WHY DON'T YOU DO YOUR BEST!!
今年の10月くらいにアーカイブされたInfoSecurity Professional Magazineのクイズを実施したところ、CPE ポイントがいくら待っても自動登録されませんでした。
そこでISC2に問い合わせをおこなったところ、以下の通り回答があり、最新号以外は自動登録されなくなっているようです。
恐縮ではございますがシステムの変更により、 過去のInfoSecurity Professional MagazineクイズのCPEは自動で 登録されなくなり、最新号のみ自動的に付与されます。 ご自身で登録される際は、Online webinars, podcasts and other online materials をご選択いただくと良いと思います。 最新版のInfoSecurity Professional QuizによるCPE付与については 数週間ほどで反映されるかと存じます。
もし最近、過去のInfoSecurity Professional Magazineクイズを実施してCPEポイントが付与されているか確認していない人は、一度チェックしてみた方が良いと思います。
前回、ATT&CK活用の1回目を書いてみました。
そして前回の続きで、今回は第4位(出現数:88)に入っている以下のテクニックについて調べてみた。
T1105 Ingress Tool Transfer (侵入ツールの送り込み)
すると、ATT&CKのDETECTIONには以下の記載がある。
この中から「DS0029 Network Traffic」のそれぞれについて検索してみると、以下の通り書かれている。
Network Connection Creation
Monitor for newly constructed network connections that are sent or received by untrusted hosts or creating files on-system may be suspicious. Use of utilities, such as FTP, that does not normally occur may also be suspicious.
Network Traffic Content
Monitor network traffic content for files and other potentially malicious content, especially data coming in from abnormal/unknown domain and IPs.
Network Traffic Flow
Monitor network data for uncommon data flows (e.g., a client sending significantly more data than it receives from a server). Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.
これらの検知について、SIEMに検知ルールが実装されているか調べてみた。
検索条件としては「ATT&CK Technique:T1105」と「Data Sources:Network Communication」としてみた。
すると以下のとおり2つヒットした。
Spike in SMB Traffic
こちらはルールも見えますね。
サンプルデータも入ってました。
Suspicious Network Connectionの方。
こっちはUBA機能がないとだめっぽい。
ATT&CKを使って、特定のグループのテクニックを調べ、それを検知できるようにすることも考えられる。
しかしながら、その企業がどの攻撃グループに狙われるか、事前に想定するには難しいし、常に同じグループから狙われるとも限らない。
そこで、ATT&CKの中から、特に多く使われているテクニックから焦点をあてて監視実装をしていくのが適切と考える。
たとえば、最近のテクニックのトレンドはNECさんが定期的に以下のようにまとめていたりする。
NECセキュリティブログ MITRE ATT&CK 頻出手口 トップ10 Vol.3(2022年5月版) https://jpn.nec.com/cybersecurity/blog/220527/index.html
これをまず、ATT&CKにマッピングしてみる。
これをみると一番多く利用されているテクニックは以下になっており、出現数は152回のようだ。
T1059 Command and Scripting Interpreter (コマンドとスクリプトインタプリタ)
これをATT&CKで調べてみよう。
すると以下のように大きく4つの検知方法が示されている。
この中からさらに「Command Execution」を見てみる。
