2014.9.18 サイバー攻撃関連情報サイト
満州事変のきっかけとなった柳条湖事件のあった日が9月18日だったということで、
この日に「どこかから」サイバー攻撃されるのが恒例となっている。
ただ、昨年に引き続き今年は低調のようであった。
工務店系が改ざんされていたようである。
●9.18関連の情報サイト
・エフセキュアブログ
エフセキュアブログ : 9.18のサイバー攻撃に関して(追記)
・マクニカネットワークス セキュリティ研究センターブログ
セキュリティ研究センターブログ: 9.18で改ざんされたWebサイトをMaltegoで見てみた
・IBM Tokyo SOC Report
Tokyo SOC Report
●改ざんされたサイト一覧
閲覧に注意。Tor等で経由して見ることをオススメします。
(サイトを見て何かあっても知りません。)
・1937cn
http://www.1937cn.net/?post=101
http://www.1937cn.net/?post=102
・全球被黑站点统计系统(GLOBAL HACKED SITE STATISTICS)
全球被黑站点统计|GLOBAL HACKED SITE STATISTICS
REMnuxの設定2
●inetsimのダウンロードファイルの設定
inetsimを起動していると、拡張子で判断して、sampleファイルをダウンロードしてくれる。
「/usr/share/inetsim/data/http/fakefiles」にsampleファイルが置いてある。
と前回書いた。
でも、実際にここのファイルを変更してみても変更されない・・・。
いろいろ調べていくと、
「/var/lib/inetsim/http/fakefiles/sample*」を変更すると、ダウンロードされるファイルが変更された。
じゃあ、「/usr/share/inetsim/data/http/fakefiles」内のファイルは何?って感じだけど、ちょっと今ところはよくわかっていません。。。
●inetsimのダウンロードファイルの設定2
「/etc/inetsim/inetsim.conf」の「http_fakefile」の項目で追記し、「/var/lib/inetsim/http/fakefiles」フォルダ内にファイルを置けばいい。
http_fakefile 拡張子 サンプルファイル名 mime-type
・例えば、javascriptを追加したいとき
http_fakefile js sample.js application/x-javascript
mime-typeは、「/var/lib/inetsim/http/mime.types」を見ると記載されているので参考になる。
●inetsimのlogファイル
「/var/log/inetsim」フォルダ内に、debug.log、main.log、service.log、reportフォルダがある。
・debug.logは、現在のところ記載がなかったので不明。sudo付きでないと見れない。
・main.logは、inetsimの何のサービスを起動したか等が保存されている。
・service.logは、sendやreceive、connectした通信結果が保存されている。
・reportフォルダ内には、inetsimが起動後から終了までの間に、何がGETされた等が保存されている。
reportフォルダ内のレポートは、sudo付きでないと見れないので注意。
●.bash_aliases
エイリアスがhomeの下の「.bash_aliases」が保存されている。
見てみると、myipやwireshark、tor、sudoが必要なコマンドをsudoを打たずに実行できるように設定されていたりする。
regripperの使い方メモ
「https://code.google.com/p/regripper/downloads/list」
から、
「rrv2.5.zip」
をダウンロードし、解凍する。
プラグインは、
「https://code.google.com/p/regripperplugins/downloads」
から、
「regripperplugins_20130218.zip」
をダウンロードし、解凍する。
解凍したフォルダを、「rrv2.5.zipを解凍したフォルダ」内に移動する。
「regripperplugins_20130218.zipを解凍したフォルダ」を「plugins」とフォルダ名をリネームする。
※リネームしないと、プラグインへのパスが通らず、プラグインが使えないので。
●使い方
>rip.exe -p プラグイン名 -r レジストリハイブファイル
●注意点
・UTCの時刻になっているので、日本だと+9時間を忘れないようにする必要がある。
・日本語表記のパスは、文字化けする。
●自動起動設定の調査
・config\software
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
>rip.exe -p soft_run -r config\software
HKLM\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices
>rip.exe -p soft_runplus -r config\software
KB950582(Autorunの設定が無効化どうかチェック)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
>rip.exe -p KB950582 -r config\software
HKLMのService
>rip.exe -p services -r config\system
Type = Own_Process
Start = Auto Start
となっているのが見るべきところ。
・NTUSER.DAT
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
>rip.exe -p user_run -r NTUSER.DAT
HKCU\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices
>rip.exe -p soft_runplus -r NTUSER.DAT
Autorun設定(NoDriveTypeAutoRun)
>rip.exe -p autorun -r NTUSER.DAT
loadによるAutorun設定
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
>rip.exe -p load -r NTUSER.DAT
XPユーザーのAutorun設定(HKCU|Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)
>rip.exe -p logon_xp_run -r NTUSER.DAT
●プログラムの実行履歴
・UserAssist
エクスプローラー経由で起動したアプリケーションがわかる。
(エクスプローラーがプログラムの実行履歴を、ROT13の値で保存している。)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
>rip.exe -p userassist -r NTUSER.DAT(それぞれの実行時刻がわかる。)
UEME_RUNPIDL:ショートカット、リンクからの実行等
UEME_RUNPATH:ダブルクリック、ファイル名を指定して実行等
UEME_RUNCPL:コントロールパネルを操作等
・MUICache
アプリケーションを実行すると、実行ファイルからリソース情報を収集される。
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache
>rip.exe -p muicache -r NTUSER.DAT(最後に書かれた時刻だけわかる。)
・AppCompatCache(ShimCache)
kernel32.dllの共有メモリをシャットダウン時にキャッシュ情報をWinlogonプロセスにより保存される。
HKLM\System\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache
>rip.exe -p appcompatcache -r config\system
・Prefetch
C:\Windows\Prefetch
regripperでは見れないけれど、忘れないようにチェックする。
●ファイルの検索履歴
Win32API経由で検索したとき
>rip.exe -p acmru -r NTUSER.DAT
●USB機器の利用履歴
>rip.exe -p usbstor -r config\system
●ネットワークドライブの情報
User's Map Network Drive MRU
>rip.exe -p mndmru -r NTUSER.DAT
●全部やる!
