でーたべーす

セキュリティに関することを書けたらな〜と思っています。

2014.9.18 サイバー攻撃関連情報サイト

備忘録

満州事変のきっかけとなった柳条湖事件のあった日が9月18日だったということで、
この日に「どこかから」サイバー攻撃されるのが恒例となっている。

ただ、昨年に引き続き今年は低調のようであった。
工務店系が改ざんされていたようである。



●9.18関連の情報サイト

エフセキュアブログ

エフセキュアブログ : 9.18のサイバー攻撃に関して(追記)


・マクニカネットワークス セキュリティ研究センターブログ

セキュリティ研究センターブログ: 9.18で改ざんされたWebサイトをMaltegoで見てみた


IBM Tokyo SOC Report
Tokyo SOC Report



●改ざんされたサイト一覧
閲覧に注意。Tor等で経由して見ることをオススメします。
(サイトを見て何かあっても知りません。)

・1937cn
http://www.1937cn.net/?post=101
http://www.1937cn.net/?post=102


・全球被黑站点统计系统(GLOBAL HACKED SITE STATISTICS)

全球被黑站点统计|GLOBAL HACKED SITE STATISTICS

REMnuxの設定2

備忘録 マルウェア

●inetsimのダウンロードファイルの設定
inetsimを起動していると、拡張子で判断して、sampleファイルをダウンロードしてくれる。
「/usr/share/inetsim/data/http/fakefiles」にsampleファイルが置いてある。

と前回書いた。

でも、実際にここのファイルを変更してみても変更されない・・・。

いろいろ調べていくと、

「/var/lib/inetsim/http/fakefiles/sample*」を変更すると、ダウンロードされるファイルが変更された。

じゃあ、「/usr/share/inetsim/data/http/fakefiles」内のファイルは何?って感じだけど、ちょっと今ところはよくわかっていません。。。


●inetsimのダウンロードファイルの設定2
「/etc/inetsim/inetsim.conf」の「http_fakefile」の項目で追記し、「/var/lib/inetsim/http/fakefiles」フォルダ内にファイルを置けばいい。

http_fakefile 拡張子 サンプルファイル名 mime-type

・例えば、javascriptを追加したいとき
 http_fakefile js sample.js application/x-javascript

mime-typeは、「/var/lib/inetsim/http/mime.types」を見ると記載されているので参考になる。


●inetsimのlogファイル
「/var/log/inetsim」フォルダ内に、debug.log、main.log、service.log、reportフォルダがある。

・debug.logは、現在のところ記載がなかったので不明。sudo付きでないと見れない。

・main.logは、inetsimの何のサービスを起動したか等が保存されている。

・service.logは、sendやreceive、connectした通信結果が保存されている。

・reportフォルダ内には、inetsimが起動後から終了までの間に、何がGETされた等が保存されている。
 reportフォルダ内のレポートは、sudo付きでないと見れないので注意。


●.bash_aliases
エイリアスがhomeの下の「.bash_aliases」が保存されている。
見てみると、myipやwireshark、tor、sudoが必要なコマンドをsudoを打たずに実行できるように設定されていたりする。

regripperの使い方メモ

備忘録 マルウェア フォレンジック

https://code.google.com/p/regripper/downloads/list
から、
「rrv2.5.zip」
をダウンロードし、解凍する。

プラグインは、
https://code.google.com/p/regripperplugins/downloads
から、
「regripperplugins_20130218.zip」
をダウンロードし、解凍する。
解凍したフォルダを、「rrv2.5.zipを解凍したフォルダ」内に移動する。
「regripperplugins_20130218.zipを解凍したフォルダ」を「plugins」とフォルダ名をリネームする。
※リネームしないと、プラグインへのパスが通らず、プラグインが使えないので。


●使い方
>rip.exe -p プラグイン名 -r レジストリハイブファイル


●注意点
UTCの時刻になっているので、日本だと+9時間を忘れないようにする必要がある。
・日本語表記のパスは、文字化けする。


自動起動設定の調査
・config\software
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 >rip.exe -p soft_run -r config\software

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices
 >rip.exe -p soft_runplus -r config\software

 KB950582(Autorunの設定が無効化どうかチェック)
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
 >rip.exe -p KB950582 -r config\software

 HKLMのService
 >rip.exe -p services -r config\system
 Type = Own_Process
 Start = Auto Start
 となっているのが見るべきところ。

NTUSER.DAT
 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 >rip.exe -p user_run -r NTUSER.DAT

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices
 >rip.exe -p soft_runplus -r NTUSER.DAT

 Autorun設定(NoDriveTypeAutoRun)
 >rip.exe -p autorun -r NTUSER.DAT

 loadによるAutorun設定
 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
 >rip.exe -p load -r NTUSER.DAT

 XPユーザーのAutorun設定(HKCU|Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)
 >rip.exe -p logon_xp_run -r NTUSER.DAT


●プログラムの実行履歴
・UserAssist
 エクスプローラー経由で起動したアプリケーションがわかる。
 (エクスプローラーがプログラムの実行履歴を、ROT13の値で保存している。)

