに対し、こちらは無料で誰でも使えるパワフルなツールなので、これからメキメキ台頭してくるツールとなるだろう。
著者がCompass上でこの書籍の知識がある人を前提とした勉強会を開催しているので、ある程度勉強が進んだら参加してみるのも良いだろう。
内容は完全な初心者向けではないので、「初めてのマルウェア解析」と同様にある程度知識がある人向けだろう。
EDR製品についてまとめてみた
こんにちは。管理人のLokiです。
今回は最近注目のセキュリティ用語である、「ゼロトラスト」と、それと関係する「EDR」製品についてまとめてみました。
周りの会話でちらほら聞くが、何のことか分からない!!という人にとって「ゼロトラスト」と「EDR」が何なのか理解できれば幸いです。
ゼロトラストとは?
近年進んできたクラウド化に伴って、会社で使用しているノートPCやスマートフォンなどの端末を利用して、自宅でも仕事をする、いわゆる「テレワーク」が普及してきました。また、WEBサイトを所有している会社や社内システムを使用している会社が自社で用意したサーバを利用する時代から、クラウドサービスを利用する時代に変遷しました。
そんな中で台頭してきた考え方がゼロトラストというものです。
直訳すると「信用ゼロ」ということで、「信頼せず攻撃されることを前提とする」という考え方の事です。
事例:社内システムにアクセスする場合
例を用いて話を分かりやすくするために、自宅で使用しているPCを社内に接続することを考えてみましょう。
今までの時代は、基本的にユーザのみが知っている認証情報、つまりユーザ名とパスワードでログインできれば、正規のユーザとして扱ってきました。社内環境にアクセスできる=健全なユーザということです。
こんにちは。管理人のLokiです。
今回は最近注目のセキュリティ用語である、「ゼロトラスト」と、それと関係する「EDR」製品についてまとめてみました。
周りの会話でちらほら聞くが、何のことか分からない!!という人にとって「ゼロトラスト」と「EDR」が何なのか理解できれば幸いです。
ゼロトラストとは?
近年進んできたクラウド化に伴って、会社で使用しているノートPCやスマートフォンなどの端末を利用して、自宅でも仕事をする、いわゆる「テレワーク」が普及してきました。また、WEBサイトを所有している会社や社内システムを使用している会社が自社で用意したサーバを利用する時代から、クラウドサービスを利用する時代に変遷しました。
そんな中で台頭してきた考え方がゼロトラストというものです。
直訳すると「信用ゼロ」ということで、「信頼せず攻撃されることを前提とする」という考え方の事です。
事例:社内システムにアクセスする場合
例を用いて話を分かりやすくするために、自宅で使用しているPCを社内に接続することを考えてみましょう。
今までの時代は、基本的にユーザのみが知っている認証情報、つまりユーザ名とパスワードでログインできれば、正規のユーザとして扱ってきました。社内環境にアクセスできる=健全なユーザということです。
しかし、「ゼロトラスト」という考えかたによれば、社内にアクセスしてくる人は全員悪い人!という考え方になるのです。
ゼロトラスト環境におけるチェックポイント
有名なセキュリティ企業であるAkamai社によると下図のように定義されています
これからの時代は上記のような「攻撃されることを前提とした」対策を施す必要があります。その点を網羅しているのがEDRという製品です。
注目を浴びるEDR製品
EDR製品には主に次のような機能が付いています。
特に2番目の「ログ監視による攻撃経路の特定・影響範囲の調査」については、例えば、侵害の規模がどの程度だったのか、ログがないのでわかるまで数日用した、あるいは、インシデントが北海道や九州で起きている、しかし、対応をするためには現地に行くしかないから数時間業務影響が出る、といった場合にすぐに目的の処理を行うことが可能となっています。
EDR製品一覧
Windows Defender Advanced Threat Protection (ATP)
【特徴】
・エージェントレスでクラウドで動作
・危険度が高いインシデントに対する自動的な調査
・2019年にGartnerによりリーダーの評価を獲得
【提供会社】日本マイクロソフト株式会社
【金額】お問い合わせ
【無料体験版】あり
Trend Micro Endpoint Sensor
【特徴】
・EPPとEDRの機能を兼ね備えている
・ハイブリッドなAI技術により検出
・Gartnerにより16年連続リーダーの評価を獲得
【提供会社】トレンドマイクロ株式会社
【金額】お問い合わせ
【無料体験版】なし
Symantec Endpoint Detection and Response
【特徴】
・AI主導型の検知エンジン
