この記事は、なにをまとめているの？

2017/6/5に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。
主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリンク先まで目を通すことをおススメします。

日本語で流れてこない情報を中心に、概要を書いて興味を持ってもらえるようにまとめたいと思います。

注意事項

危険なサイトへ誘導するようなことが無いように細心の注意を払って気を付けていますが、 一次情報源や海外のWebサイトへアクセスする際には自己責任での利用をお願いいたします。

目次

• この記事は、なにをまとめているの？
  • 注意事項
• 目次
• 1日のまとめ / Summary
  • [RSA] Rig Exploit Kitに関する4万のサブドメインをテイクダウン
    • 一次情報源 : RSA Security
    • 二次情報 : Threatpost
    • 二次情報
  • Twitterに蔓延するボット
    • 一次情報源 :
    • 二次情報 : Motherboard
  • [Bug Bounty] Yahoo.comにあったリモートコード実行の脆弱性を見つけて$5,500貰った話
    • 一次情報源

1日のまとめ / Summary

[RSA] Rig Exploit Kitに関する4万のサブドメインをテイクダウン

概要 : マルウェアのランディングページでは、Domain Shadowingの手法でクレデンシャル情報を盗み取っていました。

　GoDaddyのドメインレジストラとして利用していたドメインについて、
　RSA Securityやその他の企業の研究者と共に調査を行い、2017年5月にテイクダウンしたとしています。

　多く確認された事例は、WordPressやJoomla!、Drupalにiframeが挿入されていたということです。

　RSA Securityのブログに掲載されている謝辞の方々の情報を閲覧すると、
　確認されていたRig Exploit Kitの詳細が分かってとても読みごたえがあります。

一次情報源 : RSA Security

Date : 2017/6/5
Shadowfall - Speaking of Security - The RSA Blog

二次情報 : Threatpost

Date : 2017/6/5

二次情報

Date : 2017/6/5

#RigEK via #RoughTed drops a miner "curl.exe" with string "miner no tor" @malwrhunterteam @Antelox Files -> https://t.co/rcnobT0BDn pic.twitter.com/cqMSIx53AB

— 🌃Zerophage🌌 (@Zerophage1337) 2017年6月5日

Twitterに蔓延するボット

概要 : Twitterは実際の人であるように見せかけるために、実際に存在するユーザの「アカウント名」や「プロフィール」、「つぶやく内容」を模してクローンを作成しているとのことです。
　Pythonで実装したコードを紹介し、テストした結果が紹介されています。

一次情報源 :

Date : 2017/6/1

二次情報 : Motherboard

Date : 2017/6/6

[Bug Bounty] Yahoo.comにあったリモートコード実行の脆弱性を見つけて$5,500貰った話

概要 : Th3G3nt3lman氏によると、Yahoo.comに存在していた脆弱性を見つけて、報奨金を貰った際のWriteupが公開されています。

脱線しますが、コメント欄では某ドメインにもStruts2のRCEの脆弱性が存在してるけど直してくれない。というコメントもあって、少し不安です。

一次情報源

Date : 2017/6/5

この記事は、なにをまとめているの？

2017/6/3に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。
主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリンク先まで目を通すことをおススメします。

日本語で流れてこない情報を中心に、概要を書いて興味を持ってもらえるようにまとめたいと思います。

目次

• この記事は、なにをまとめているの？
• 目次
• 1日のまとめ / Summary
  • [Google] Announcing Google Capture the Flag 2017
  • [Skytrak Travel] 旅行会社のSkytrak Travelがハッキング被害
  • [Bahrain] バーレーンのKhaled 外務大臣のTwitterアカウントが、カタールのサイバー攻撃被害に
    • 一次情報源：バーレーン外務省(Twitter)
    • バーレーン外務省(外務省公式)
    • Khaled 外務大臣(Twitter)
    • 二次情報
  • [Adware] 中国のマルウェア"Fireball"が大量感染
    • 感染上位国
    • 対策(Windows)
    • 対策(Mac OS)
    • 対策(その他)
    • 一次情報源：Checkpoint社
    • 二次情報：The Register
  • [FireEye] Eternal Blueの様々な悪用が増え始めている
    • 一次情報源：FireEye
    • 二次情報：Security Affairs

1日のまとめ / Summary

[Google] Announcing Google Capture the Flag 2017

概要 : Googleによる第2回となるCTFが案内されました。
　日時 : 6/17 9:00 ～ 6/18 9:00(JST)
　1位賞金 : $13,337 USD (約150万円)
　決勝進出条件 : 10位以内
　決勝参加者数 : 4人