 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

 >rip.exe -p userassist -r NTUSER.DAT(それぞれの実行時刻がわかる。)
 UEME_RUNPIDL:ショートカット、リンクからの実行等
 UEME_RUNPATH:ダブルクリック、ファイル名を指定して実行等
 UEME_RUNCPL:コントロールパネルを操作等


・MUICache
 アプリケーションを実行すると、実行ファイルからリソース情報を収集される。

 HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
 HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache

 >rip.exe -p muicache -r NTUSER.DAT(最後に書かれた時刻だけわかる。)


・AppCompatCache(ShimCache)
 kernel32.dllの共有メモリをシャットダウン時にキャッシュ情報をWinlogonプロセスにより保存される。

 HKLM\System\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache

 >rip.exe -p appcompatcache -r config\system

・Prefetch

 C:\Windows\Prefetch

 regripperでは見れないけれど、忘れないようにチェックする。


●ファイルの検索履歴
 Win32API経由で検索したとき
 >rip.exe -p acmru -r NTUSER.DAT


●USB機器の利用履歴
 >rip.exe -p usbstor -r config\system


●ネットワークドライブの情報
 User's Map Network Drive MRU
 >rip.exe -p mndmru -r NTUSER.DAT

●全部やる!
 >rip.exe -f software-all -r config\software
 >rip.exe -f security-all -r config\security
 >rip.exe -f sam-all -r config\sam
 >rip.exe -f system-all -r config\system
 >rip.exe -f ntuser-all -r NTUSER.DAT

EnCaseだと「View File Structure」すれば見れるので、やっぱり商用で高いだけあるかな。
フリーのregripperでもやれなくはないけど。
Citadelみたいに、レジストリに設定ファイルを保存するような場合は、
やはりEnCaseのように見れると便利で探しやすい気がする。

REMnuxの設定

備忘録 マルウェア

とりあえずREMnuxを日本語環境で、仮想環境上で使うには、これぐらい設定しておけばいいかな。

●キーボードの設定
# sudo vi ~/.bashrc

setxkbmap jp

●時刻設定
# sudo cp /etc/localtime /etc/localtime.bak
# sudo cp /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

IPアドレスの設定
# sudo vi /etc/network/interfaces

#iface eth0 inet dhcp
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

●inetsimの設定
# sudo vi /etc/inetsim/inetsim.conf

#start_service dns
service_bind_address 192.168.1.1
dns_default_ip 192.168.1.1

これで、
# inetsim
# fakedns 192.168.1.1
のように起動すれば、いい感じかも。

inetsimを起動していると、拡張子で判断して、sampleファイルをダウンロードしてくれる。
/usr/share/inetsim/data/http/fakefilesにsampleファイルが置いてある。→REMnuxの設定2を参照

データストリームとして付けたEICARテストファイルをウイルス対策ソフトは検知するかの?

マルウェア

EICARテストファイルとは、ウイルス対策ソフト用のテストファイルです。
http://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB

検証方法は以下のとおりです。
1 メモ帳で、「test.txt」を作成し、内容は「test」とする。
2 「test.txt:test1.txt」を作成し、内容は「test1」とする。
3 「test.txt:eicar.com」を作成し、内容は「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」とする。

このtest.txtを6種類のウイルス対策ソフトで試してみました。
○:検知した、×:検知しなかった
T社:○
N社:×
M社:○
K社:×
S社:×
F社:×
という結果でした。

T社は検知した後、「test.txt:eicar.com」のみ削除され、「test.txt:test1.txt」は削除されませんでした。
M社は検知したのみでしたが、設定によっては削除まで行うのかもしれません。
ちなみに、データストリームとしてではなく、「eicar.com」というファイルを作成し、内容を「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」として保存したファイルで試すと6社とも検知しました。

「Windows8で同名フォルダーを上書きする時に確認画面が表示されない」ことを検証

フォレンジック

ふとコピペしてると気づいたのですが、表示されないんですね・・・。

こちらのサイトに、表示する方法が載せてありました。
http://long-distance.jp/sb/log/eid189.html

画像付きなのでわかりやすいです。


というわけで、同名のフォルダーにコピペすると、勝手に同名フォルダーにコピペされます。


ただし、同名のファイルがあれば、各々のファイルに対しては、上書きするか確認されます。

でも、統合するときはいいですけど、間違って統合しちゃったときには気づかないので、
やはりチェックははずしておくのがいいのでしょうかね。。。

Androidとautorun.inf

マルウェア スマートフォン リバースエンジニアリング

こんな記事がありました↓
https://www.securelist.com/en/blog/805/Mobile_attacks

Android端末のSDカードに、autorun.infを入れて、
Android端末をPCに接続すると感染するという流れ。

感染するとsvchosts.exeというベタなファイル名のマルウェアがダウンロードされるそう。

ポイントは、Android端末からPCへの侵入というところ。

既存の技術をうまく利用していると思います。
ただ、autorun.infなので、XP狙いでしょうかね。