・世界最大規模の民間脅威分析ネットワークからのインテリジェンスを活用
・2019年にGartnerによりリーダーの評価を獲得
【提供会社】ブロードコム
【金額】お問い合わせ
【無料体験版】なし
CB Defense
【特徴】
・ストリーミングプリベンション機能による検出
・5,000社以上の顧客のエンドポイントからのログをベースにしたインテリジェンスを活用
・マルウェア検知率99.79%、誤検知率0%
【提供会社】サイバネットシステム株式会社
【金額】お問い合わせ
【無料体験版】あり(14日間)
MVISION EDR
【特徴】
・AIを活用した脅威調査
・機械学習とAIを活用した自動調査機能
・自動的にエビデンスの収集と分析を対応
【提供会社】マカフィー株式会社
【金額】お問い合わせ
【無料体験版】なし
Cisco AMP for Endpoints
【特徴】
・EPPとEDRの機能を兼ね備えている
・さまざまな業種の企業や教育機関、医療機関、自治体への導入実績
・リアルタイムの脅威インテリジェンスと動的マルウェア分析をベースに対応
【提供会社】シスコシステムズ合同会社
【金額】お問い合わせ
【無料体験版】あり(4週間)
Cybereason EDR
【特徴】
・AIを活用したリアルタイム検知と秒間800万回のビッグデータ解析
・国内外で高い評価を得て、第三者認証も受けており、国内シェアNo1
・管理画面が日本語に対応
【提供会社】サイバーリーズン・ジャパン株式会社
【金額】お問い合わせ
【無料体験版】なし
Sophos Central Intercept X
【特徴】
・マルウェア検出、エクスプロイト対策、ランサムウェア対策を統合
・高度な機械学習システムであるディープラーニングニューラルネットワークを活用
・国内外で高い評価を得て、AV-Comparativesでマルウェア検出率No1
【提供会社】ソフォス株式会社
【金額】お問い合わせ
【無料体験版】あり(30日間)
Pwine Award Winners 2020についてまとめてみた
こんにちは。Lokiです。
今回は先日発表されたPwine Award Winners 2020についてまとめていきます。
Pwine Award Winnersとは?
Pwnie Awardsは、セキュリティ研究者とセキュリティコミュニティの、これまでに発見された脆弱性について、成功と失敗を祝う毎年恒例の授賞式です。カテゴリごとの部門で最もふさわしいものが受賞します。賞は年に一度与えられ、Blackhat2020カンファレンス中に行われます。
受賞するカテゴリについて
毎年どのカテゴリについて審査をするかを発表しますが、2020年については、以下の通りとなっております。
Pwnie for Best Server-Side Bug(サーバサイドの脆弱性部門)
最も技術的に洗練された興味深いサーバー側のバグを発見または悪用した研究者に授与されます。
Pwnie for Best Client-Side Bug(クライアントサイドの脆弱性部門)
最も技術的に洗練された興味深いクライアント側のバグを発見または悪用した研究者に授与されます。
Pwnie for Best Privilege Escalation Bug(権限昇格の脆弱性部門)
最も技術的に洗練された興味深い特権昇格の脆弱性を発見または悪用した研究者に授与されます。
Pwnie for Best Cryptographic Attack(暗号処理の脆弱性部門)
実世界のシステムに対して最も影響力のある暗号攻撃を発見した研究者に授与されます。
Pwnie for Most Innovative Research(最も革新的な調査部門)
論文、プレゼンテーション、ツール、さらにはメーリングリストの投稿の形で最も興味深く革新的な研究を発表した研究者またはチームに授与されます。
Pwnie For Lamest Vendor Response(ベンダーの対応が最も不十分だった脆弱性部門)
セキュリティの脆弱性を最も見事に誤って処理したベンダー、あるいは個人に授与されます。
Pwnie for Most Epic Fail(やらかし部門)
個人または企業体の見事な失敗を称えるものであり、あるいは情報セキュリティ業界全体を失望させるような失敗に授与されます。
Pwnie for Most Under-hyped Research(最も過小評価されている研究の脆弱性部門)
当初与えた注目以上にインパクトのあるものに授与されます。
Pwnie for Epic Achievement(大成功した脆弱性部門)
上記のカテゴリに属さないものの、壮大なものをやってのけたものに授与されます。
Pwnie for Best Song (you were dearly missed)(何かしらでハッキングに関する曲部門)
ネタ枠?