>rip.exe -f software-all -r config\software
>rip.exe -f security-all -r config\security
>rip.exe -f sam-all -r config\sam
>rip.exe -f system-all -r config\system
>rip.exe -f ntuser-all -r NTUSER.DAT
EnCaseだと「View File Structure」すれば見れるので、やっぱり商用で高いだけあるかな。
フリーのregripperでもやれなくはないけど。
Citadelみたいに、レジストリに設定ファイルを保存するような場合は、
やはりEnCaseのように見れると便利で探しやすい気がする。
REMnuxの設定
とりあえずREMnuxを日本語環境で、仮想環境上で使うには、これぐらい設定しておけばいいかな。
●キーボードの設定
# sudo vi ~/.bashrc
setxkbmap jp
●時刻設定
# sudo cp /etc/localtime /etc/localtime.bak
# sudo cp /usr/share/zoneinfo/Asia/Tokyo /etc/localtime
●IPアドレスの設定
# sudo vi /etc/network/interfaces
#iface eth0 inet dhcp
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
●inetsimの設定
# sudo vi /etc/inetsim/inetsim.conf
#start_service dns
service_bind_address 192.168.1.1
dns_default_ip 192.168.1.1
これで、
# inetsim
# fakedns 192.168.1.1
のように起動すれば、いい感じかも。
inetsimを起動していると、拡張子で判断して、sampleファイルをダウンロードしてくれる。
/usr/share/inetsim/data/http/fakefilesにsampleファイルが置いてある。→REMnuxの設定2を参照
データストリームとして付けたEICARテストファイルをウイルス対策ソフトは検知するかの?
EICARテストファイルとは、ウイルス対策ソフト用のテストファイルです。
(http://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB)
検証方法は以下のとおりです。
1 メモ帳で、「test.txt」を作成し、内容は「test」とする。
2 「test.txt:test1.txt」を作成し、内容は「test1」とする。
3 「test.txt:eicar.com」を作成し、内容は「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」とする。
このtest.txtを6種類のウイルス対策ソフトで試してみました。
○:検知した、×:検知しなかった
T社:○
N社:×
M社:○
K社:×
S社:×
F社:×
という結果でした。
T社は検知した後、「test.txt:eicar.com」のみ削除され、「test.txt:test1.txt」は削除されませんでした。
M社は検知したのみでしたが、設定によっては削除まで行うのかもしれません。
ちなみに、データストリームとしてではなく、「eicar.com」というファイルを作成し、内容を「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」として保存したファイルで試すと6社とも検知しました。
「Windows8で同名フォルダーを上書きする時に確認画面が表示されない」ことを検証
ふとコピペしてると気づいたのですが、表示されないんですね・・・。
こちらのサイトに、表示する方法が載せてありました。
http://long-distance.jp/sb/log/eid189.html
画像付きなのでわかりやすいです。
というわけで、同名のフォルダーにコピペすると、勝手に同名フォルダーにコピペされます。
ただし、同名のファイルがあれば、各々のファイルに対しては、上書きするか確認されます。
でも、統合するときはいいですけど、間違って統合しちゃったときには気づかないので、
やはりチェックははずしておくのがいいのでしょうかね。。。
Androidとautorun.inf
こんな記事がありました↓
https://www.securelist.com/en/blog/805/Mobile_attacks
Android端末のSDカードに、autorun.infを入れて、
Android端末をPCに接続すると感染するという流れ。
感染するとsvchosts.exeというベタなファイル名のマルウェアがダウンロードされるそう。
ポイントは、Android端末からPCへの侵入というところ。
既存の技術をうまく利用していると思います。
ただ、autorun.infなので、XP狙いでしょうかね。