すると「T1548 Abuse Elevation Control Mechanism」や「T1087 Account Discovery」など、攻撃のフェーズは異なるが、いろいろなコマンド実行があることがわかる。
さらに、「T1548 Abuse Elevation Control Mechanism」の中から「T1548.002 Bypass User Account Control」を見てみよう。
すると、ページの中にところどころ、「eventvwr.exe」や「sdclt.exe」などのコマンドがかかれている。
このコマンドを調べてみると、以下のサイトなどで調べてみると、どうやらこれらのコマンドには、権限昇格時にユーザーに確認することなく権限昇格を行うことが可能な設定がなされているようです。
UAC回避機能を複数搭載したランサムウェア「HkCrypt」 https://www.mbsd.jp/blog/20171012.html
この検知を実装しているSIEMがあったので参考に載せておく。
ふとYouTubeをみていたら Pellucid というヘットライトのクリーナー&コーティング剤がとてもよい(特にコーティング剤の方)という動画がありました。
そこでWebなどでも調べてみたところ、他の人の評価も高かったので、思い切って買ってみることにしました。(といっても1,000円をすこしオーバーするくらいですが。)
パッケージの中身は以下の通りで、
・ヘットライトを磨く(研磨ではないらしい)ための粘土
・コーティング剤
・コーティング剤をヘッドライトに塗るためのスポンジ
と、使い方が書いてあるマニュアル1枚でした。
そして本日、ヘッドライトのクリーニングにチャレンジしてみました。
なお、パッケージには4分でできるとかいてあり、実施にやってみるとかなり簡単ではありましたが、まあ、全体で20分くらいはみておいた方がいいかなと思いました。
まず、粘土で磨く前に、ヘッドライトを水洗いします。
やはり上部を中心にこまかな傷などが入って曇っています。駐車場の位置的に西日をかなりおおく受けているのも影響しているかもしれません。
ヘッドライトを水洗いしたら、付属の粘土で磨きます。
ロードスターのヘッドライトはまわりがすべてボディーフレームで囲まれているので、サンドペーパーだと少し気を使いそうですが、粘土の場合、少々ボディーに触れても擦れている感じはないので、気にせず際まで磨くことができました。
実際に磨いた後は以下の通りです。粘土で磨くと粘土の白いものがヘッドライトにつきますが、それをかるく濡れたタオルで水拭きしました。
Youtube や Webでは、この粘土はあまり意味がないという話が多くきかれましたが、私が実際に使ってみた感じ、わずかながら効果があり、くすみが多少とれた気がしました。
粘土側にも結構よごれがついていましたね。
なお、この粘土、磨いた後の汚れをとれば、何度でも使えそうです。使っているうちにちょっと曲がってしまいましたが。
そして最後にボトルにはいったコーティング剤を付属のスポンジにつけて、ヘッドライトに塗り付けます。
あまり何回も同じところを塗り付けない方がよいとのことでしたので、なるべく上から横方向に同じところをなぞらないように塗っていきました。
実際にやってみるとおもったより簡単でしたね。
実際に塗った直後が以下の通りです。うわさどおり、このコーティング、塗った直後はすばらしくクリアに仕上がりました。(太陽もちょうどあたって、光り輝いております。)
まあ、塗りたてはクリアに見えるものなので、夕方までまってみて、どれくらいこのクリアさが保てているか、再度確認してみたいと思います。
前回、特定の攻撃集団の攻撃テクニックを確認する基本的なATT&CK Navigatorの使い方を確認してみました。
そこで今回は複数の攻撃集団の攻撃テクニックを重ねて表示する(色塗りする)方法を記載しておきます。
なお、この方法は、先に色塗りした攻撃グループの攻撃テクニックが、後で色塗りした攻撃グループのテクニックで塗り潰されてしまうので、注意してください。
まず1つ目の攻撃集団 BlackTech のテクニックを検索します。
検索窓から攻撃集団の名前を入れると「Threat Group」に検索にヒットした集団の名前が表示されるので、その中の「select」ボタンを押します。
その後で、下図のように好きな色をカラーパレットから選べば、その色で攻撃集団のテクニックが色塗りされます。(下図の場合は赤色)
色塗りをした後は「deselect」で選択を解除しておきます。
1.と同じ要領でLazarus Groupの攻撃テクニックを色塗りします。
Kimsukyについても同様に行います。
このように攻撃集団のテクニック毎に色を分けて塗りつぶすことができました。
ただし、今回の方法では、先に述べたように先に色塗りした攻撃集団のテクニックが後に色塗りした攻撃集団のテクニックで上書きされてしまいます。
もっとよい方法が無いか、もう少し調べてみたいと思います。