2020年度の各カテゴリのノミネート(受賞候補)
サーバサイドの脆弱性部門
- BraveStarr – A Fedora 31 netkit telnetd remote exploit
- HAProxy: Out-of-Bounds Write in HTTP2 HPACK Dynamic Table
- Remote Code Execution in Citrix ADC
- Dabman & Imperial (i&d) - Multiple Vulnerabilities
- RCE in OpenSMTPD
- RCE in OpenSMTPD's Default Install
- Remote Code Execution in qmail
クライアントサイドの脆弱性部門
- Zero-Click iMessage Exploit
- Remote Memory Corruption Bug in MacOS Bluetooth
- RCE on Samsung Phones via MMS
権限昇格の脆弱性部門
- Exploiting the Wi-Fi Stack on the Tesla Model S
- Exploiting the "noowners" Flag -- APFS Privilege Escalation
- Deceiving Android's GPU Driver to Remotely Root Android Devices
- Local Privilege Escalation in OpenBSD's dynamic loader
- ZombieVPN, Breaking That Internet Security
- checkm8 - Epic JailBreak
- Windows ALPC Elevation of Privilege Vulnerability
- Pulse Connect Secure, Pulse Policy Secure, Pulse Secure Desktop Client RCE
- Zerologon
暗号処理の脆弱性部門
- TPM Fail: TPM Meets Timing and Lattice Attacks
- The Curious Case of WebCrypto Diffie-Hellman on Firefox - Small Subgroups Key Recovery Attack on Diffie-Hellman
- Zerologon
- Raccoon Attack
- Cellebrite Good Times, Come On
最も革新的な調査部門
- InternalBlue, Spectra, ToothPicker, Frankenstein
- BaseSAFE: Baseband SAnitized Fuzzing through Emulation
- Hidden Propery Abusing in Node.js
- Web Cache Deception in the Wild
- Lamphone
- DNS Cache Poisoning Attack Reloaded
- How to Exfiltrate Internal Information Using Web Proxies
- Vancouver Hospitals Pager Breach
- TRRespass: When Memory Vendors Tell You Their Chips Are Rowhammer-free, They Are Not.
- NetCAT: Practical Cache Attacks from the Network.
ベンダーの対応が最も不十分だった脆弱性部門
- Trend Micro
- IBM
- Open Source Security, Inc -- grsecurity/PaX
- CHAL-TEC GmbH, aka Electronic Star, aka Auna
- Daniel J. Bernstein
- WECON Technology Co., Ltd.
- Giggle
- Intel Corporation
やらかし部門
- BlackHat
- Windows Defender c/o Microsoft
- Microsoft
- KuCoin
- NCC Group
- Oracle WebLogic Server c/o Oracle
最も過小評価されている研究の脆弱性部門
- LimitedResults
- Cisco Adaptive Security Appliance Vulnerabilities
- Vulnerabilities in System Management Mode (SMM) and Trusted Execution Technology (TXT)
- Cellebrite Good Times, Come On
大成功した脆弱性部門
- Evilsocket and pwnagotchi contributors
- David Wang, Stanislaw Skowronek
- Guang Gong
- Qualys Security Advisory Team
- French Police
- axi0mX
- Graham Clark
- Ben Nassi, Yaron Pirutin, Adi Shamir, Yuval Elovici, Boris Zadov
- Andy Gill
- Matthew Bergin (Level)
何かしらでハッキングに関する曲部門(どうでもいいカテゴリ)
- Confessions of a Hacker known as Kingpin - Joe Grand Story
- R57
- 5G ft. ytcracker
- I Will Survive
- Very Serious Problems (The Internet Has Problems)
- KJC Mixtape
- Lady Ada - Powertrace (Pokerface Song Parody / PLATYPUS Paper Teaser)
- Dark Web
- WHO DO YOU WORK FOR
受賞した脆弱性一覧
サーバサイドの脆弱性部門
BraveStarr – A Fedora 31 netkit telnetd remote exploit(CVE-2020-10188)
リモートの攻撃者が短い書き込みや緊急データを介して任意のコードを実行できるようにする、telnetdのバッファオーバーフローの脆弱性。IOTや組み込み機器を含む幅広いアプリケーションなど、影響範囲が広大なので、受賞しました。詳細は以下を参照してください。
- https://appgateresearch.blogspot.com/2020/02/bravestarr-fedora-31-netkit-telnetd_28.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10188
クライアントサイドの脆弱性部門
RCE on Samsung Phones via MMS(CVE-2020-8899)
ゼロクリックMMS攻撃です。ユーザーの操作なしでのSamsungデバイスでのリモートコード実行できるので、受賞しました。詳細は以下を参照してください。
- https://bugs.chromium.org/p/project-zero/issues/detail?id=2002
- https://googleprojectzero.blogspot.com/2020/07/mms-exploit-part-1-introduction-to-qmage.html
権限昇格の脆弱性部門
checkm8 - Epic JailBreak(CVE-2019-8900)
10億台のAppleデバイスに対するパッチ適用不可能なUSBbootromエクスプロイト、通称checkm8!
