あうとぷっと

Security, Research, CTF, SOC, Incident, Malware, Analysis, OSINT

Today's security summary(2017/6/4)

この記事は、なにをまとめているの?

2017/6/4に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。
主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリンク先まで目を通すことをおススメします。

日本語で流れてこない情報を中心に、概要を書いて興味を持ってもらえるようにまとめたいと思います。

注意事項

危険なサイトへ誘導するようなことが無いように細心の注意を払って気を付けていますが、
一次情報源や海外のWebサイトへアクセスする際には自己責任での利用をお願いいたします。


目次


1日のまとめ / Summary

[CTF] PHDaysでのWAF Bypassコンテストの結果と公式解答例

概要 : 毎年ロシアで開催されているセキュリティカンファレンスPHDaysで行われた、
 WAF Bypassコンテストの結果と、主催者による解答例が公開されました。

 主催者のPositive Technology Security(PT Security)が販売する
 PT Application Firewallが攻撃対象で、
 コンテストで使用された設定は、無敵な状態を破るのではなく、対象のシグネチャが調整されているようです。

 以下が出題された問題のカテゴリです。

  • Challenge #1 (JJ) : SQLインジェクション
  • Challenge #2 (KM) : SQLインジェクション
  • Challenge #3 (AG) : XML External Entity
  • Challenge #4 (KP) : ImageMagickの脆弱性(ImageTragick)
  • Challenge #5 (GM) : SQLインジェクション
  • Challenge #6 (ES) : SQLインジェクション

一次情報源 : PT Security


[Heimdal] Jaff ランサムウェアが入手した情報をダークウェブで販売

概要 : Jaffランサムウェアで盗まれたアカウント情報が、ダークウェブで販売されているとのこと。
 やり取りされている銀行口座で感染記録が多いのは、アメリカ、ドイツ、フランス、スペイン、カナダ、オーストラリア、イタリア、ニュージーランドとしています。

 感染プロセスは、以下の通りとされています。

 大量のスパムメール配信 -> 添付PDFに埋め込まれたWORDドキュメント -> ダウンローダへ通信

 ビットコインでクレジットカード情報が販売されていて、
 攻撃者は弱いパスワードや使いまわしているパスワードを狙っており、
 口座にアクセスして、財務情報を閲覧するだけでなく、その資金を実際に使うことも確認されているとのことです。

 ダークウェブへの共有状況や、詳しい情報は、「一次情報源」を確認してください。

一次情報源 : Heimdal Security

二次情報 : Security Affairs

Jaff Ransomware campaigns linked to a black marketplaceSecurity Affairs

二次情報 : Cisco

Jaff ランサムウェア:新たなプレイヤーの参戦

  • IoC (メール件名6個、添付ファイル名1個、C&C2個、ハッシュ1個)が掲載されています。

[Cybereason] Threat Huntingに関するQ&Aとホワイトペーパー

概要 : Cybereasonから、Threat Huntingに関するコメントが掲載されていました。
 Q&Aも興味深いですが、リリースされているホワイトペーパーも読みごたえあります。
 Registerが必要ですが、読んでみたい方はぜひ目を通してみてください。

 Q&Aでは、Threat Huntingについて詳しくまとめられています。

Threat HuntingとPenetration Testing、Incident Responseの違い

  • Penetration Testing : 組織の防御を回避し、攻撃者がどのシステムにアクセスできるかを調査していく、外からの攻撃を中心に作業していく。
  • Threat Hunting : ペンテストより安全なアプローチで、既に攻撃者に侵入されていると仮定し、内部ネットワークでの悪意ある挙動を実行する。
  • Incident Reponse : すでに検出された内部ネットワークの脅威を見つけるもので、Threat Huntingを行っている途中にIncident Responseで処理されるという接点がある。

Threat Huntingで何も見つからなかったら時間とお金が無駄になったということですか?

確かに脅威を見つけることが重要ではあるが、Threat Huntingによって環境の可視化が行われ、より潜在的な問題を特定することが出来る。

一次情報源 : Cybereason

https://www.cybereason.com/blog-your-top-threat-hunting-questions-answered/


[IBM] 数百人から数千人のActive DirectoryユーザがQakBotマルウェアによって自社ドメインからロックアウトされている事実を発見

概要 : あるインシデントレスポンスでADのロックアウトが立て続けに起こる事象が発生したとのことで、
 被害組織の従業員は、エンドポイント、企業内のサーバ、情報資産にアクセス出来なくなったという。

 IBMの研究者によると、QakBotと呼ばれるバンキングトロージャンによる悪質な行為であると判断しました。

 QakBotは、2007年ごろから確認されている古くから存在するマルウェアで、
 感染経路の一例として、ウェブサイト閲覧時に悪意あるサイトへ接続が向くと、PDFをダウンロードしてきて感染するような手口があります。

 主に、海外の金融機関のWebサイト閲覧時にアカウント情報を盗むことが目的とされていました。

 今回のIBMの発表によって、初めてADへのロックアウトが発生し内部ネットワークへの影響を与えることが確認されたとのことです。

 今回確認されたQakBotの詳しい分析結果については、「一次情報源」を確認ください。

一次情報源 : IBM

参考情報 : IBM短縮URL

二次情報 : Security Affairs

QakBot Banking malware causes massive Active Directory lockoutsSecurity Affairs