諸事情によりMITER ATT&CKを利用して、特定の攻撃集団が得意な攻撃テクニックを抽出する方法が知りたくなったので、実際にATT&CK Navigatorを使って操作してみました。
下記のMITERのサイトにアクセスします。
https://attack.mitre.org/matrices/enterprise/
すると、以下のようなサイトが表示されるので、右上にある「View on the ATT&CK® Navigator」のリンクをクリックします。
以下の画面が表示されたら、「Create New Layer」から企業向けと思われる「Enterprise」を選択してみます。
すると、ATT&CK Navigatorが表示されます。
ATT&CK Navigatorが表示されたら、上のツールバーの虫めがねマークをクリックし、検索窓から攻撃グループを指定します。
ここでは、台湾や日本を狙った中国の攻撃集団と言われている「BlackTech」を指定しています。
すると、「Threat Groups」の中に「BlackTech」が表示されるので、そこにマウスのカーソルを当てると、その攻撃集団が利用すると思われるテクニックはハイライトされます。
さらに、漏斗のアイコンをクリックすると、OSの種類やオンプレ/クラウドなどの環境を絞ったテクニックのみ表示させることも可能です。
なお、最近トレンドマイクロが発表していた「主な標的型攻撃集団」を確認してみたところ、以下のようになっていました。
| 攻撃集団 | ATT&CK Navigatorでの検索可否 |
| BlackTech(ブラックテック)中国が拠点 | ○ |
| Earth Tengshe(アーステンシェ)(≒APT10?なら中国が支援していると言われている) | ×(APT10(menuPass)なら○) |
| LODEINFO(ロードインフォ)(≒APT10?なら中国が支援していると言われている) | ×(APT10(menuPass)なら○) |
| Lazarus Group(ラザルス)北朝鮮が拠点 | ○ |
| Kimsuky(キムスキー)北朝鮮が拠点 | ○ |
私の調べ方が悪い可能性や別の名前で登録されている可能性がありますが、すべての攻撃集団が登録されているわけではなさそうです。
新しい攻撃集団が出た場合は、その全容を調べるのに少し時間がかかるのかもしれませんね。
<参考サイト>
・日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと(トレンドマイクロ)
https://www.trendmicro.com/ja_jp/jp-security/22/e/securitytrend-20220510.html#3
・MITRE ATT&CK徹底活用(@IT)
https://atmarkit.itmedia.co.jp/ait/articles/2209/08/news004.html
私はロードスターを購入した時から冬タイヤ(冬季は夏タイヤ)をタイヤ館に預かってもらっていますが、来週の松本でもかえる祭りに向けて、タイヤの交換をしてもらってきました。
ロードスターはトランクが狭くてタイヤを持ち運べないので、家のベランダとかに置いておいて交換のときににタイヤを持ち込むっていうことができないんですよねー。
まあ、あまりロードスターを冬タイヤに履き替える人っていないのかもしれませんが。
タイヤの交換費用については、タイヤ館さんと利用し始めたころは、タイヤを預けていれば無料だったのですが、5年前から有料となっています。残念。
おそらく費用てきには一般的な持ち込みと同じくらいの費用になっていると思います。
一方で、タイヤの保管費用は保管をお願いしはじめてからずっと1年間で18,000円だったのですが、今年から20,000円になってしまいました。
消費税も含めると22,000円で、月1,000円に近づいてきたという感じですね。
店員さんの話だと最近の原油高などが影響しているということでしたが、今後、値上がりすることはあっても、値下がりすることはないだろうということでした。
また、冬タイヤ(スタッドレス)のゴムが硬くなってきていて、そろそろ交換時ですよと言われてしまったので、来年の冬は買い替えかなーと思っております。
なお、ブリジストンのスタッドレスタイヤは熱が入ると柔らかくはなるんですよねーとも店員さんが言っていたので、走り出しは気をつけようとおもっています。
11月最初の祭日に時間があり、また天気も良さそうだったので、久しぶりに道の駅 富楽里に行き、近藤牧場の「えびのしっぽ」を食べてきました。
なお、高速道路から道の駅に到着したときには以下の写真の通りの状態だった為、閉まっている?と思いましたが、どうやら来年の夏〜秋までにかけて道の駅を改装しているようです。
そこでフェンスにかかっていた矢印の通り右脇をすり抜けて国道まで降りていくと、仮設の道の駅がありました。
そして、右側の建物に入っていくと、近藤牧場のお店も以前の通り営業されていましたので「えびのしっぽ」を購入。