このUSBエクスプロイトは、iPhone、iPad、Apple Watch、Apple TVなどの7世代のAppleシリコン(A5、A6、A7、A8、A9、A10、A11)で機能します。
これらすべてのチップに対してこのエクスプロイトの公開実装がありますが、すべてがipwndfuによってサポートされているわけではありません。
また、これはcheckra1n脱獄で使用されるエクスプロイトです。
暗号処理の脆弱性部門
Zerologon (CVE-2020-1472)
MicrosoftのNetlogon認証プロトコルで使用されるAES-CFB8実装でオールゼロのIVを利用したZerologonの脆弱性(CVE-2020-1472)により、攻撃者は資格情報を簡単に偽装できます。
攻撃者はこの攻撃を使用して、Active Directoryのパスワードを変更し、ドメイン管理者になることができます。
最も革新的な調査部門
TRRespass: When Memory Vendors Tell You Their Chips Are Rowhammer-free, They Are Not.
Rowhammer攻撃に対する対策を施したと思われていたが、研究者の調査の結果、完全に対策が施されたと思われていた対策が全く機能していないことが判明!!みごと、受賞しました。
https://www.vusec.net/projects/trrespass/
ベンダーの対応が最も不十分だった脆弱性部門
Daniel J. Bernstein
15年越しに作成したエクスプロイトが開発元で機能しなかったため、受賞しました。
やらかし部門
Microsoftの楕円曲線署名の実装により、攻撃者は正当な署名者の公開鍵の秘密ペアを生成できました。
これにより、影響を受けるバージョンのWindowsでHTTPSWebサイトまたは署名付きバイナリのなりすましが可能になったため、受賞しました。
最も過小評価されている研究の脆弱性部門
Vulnerabilities in System Management Mode (SMM) and Trusted Execution Technology (TXT)
Intel VTd / IOMMU(CVE-2019-0151,0152)の2つの脆弱性により、攻撃者はメモリ保護をバイパスし、SMMおよびTXTでコードを実行できます。これはCPUの問題であり、ファームウェアのSMM実装とは無関係であるため、ファームウェアに依存しないSMMルートキットのインストールに使用できます。
また、TXT認証コードモジュール(ACM)内でのコード実行も可能です。
受けた注目よりも影響がはるかに大きいため、受賞しました。
大成功した脆弱性部門
Guang Gong
3つの脆弱性(CVE-2019-5870、CVE-2019-5877、CVE-2019-10567)を悪用する、ROPなしのワンクリックエクスプロイトチェーンを含む、Pixelデバイス上のAndroidをリモートで侵害する包括的な攻撃対象領域分析ということで、受賞しました。
参照
「Windows Kerberos KDC」の脆弱性(CVE-2020-17049)についてまとめてみた
概要
Kerberos Constrained Delegation (KCD) を使用するように構成された侵害対象のサービスに対して、委任に無効なサービスチケットを改ざんし、KDC に強制的に受け入れさせる可能性があるというもの。
フォレスト内のすべての DC (Domain Controller) ならびに RODC (Read-Only Domain Controller) に対してセキュリティ更新プログラムを展開するだけではなく、追加の対応ステップが必要となる場合がある。
なお、11月時点のパッチ適用後に問題が発生している模様。詳細は下記を参照してください。
脆弱性情報
CVE
CVE-2020-17049
CVSS
6.6 AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
悪用の可能性
| 公開 | 悪用 | 悪用可能性評価 |
|---|---|---|
| なし | なし | 悪用の可能性は低い |
影響範囲
| Windows Servers | サポート技術情報番号 |
|---|---|
| Windows Server 2008 | 4592498 (Monthly Rollup) 4592504 (Security Only) |
| Windows Server 2008 R2 | 4592471 (Monthly Rollup) 4592503 (Security Only) |
| Windows Server 2012 | 4586834 (Monthly Rollup) 4586808 (Security Only) |
| Windows Server 2012 R2 | 4586845 (Monthly Rollup) 4586823 (Security Only) |
| Windows Server 2016 | 4586830 |
| Windows Server 2019 | 4586793 |
| Windows Server, version 1903/1909 | 4586786 |
| Windows Server, version 2004/20H2 | 4586781 |
対応
※11 月 10 日に公開したセキュリティ更新プログラムについては、問題が発生しているので、別途追加で対応をとる必要がある。
1.レジストリキーを設定
以下の通りのレジストリキーを設定すること。もし既に存在する場合は、キーの値が ”1” に設定されているかを確認すること。
