月: 2022年12月

横浜国立大学の am I infected? で自宅のルータのセキュリティを調べてみた

色々な企業でVPNの脆弱性から社内ネットワークに侵入されている事例を見るにつれ、自分の家のルータは大丈夫かと心配しておりました。

そんな中、横浜国立大学さんの方からルータのセキュリティをチェックしてくれるサービスがあると聞き、さっそく試してみました。

1.感染チェック開始

DDoSを引き起こしてしまうようなマルウェアに感染していないかチェックするには、以下のサイトから3つの項目を入力して「感染診断をはじめる」のボタンを押すだけです。

am I infected?
https://amii.ynu.codes/

【入力項目】
・自分のメールアドレス(ここに検査結果がメールされる)
・現在の環境をプルダウンメニューから選択(自宅のルータかどうかなど)
・このサイトを知ったきっかけをプルダウンメニューから選択する

am I infected?(横浜国立大学)

2.チェック完了のメールが届く

感染チェックが完了すると、先ほど入力した自分のメールアドレスに届きます。

am I infected?からの検査結果メール

たしかWebには5分くらいかかりますと書いてあったと思いますが、実際には2〜3分くらいでメールが届きました。

3.チェック結果をWebで確認する

2.で届いたメールに書かれているリンクをクリックすると診断結果を確認できます。

我が家のルータは幸いにも安全な状態でした。ファームアップの連絡が届いたらすぐに適用しているので、それが幸いしているかもしれませんね。

診断結果(横浜国立大学)

みなさんも1度といわず、定期的にチェックしてみるといいと思いますよ。

InfoSecurity Professional Magazineクイズを回答しても自動登録されなくなっていた件

今年の10月くらいにアーカイブされたInfoSecurity Professional Magazineのクイズを実施したところ、CPE ポイントがいくら待っても自動登録されませんでした。

そこでISC2に問い合わせをおこなったところ、以下の通り回答があり、最新号以外は自動登録されなくなっているようです。

恐縮ではございますがシステムの変更により、
過去のInfoSecurity Professional MagazineクイズのCPEは自動で
登録されなくなり、最新号のみ自動的に付与されます。
ご自身で登録される際は、Online webinars, podcasts and other online materials
をご選択いただくと良いと思います。

最新版のInfoSecurity Professional QuizによるCPE付与については
数週間ほどで反映されるかと存じます。

もし最近、過去のInfoSecurity Professional Magazineクイズを実施してCPEポイントが付与されているか確認していない人は、一度チェックしてみた方が良いと思います。

攻撃検知にMITER ATT&CKを活用する方法を検討する(その2)

前回、ATT&CK活用の1回目を書いてみました。

http://k2-ornata.com/miter-attck_leverage/

そして前回の続きで、今回は第4位(出現数:88)に入っている以下のテクニックについて調べてみた。

T1105 Ingress Tool Transfer
(侵入ツールの送り込み)

すると、ATT&CKのDETECTIONには以下の記載がある。

T1105 Ingress Tool TransferのDetection(MITER ATT&CK)

この中から「DS0029 Network Traffic」のそれぞれについて検索してみると、以下の通り書かれている。

Network Connection Creation
Monitor for newly constructed network connections that are sent or received by untrusted hosts or creating files on-system may be suspicious. Use of utilities, such as FTP, that does not normally occur may also be suspicious.

Network Connection Creation(MITER ATT&CK)

Network Traffic Content
Monitor network traffic content for files and other potentially malicious content, especially data coming in from abnormal/unknown domain and IPs.

Network Traffic Content(MITER ATT&CK)

Network Traffic Flow
Monitor network data for uncommon data flows (e.g., a client sending significantly more data than it receives from a server). Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

Network Traffic Flow(MITER ATT&CK)

これらの検知について、SIEMに検知ルールが実装されているか調べてみた。

検索条件としては「ATT&CK Technique:T1105」と「Data Sources:Network Communication」としてみた。

すると以下のとおり2つヒットした。

Splunk 画面

Spike in SMB Traffic

Splunk画面

こちらはルールも見えますね。

Splunk画面

サンプルデータも入ってました。

Splunk画面

Suspicious Network Connectionの方。

こっちはUBA機能がないとだめっぽい。

Splunk画面

攻撃検知にMITER ATT&CKを活用する方法を検討する(その1)

ATT&CKを使って、特定のグループのテクニックを調べ、それを検知できるようにすることも考えられる。

しかしながら、その企業がどの攻撃グループに狙われるか、事前に想定するには難しいし、常に同じグループから狙われるとも限らない。

そこで、ATT&CKの中から、特に多く使われているテクニックから焦点をあてて監視実装をしていくのが適切と考える。

たとえば、最近のテクニックのトレンドはNECさんが定期的に以下のようにまとめていたりする。

NECセキュリティブログ
MITRE ATT&CK 頻出手口 トップ10 Vol.3(2022年5月版)
https://jpn.nec.com/cybersecurity/blog/220527/index.html

これをまず、ATT&CKにマッピングしてみる。

ATT&CKに頻出手口トップ10をマッピング

これをみると一番多く利用されているテクニックは以下になっており、出現数は152回のようだ。

T1059 Command and Scripting Interpreter
(コマンドとスクリプトインタプリタ)

これをATT&CKで調べてみよう。

すると以下のように大きく4つの検知方法が示されている。

T1059 Command and Scripting Interpreter に対するDetection(ATT&CK)

この中からさらに「Command Execution」を見てみる。

Command Execution

すると「T1548 Abuse Elevation Control Mechanism」や「T1087 Account Discovery」など、攻撃のフェーズは異なるが、いろいろなコマンド実行があることがわかる。

さらに、「T1548 Abuse Elevation Control Mechanism」の中から「T1548.002 Bypass User Account Control」を見てみよう。

Bypass User Account Control(その1)
Bypass User Account Control(その2)

すると、ページの中にところどころ、「eventvwr.exe」や「sdclt.exe」などのコマンドがかかれている。

このコマンドを調べてみると、以下のサイトなどで調べてみると、どうやらこれらのコマンドには、権限昇格時にユーザーに確認することなく権限昇格を行うことが可能な設定がなされているようです。

UAC回避機能を複数搭載したランサムウェア「HkCrypt」
https://www.mbsd.jp/blog/20171012.html

この検知を実装しているSIEMがあったので参考に載せておく。

Splunk