　ルールを読んでみる限り、Writeupで良いと思われたものにも賞金が貰える？
　CTF Timeでも案内されています。

security.googleblog.com

[Skytrak Travel] 旅行会社のSkytrak Travelがハッキング被害

概要 : 旅行会社のSkytrak Travel(Alexa : Global 18,281,247位)のデータベース情報が、Franceのハッキングチームによって盗まれ、盗んだ情報の一部(43種類のCSV、17293行)をWeb上で公開しています。
　情報の一部だとされているため、もう少し被害が拡大する可能性もあります。

　リーク対象は、2011年サービス開始当初から2017年5月16日と考えられます。

　・・・

　と思って少し調べてみたところ、
　この会社、2016年8月24日にも管理者情報がリークされていました。

　あまり大きい会社じゃないようですし、この辺で。

[Bahrain] バーレーンのKhaled 外務大臣のTwitterアカウントが、カタールのサイバー攻撃被害に

概要 : 2017年6月3日13時頃、バーレーン外務省によって、外務大臣のTwitterアカウントがハッキングされていることが報告されています。
　バーレーン外務省は18時55分に、Twitterでアカウントを取り戻したことを伝えており、
　同時に外務大臣もTwitterで、「Twitterアカウントを取り戻しました、神に感謝します」(日本語意訳)とコメントしています。

　この事件をきっかけに調べたんですが、バーレーンとカタールはペルシャ湾に面した真横に位置する国で、
　中東の経済状況としては、ドバイ(1位)、カタール(2位)、バーレーン(3位)というくらい、ビジネスの拠点地だそうです。

　カタールと言われても、ドーハしか思い浮かばなかったです。

一次情報源：バーレーン外務省(Twitter)

تُبين الوزارة بأنه قد تم اختراق حساب معالي الشيخ خالد بن أحمد بن محمد آل خليفة وزير الخارجية. يرجى أخذ العلم والحذر.

— وزارة الخارجية (@bahdiplomatic) 2017年6月3日

バーレーン外務省(外務省公式)

www.mofa.gov.bh

Khaled 外務大臣(Twitter)

الحمدلله تم استرجاع الحساب .. شكرا لجهودكم أصدقائي الأعزاء في ابلاغ تويتر . جزاكم الله خير

— خالد بن ‏أحمد (@khalidalkhalifa) 2017年6月3日

二次情報

www.voanews.com

[Adware] 中国のマルウェア"Fireball"が大量感染

概要 : Fireballと名付けられているマルウェアは、ブラウザハイジャックによって1億2500万台(うち企業ネットワークが20%)が感染しているということです。
　このマルウェアに感染すると、マシン上で任意のコードを実行され、資格情報を盗んだりソフトウェアの不具合を取り除くことまで幅広くできてしまうということです。
　さらに、感染者のブラウジングで広告収入を得る機能も有しているということです。

感染上位国

　インド、ブラジル、メキシコ
　アメリカでは、550万台が感染しているとされています。

対策(Windows)

1. コントロールパネルから、アドウェアをアンインストールする。

対策(Mac OS)

1. FinderからApplicationsを検索する
2. 不審なファイルをゴミ箱へ
3. ゴミ箱を空にする

対策(その他)

上記以外にも、アドオンや、プラグイン、検索エンジンからも削除する必要があります。
詳しい削除方法、またIoC(Indicators of Compromise)は、「一次情報源」のリンクから閲覧してください。

一次情報源：Checkpoint社

blog.checkpoint.com

• IoC (C&Cドメイン31個、ハッシュ8個)が掲載されています。

二次情報：The Register

www.theregister.co.uk

[FireEye] Eternal Blueの様々な悪用が増え始めている

概要 : WannaCryで注目を浴びたEternal Blueが、UiwixやAdylkuzzにも利用されていると5月下旬から話題になっていました。
　今回FireEyeから発表された内容によると、Gh0st RATやBackdoor Nitolにも同様の利用が見られ始めたということです。

　外部にSMBv1が公開されていなければ安心！とされていた時期もありましたが、
　内部ネットワークで広まり始めるのも時間の問題かもしれません。

　MS17-010のパッチがあたってさえいれば、この影響は受けることはありません。
　どうしてもパッチをあてることが不可能な環境以外は、
　いまのうちに内部ネットワークの端末においてもMS17-010のパッチをあてることを検討することを推奨します。

一次情報源：FireEye

Threat actors leverage EternalBlue exploit to deliver non-WannaCry payloads « Threat Research Blog | FireEye Inc

• IoC (C&C3個、URL2個、ハッシュ2個)が掲載されています。

二次情報：Security Affairs

securityaffairs.co