| レジストリ サブキー | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
| 値 | PerformTicketSignature |
| データ型 | REG_DWORD |
| データ | 0 – チケットの署名は無効になり、ドメインは保護されません。 |
| 1 – この修正プログラムはドメイン コントローラーで有効になりますが、DC では、チケットが修正プログラムに準拠していることは必須ではありません。 | |
| 2 – この修正プログラムは必須モードで有効になります。つまり、すべてのドメインにパッチを適用する必要があります。また、すべての DC に署名付きのチケットが必要になります。 | |
| 既定値 | 1 (レジストリ キーが設定されていない場合) |
| 再起動は必要か | 不要 |
2.セキュリティ更新プログラムを展開
フォレスト内のすべての DC と RODC に、セキュリティ更新プログラムが展開されていることを確認すること。
強制モード フェーズ
2021 年 2 月 9 日 (米国時間) に強制モード フェーズに移行していく予定とのこと。2021 年 2 月に公開予定のセキュリティ更新プログラムにて、上記のレジストリ キーは無視され必須モード (変更不可) となる模様です。
適用後に確認されている問題【重要】
11 月 10 日に公開したセキュリティ更新プログラムの適用後、“PerformTicketSignature” の設定値によって異なる問題が発生することを確認しているとのこと。問題の内容は下記のとおりです。
設定値 0の場合
スケジュールタスクやクラスタリング、LoB アプリケーションのサービスなど、S4U (Service for User) を使ったシナリオで認証に問題が発生する可能性があるとのこと。
設定値 1の場合
Linux など Windows 以外のクライアントが Windows ドメインに Kerberos を使って認証しようとした際に問題が発生する可能性があるとのこと。
また 11 月のセキュリティ更新プログラムを適用していない DC や Windows Server 2008/Windows Server 2008 R2 SP1 上の DC を通じて、Kerberos referral チケットをやり取りする場合に Windows と非 Windows デバイス間での Cross realm referrals に失敗する可能性があるとのこと。
設定値 2の場合
この値を設定すると強制モードとなり、今回のセキュリティ修正に準拠していない Kerberos チケットは拒否されるようになるため、すべての DC にセキュリティ更新プログラムが適用されていない場合に認証できない問題が発生する可能性があるとのこと。現時点では、Windows Server 2008/Windows Server 2008 R2 SP1 上の DC が存在する場合、この値を設定することは推奨していないようです。
参照
- Kerberos KDC Security Feature Bypass Vulnerability(microsoft)
- CVE-2020-17049 に対する Kerberos S4U の変更の展開管理(microsoft)
- 2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起(jpcert)
- Kerberos KDC の脆弱性 (CVE-2020-17049) に対応するためのガイダンス(Microsoft Security Response Center)
- 2020年11月の月例更新を適用した「Windows Server」でKerberos認証に問題(窓の杜)
- CVE-2020-17049(mitre)
- CVE-2020-17049: Kerberos Bronze Bit Attack – Theory(NetSPI Blog)
SolarWinds Orion製品のバックドアに関してまとめてみた
こんにちは、Lokiです。今回はSolarWinds Orion製品のバックドアに関して、状況を整理しまとめてみました。
概要
SolarWinds Orion製品のアップデートに見せかけ、悪意のあるインストーラを顧客にダウンロードさせることによって、顧客が疑うこと無く自然にバックドアを仕込まれました。多くとも18,000の顧客に影響を及ぼすと説明。
経緯
侵害前の状況
- 現在調査中(12/15時点)とのことですが、Microsoft Office 365の電子メールアカウントとOfficeアカウントの侵害について警告を受ける
- Vinoth Kumar氏からの報告によると、誰でもアクセス可能なSolarWinds GitHubリポジトリがドメイン「downloads.solarwinds.com」のFTP資格情報を漏えいしていたため、攻撃者が偽装した悪意のある実行可能ファイルをアップロードする可能性があるとのこと。
- また、ダウンロードポータルへのOrionソフトウェアのアップロードに関して、FTPサーバーは簡単なパスワードで保護されていたとのことで、容易に悪意のあるファイルをアップロードすることが可能であった。こちらに関しては、2019年11月22日時点で修正済みとのこと。
- ファイル名が付いた正規のSolarWindsライブラリ(SolarWinds.Orion.Core.BusinessLayer.dll)にバックドアコードを埋め込んだ可能性があることが調査で示されている。このバックドアは、2020年3月以降に世界中で見られるターゲットネットワーク内の自動更新プラットフォームまたはシステムを介して配布された模様。
侵害中の状況
