あうとぷっと

Security, Research, CTF, SOC, Incident, Malware, Analysis, OSINT

Today's security summary(2017/6/3)

この記事は、なにをまとめているの?

2017/6/3に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。
主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリンク先まで目を通すことをおススメします。

日本語で流れてこない情報を中心に、概要を書いて興味を持ってもらえるようにまとめたいと思います。


目次


1日のまとめ / Summary

[Google] Announcing Google Capture the Flag 2017

概要 : Googleによる第2回となるCTFが案内されました。
 日時 : 6/17 9:00 ~ 6/18 9:00(JST)
 1位賞金 : $13,337 USD (約150万円)
 決勝進出条件 : 10位以内
 決勝参加者数 : 4人

 ルールを読んでみる限り、Writeupで良いと思われたものにも賞金が貰える?
 CTF Timeでも案内されています。

security.googleblog.com


[Skytrak Travel] 旅行会社のSkytrak Travelがハッキング被害

概要 : 旅行会社のSkytrak Travel(Alexa : Global 18,281,247位)のデータベース情報が、Franceのハッキングチームによって盗まれ、盗んだ情報の一部(43種類のCSV、17293行)をWeb上で公開しています。
 情報の一部だとされているため、もう少し被害が拡大する可能性もあります。

 リーク対象は、2011年サービス開始当初から2017年5月16日と考えられます。

 ・・・

 と思って少し調べてみたところ、
 この会社、2016年8月24日にも管理者情報がリークされていました。

 あまり大きい会社じゃないようですし、この辺で。


[Bahrain] バーレーンのKhaled 外務大臣のTwitterアカウントが、カタールのサイバー攻撃被害に

概要 : 2017年6月3日13時頃、バーレーン外務省によって、外務大臣のTwitterアカウントがハッキングされていることが報告されています。
 バーレーン外務省は18時55分に、Twitterでアカウントを取り戻したことを伝えており、
 同時に外務大臣もTwitterで、「Twitterアカウントを取り戻しました、神に感謝します」(日本語意訳)とコメントしています。

 この事件をきっかけに調べたんですが、バーレーンとカタールはペルシャ湾に面した真横に位置する国で、
 中東の経済状況としては、ドバイ(1位)、カタール(2位)、バーレーン(3位)というくらい、ビジネスの拠点地だそうです。

 カタールと言われても、ドーハしか思い浮かばなかったです。

一次情報源:バーレーン外務省(Twitter)

バーレーン外務省(外務省公式)

www.mofa.gov.bh

Khaled 外務大臣(Twitter)

二次情報

www.voanews.com


[Adware] 中国のマルウェア"Fireball"が大量感染

概要 : Fireballと名付けられているマルウェアは、ブラウザハイジャックによって1億2500万台(うち企業ネットワークが20%)が感染しているということです。
 このマルウェアに感染すると、マシン上で任意のコードを実行され、資格情報を盗んだりソフトウェアの不具合を取り除くことまで幅広くできてしまうということです。
 さらに、感染者のブラウジングで広告収入を得る機能も有しているということです。

感染上位国

 インド、ブラジル、メキシコ
 アメリカでは、550万台が感染しているとされています。

対策(Windows)

  1. コントロールパネルから、アドウェアをアンインストールする。

対策(Mac OS)

  1. FinderからApplicationsを検索する
  2. 不審なファイルをゴミ箱へ
  3. ゴミ箱を空にする

対策(その他)

上記以外にも、アドオンや、プラグイン、検索エンジンからも削除する必要があります。
詳しい削除方法、またIoC(Indicators of Compromise)は、「一次情報源」のリンクから閲覧してください。

一次情報源:Checkpoint社

blog.checkpoint.com

  • IoC (C&Cドメイン31個、ハッシュ8個)が掲載されています。

二次情報:The Register

www.theregister.co.uk


[FireEye] Eternal Blueの様々な悪用が増え始めている

概要 : WannaCryで注目を浴びたEternal Blueが、UiwixやAdylkuzzにも利用されていると5月下旬から話題になっていました。
 今回FireEyeから発表された内容によると、Gh0st RATやBackdoor Nitolにも同様の利用が見られ始めたということです。

 外部にSMBv1が公開されていなければ安心!とされていた時期もありましたが、
 内部ネットワークで広まり始めるのも時間の問題かもしれません。

 MS17-010のパッチがあたってさえいれば、この影響は受けることはありません。
 どうしてもパッチをあてることが不可能な環境以外は、
 いまのうちに内部ネットワークの端末においてもMS17-010のパッチをあてることを検討することを推奨します。

一次情報源:FireEye

Threat actors leverage EternalBlue exploit to deliver non-WannaCry payloads « Threat Research Blog | FireEye Inc

  • IoC (C&C3個、URL2個、ハッシュ2個)が掲載されています。

二次情報:Security Affairs

securityaffairs.co