500円と少々値段は張りますが、1人一つずつ購入しました。
大きさは写真だとわかりづらいかもしれませんが、女性の握り拳2つ分くらいはあるかと思います。
この「えびのしっぽ」外の皮はパリパリで0.5cmくらいの厚みがあり、その中に近藤牧場特製?のチーズを使ったクリームがしっぽの方までたっぷり入っています。
その皮のぱりぱり感とチーズを練り込んだクリームの組み合わせは絶品で、1個1,000円でもいいよねと、一緒にいった妻は言っておりました。
まあ、私がお金払ってますけどね。。。
また、来年あたり食べにこようという話になると思います。Amazonとかで買えないかな〜。
現在、私は自分のPC(Mac)にSplunk Free(フリーライセンス)を入れています。
そこにEnterprise Securityを入れてみたかったのですが、それはSplunkの有償ライセンスを購入していないと無理みたいなので、その一部の機能が含まれていると思われるSecurity Essentialをインストールしてみました。
まずSecurity EssentialのAppを探す為、Splunk Freeのトップページから「+他のAppのサーチ」を選択します。(以下の画面については、Security Essentialを入れたあとで撮ったので、もうSecurity Essentialが入ってますが。)
するとAppを検索する画面が出てきますので左上の検索窓から「Security Essential」と入力し検索します。
するとSecurity Essentialが表示され「インストール」ボタンを押せば入手できそうですが、Splunk Freeの場合、これではインストールできません。(上の画面ではすでにSecurity Essentialが入っているので「アプリを開く」になってます。)
そこで、Security Essentialの枠の下部にある「Splunk Base上で閲覧」のリンクをクリックします。
するとSplunkサイトのSplunk Base上でSecurity Essentialのページが開くので、その右下の方にある「Login T0 Download」ボタンからSplunkサイトにログインすれば、「splunk-security-essentials_XXX.tgz」というtgzファイルがダウンロードできます。
Splunk FreeがインストールされているPCにそのtgzファイルをダウンロードしましょう。
ダウンロードしたtgzファイルをSplunk Freeに取り込むには、Splunk Freeのトップ画面の左上にあるギアのアイコンマークをクリックします。
すると以下のようなApp管理画面が表示されますので、その右上にある「ファイルからAppをインストール」というボタンをクリックします。
ボタンをクリックすると以下の画面が表示されますので、Security Essentialのtgzファイルを選択して「アップロード」ボタンを押します。
アップロードした後はSplunkの再起動を促す画面が表示されますので、そこで「今すぐ再起動」のボタンを押してSplunkを立ち上げ直すと以下の通りSecurity EssentialのAppがSplunkのトップ画面に表示されます。
もし再起動されない場合には、以下のコマンドを打って再起動させます。(Mac OSの場合)
/Applications/Splunk/bin/splunk restart
Security EssentialではMITERのATT&CKから各TTPsに対応する相関ルールを選択できたり、リスクベースアラート(RBA)などの仕組みが備わっているようですので、これから使いながら勉強していきたいと考えています。
2021年のお正月に購入したニューバランスのランニングシューズですが、使っているうちにかかとの裏地が大きく破けてしまいました。
このニューバランスのM413は見た目は繊細でよいのですが、いろんな部分の耐久性に問題を感じており、今度はかかとが破れちゃったかという感じです。
しかしながらまだ2年も経ってないので、もう少し延命させたく、Amazonで修理用のパッチを購入しました。
そして到着した商品がこちらです。
袋から出してみると小さめのパッチ左右3セットと大きめのパッチ3セットの6セットが入っていました。
色は大、小それぞれ白、黒、灰色の3セットになっています。
パッチの裏はシールになっていますので、それを剥がして破れた部分に貼り付けるだけです。
男性用のシューズの場合は大きい方のパッチ、女性用のシューズの場合は小さい方のパッチがフィットしそうです。
以下は男性用のシューズに大きい方のパッチをそのまま貼り付けた状態です。
パッチはハサミで切って調節できますが、そのままはりつけてちょうどいい感じかなと思います。
シールはかなり粘着力があるようで、かなりしっかり張り付いている感じがしましたが、心配なのは、シールの上の部分が足を入れるときに剥げてしまわないかですね。
耐久性については、別途確認したいと思います。