- SolarWindsOrion製品の悪意のあるコードによる侵入。これにより、攻撃者はネットワークに足場を築き、それを使用して昇格した資格情報を取得。
- ネットワークに侵入後、攻撃によって取得した管理者権限を使用し、組織のグローバル管理者アカウントや信頼できるSAMLトークン署名証明書にアクセス。これにより、特権の高いアカウントを含む、組織の既存のユーザーやアカウントになりすますSAMLトークンを偽造。
- 攻撃者によって取得されたトークン署名証明書を用いて作成されたSAMLトークンを使用した異常なログインは、信頼するように構成されているため、オンプレミスリソース(IDシステムまたはベンダーに関係なく)およびクラウド環境(ベンダーに関係なく)に対して行うことができます。SAMLトークンは独自の信頼できる証明書で署名されているため、組織は異常を検知できない。
- 攻撃者は、グローバル管理者アカウントや信頼できる証明書を使用して、特権の高いアカウントになりすますことで、既存のアプリケーションまたはサービスプリンシパルに独自の資格情報を追加し、そのアプリケーションに割り当てられた権限でAPIを呼び出すことが可能。
影響をうける製品
「同2019.4 HF 5」、「同2020.2」、「同2020.2 HF 1」までの以下の製品
- Application Centric Monitor(ACM)
- Database Performance Analyzer Integration Module(DPAIM)
- Enterprise Operations Console(EOC)
- High Availability(HA)
- IP Address Manager(IPAM)
- Log Analyzer(LA)
- Network Automation Manager(NAM)
- Network Configuration Manager(NCM)
- Network Operations Manager(NOM)
- Network Performance Monitor(NPM)
- NetFlow Traffic Analyzer(NTA)
- Server & Application Monitor(SAM)
- Server Configuration Monitor(SCM)
- Storage Resource Monitor(SRM)
- User Device Tracker(UDT)
- Virtualization Manager(VMAN)
- VoIP & Network Quality Manager(VNQM)
- Web Performance Monitor(WPM)
対策
- 「Orion Platform v2020.2」 または「2020.2HF 1」を使用している場合
→「Orion Platform v2020.2.1HF2」 にアップグレードする。ダウンロード - 「Orion Platform v2019.4 HF5」を使用している場合
→「2019.4HF 6」にアップグレードする。ダウンロード
※ホットフィックスを適用する前に、ライセンスを同期する必要がある場合があります。
アメリカ国内での動向
- アメリカの複数の政府機関に対する侵害の可能性
- 米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)の代理ディレクターであるブランドンウェールズ氏により、「緊急指令21-01」を発出されたことが発表される(公式声明)
- 米国を拠点とするサイバーセキュリティ会社FireEyeが攻撃によって、社内のRedTeam業務で使用しているツールを盗難される(過去記事「FireEye Red Team のツールに対する不正アクセスに関してまとめてみた」)
日本国内での動向
- 内閣サイバーセキュリティセンターより、12/16付けでPDFによってアナウンス。
参考
- CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS(CISA)
- Emergency Directive 21-01(米国国土安全保障省)
- SolarWinds Security Advisory(SolarWinds)
- Vinoth Kumar氏のツイート(twitter)
- SolarWinds社製SolarWinds Orion Platform ソフトウェアに関する政府機関等への注意喚起の発出について(nisc)
FireEye Red Team のツールに対する不正アクセスに関してまとめてみた
こんにちはLokiです。今回は有名なアメリカのセキュリティ企業Fireeyeが不正アクセスを受けたので、そちらに関してまとめてみました。
概要
FireEye社がRed Team業務で使用しているツールがサイバー犯罪によって盗難されました。Fireeye社は国家的な支援を受けている犯罪組織によって盗難されたと主張しています。→Fireeye社の公式ブログ
判明していること
- 過去に例を見ない新しい技術の組み合わせであること
- 連邦捜査局やマイクロソフトを含む他の主要なパートナーと協力して積極的に調査を行っていること
- 攻撃者は、顧客のセキュリティをテストするために使用する特定のレッドチーム評価ツールを標的にしてアクセスしたこと
- 盗まれたツールにはゼロデイエクスプロイトは含まれていないこと
- 攻撃者がRedTeamツールを使用するつもりなのか、それとも公開するつもりなのかは不明
- 攻撃者は内部システムの一部にアクセスできたこと
- 顧客情報などは流出していない
盗まれたツールについて
- 偵察を自動化するために使用される単純なスクリプト
- CobaltStrikeやMetasploitなどの公的に利用可能なテクノロジーに類似したフレームワーク
- 一部のツールは、基本的なセキュリティ検出メカニズムを回避するように変更された、公開されているツール
- それ以外のツールについては、レッドチームのために社内で開発されたもの
ツールで使用されている脆弱性について
| CVE | 脆弱性の説明(JVN) | CVSS | JVN |
|---|---|---|---|
| CVE-2019-11510 | Pulse Secure Pulse Connect Secure におけるパーミッションに関する脆弱性 | 10.0 | 詳細 |
| CVE-2020-1472 | 複数の Microsoft Windows 製品における権限昇格の脆弱性 | 10.0 |
詳細 |
| CVE-2018-13379 | Fortinet FortiOS におけるパストラバーサルの脆弱性 | 9.8 |
詳細 |
| CVE-2018-15961 | Adobe ColdFusion における危険なタイプのファイルの無制限アップロードに関する脆弱性 | 9.8 |
詳細 |
| CVE-2019-0604 | Microsoft SharePoint におけるリモートでコードを実行される脆弱性 | 9.8 | 詳細 |
| CVE-2019-0708 | 複数の Microsoft Windows 製品のリモートデスクトップ サービスにおけるリモートでコードを実行される脆弱性 | 9.8 | 詳細 |
| CVE-2019-11580 | Atlassian Crowd および Crowd Data Center における入力確認に関する脆弱性 | 9.8 | 詳細 |
| CVE-2019-19781 | Citrix Application Delivery Controller および Gateway におけるパストラバーサルの脆弱性 | 9.8 | 詳細 |
| CVE-2020-10189 | Zoho ManageEngine Desktop Central における信頼性のないデータのデシリアライゼーションに関する脆弱性 | 9.8 | 詳細 |
| CVE-2014-1812 | 複数の Microsoft Windows 製品のグループポリシーの実装における重要な認証情報を取得される脆弱性 | 9.0 | 詳細 |
| CVE-2019-3398 | Confluence Server および Data Center におけるパストラバーサルの脆弱性 | 8.8 | 詳細 |
| CVE-2020-0688 | Microsoft Exchange Server におけるリモートでコードを実行される脆弱性 | 8.8 | 詳細 |
| CVE-2016-0167 | 複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性 | 7.8 | 詳細 |
| CVE-2017-11774 | 複数の Microsoft Outlook 製品における任意のコマンドを実行される脆弱性 | 7.8 | 詳細 |
| CVE-2018-8581 | Microsoft Exchange Server における権限を昇格される脆弱性 | 7.4 | 詳細 |
| CVE-2019-8394 | Zoho ManageEngine ServiceDesk Plus における危険なタイプのファイルの無制限アップロードに関する脆弱性 | 6.5 |
詳細 |
Fireeye社の対応
- 盗まれたレッドチームツールの使用を検出またはブロックできる対策を用意した
- セキュリティ製品に対策を講じた
- これらの対策をセキュリティコミュニティの同僚と共有し、セキュリティツールを更新できるようにした
- 対策については、ブログ投稿「FireEyeRedチームツールの不正アクセス」で公開した
- Red Teamツールが利用可能になり次第、セキュリティパートナーと公的および直接の両方で、追加の緩和策を共有および改善し続けることを決定した
- 情報が盗まれたことが判明した場合は、直接連絡をすること
対策
参考
- FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community(fireeye)
- 脅威に関する情報: FireEyeレッドチームツールの漏えいについて(paloalt)
- red_team_tool_countermeasures(fireeye社のリポジトリ)
ランサムウェアについてまとめてみた
ランサムウェアとは
ランサムウエアとはマルウエアの一種です。ランサムとは身代金の意味です。身代金要求型不正プログラムとも呼ばれ、感染したデバイスをロックしたり、ファイルを暗号化したりすることによってユーザによるアクセスを制限し、「元に戻して欲しければ」と代金の支払いを要求します。(※1)
感染経路について
感染経路については、以下が考えられます。
- 攻撃者からのEメールを受信して添付ファイルを開く
- メール本文中に記載されているURLリンクをクリックする
- 改ざんされたWebサイトにアクセスした際にドライブバイダウンロード攻撃を受ける
- 攻撃目的で細工されたサービス要求が送られる
- USBメモリなどの記憶媒体
流行の背景
ビットコインなどの匿名での受け取りが容易な仮想通貨の普及が考えられます。ランサムウエア被害にあった場合、要求に応じて身代金を支払ったとしても、データやシステムが元どおりアクセスできるようになる保証はありません。身代金を取られ、データやシステム機能も失ったままという、ランサムウエアによる二重の被害になる可能性もあります。
ランサムウエアの種類
2016年の一年間だけでも247種類(※2)が確認されており、なかには高度な機能をもつものもあります。
CryptoWall
2013年9月頃に米国で初めて感染が確認され、日本国内においても2015年11月頃から感染が確認され始めました。ビットコインによる身代金の支払いを要求した最初のマルウエアです。マカフィーによると、2015年2月から4月の2カ月の調査期間における、ビットコインをドル換算した場合の平均的な価値を基に取引金額を計算した結果、支払われた身代金の総額の推定額は3億2500万ドル(約400億円)(※3) に達しており、金銭被害という面で甚大な被害を及ぼしたランサムウエアのひとつです。同ランサムウエアに感染すると、ファイルの拡張子がランダムな文字列に変更されることで知られています。
TeslaCrypt
2015年2月に海外で話題になり、国内においても同年の12月頃に被害を確認しています。初期のTeslaCryptのターゲットは、ビデオゲームのコミュニティと考えられており、一般的なファイル(文書、画像、データベースファイルなど)以外に、ゲーム用のファイルを暗号化することが特徴的です。暗号化されたファイルの拡張子を「.vvv」に変更するランサムウエアとして知られています
Locky
2016年1月、米国や、オーストラリア、ドイツ、イギリスなど世界中で拡散が確認され、日本においても同年の2月に感染が急増しました。国内で感染が拡大した主な理由として、同ランサムウエアが多言語対応型であり、脅迫文が日本語で記載されていたことが挙げられます。Lockyの拡散経路として、Word文書ファイルを添付したスパムメールが確認されており、このファイルを開くと、マクロやJavaScriptが実行されてLockyをダウンロードします。暗号化されたファイルの拡張子を「.locky」に変更するランサムウエアとして知られています。
ランサムウエアの対策
前述したように、ランサムウエアの感染経路にはEメールやWebサイトを介するもの、細工されたサービス要求によるものなどさまざまなケースが想定されます。そのため、次に示す被害低減策や予防策を多重的に行うことで、その被害を最小限に抑えていく必要があります。
ファイルやシステムの定期的なバックアップを実施する
バックアップを定期的に行うことで、万一ランサムウエアに感染しても、データを復旧できるようにする。耐性を高めるため、定期的なバックアップと世代管理を行い、オリジナルとは別のネットワークにバックアップデータを保管することを推奨します。
メールの添付ファイルの開封やウェブ・ページ等のリンクをたどる際には注意する
メールやSNSにおいては送信者、文面、添付ファイル等に細心の注意を払い、心当たりがない場合や内容に不自然な点がある場合は安易に開いたり、クリックしたりしない。
ファイアウォールやメールフィルタを適切に設定し、不審な通信をブロックする
ファイアウォールで外部との不審な通信を制限し、スパムメールの判定やメール送信ドメインの検証を行うことによってメールをフィルタにかけ、不審な通信をブロックし、ネットワーク経由の感染リスクを低減する。
不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する
SMB(Server Message Block)やRDP(Remote Desktop Protocol)など、使用していないサービスを無効化する。またはサービスへのアクセスを制限する。
OSやアプリケーション・ソフトウエアを最新の状態にアップデートする
OSやアプリケーション・ソフトウエアを最新の状態にすることで、脆弱性を解消し、感染するリスクを低減する。
セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
セキュリティソフトを活用し、最新の定義ファイルに保つことで、感染するリスクを低減する。
パスワードの設定を見直す
各サービスのログインに必要なパスワードを適切に設定する。特にリモートからPCを操作できる設定にしている場合などは、パスワードが弱いと侵入を受ける可能性があるため、適切なパスワードの設定と管理を行う。
感染した場合の対処法
ランサムウエアに感染した場合、攻撃者が要求してきた身代金を支払っても、データやシステムの制限が解除される保証はありません。身代金は支払わず、次の流れを参考に、各ケースに応じてシステムの復旧を行うことをおすすめします。
感染した端末をオフラインにする
感染した端末をネットワークから隔離する。また、外部ストレージを接続している場合は、外部ストレージを切断する。
ランサムウエアの種類を特定する
感染端末をオフラインにした後、端末に表示されている画面を保存し、類似する画面をインターネットで検索することで、感染したランサムウエアを特定する。
「No More Ransom」プロジェクトの「Crypto Sheriff」を活用することで、ランサムウエアの種類が特定できる場合があります。(※4)
ランサムウエアを駆除する
ランサムウエアが端末に残っている状態で、データを復元しても再感染するため、端末内のランサムウエアを駆除する。信頼性の高いセキュリティ製品を活用することで、駆除できる場合があります。
データの復号を試みる
バックアップからデータを復元する。バックアップを行っていない場合は、復号ツールを活用し、データを復号する。
「No More Ransom」プロジェクトのWebサイトでは、セキュリティベンダーから提供されているさまざまな復号ツールが紹介されています。(※5)
上記サイトを活用し、データを復号する際は、以下の手順書を参照してください。
参考
※3 被害額3億2500万ドル(約400億円)のCryptoWallランサムウェアの調査結果レポートを共同で発表
※4 ランサムウエアの特定
