今さら聞けないセキュリティ　2020年02月09日

ハッキング・ラボの作り方 – Kali Linux(2020.1) VirtualBox 64-bit編 その２-

# はじめに

– 『[ハッキング・ラボのつくりかた](https://www.amazon.co.jp/%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%83%BB%E3%83%A9%E3%83%9C%E3%81%AE%E3%81%A4%E3%81%8F%E3%82%8A%E3%81%8B%E3%81%9F-%E4%BB%AE%E6%83%B3%E7%92%B0%E5%A2%83%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%83%8F%E3%83%83%E3%82%AB%E3%83%BC%E4%BD%93%E9%A8%93%E5%AD%A6%E7%BF%92-IPUSIRON/dp/4798155306?ref_=BSellerC&pf_rd_p=60b9563d-076d-5acb-9380-7b29e01d239a&pf_rd_s=merchandised-search-10&pf_rd_t=101&pf_rd_i=542586&pf_rd_m=AN1VRQENFRJN5&pf_rd_r=AEY10

Gigazineさんの「中国製ネットワークカメラに管理者権限を奪取できるバックドアの存在が報告される」を見て慌ててしまったでござる

はじめに
—

先日防犯監視用に360度見渡せる電球型ネットワークカメラを購入した。中国製だが、高機能で激安なので、とても満足していた。
だが「[Gigazine – 中国製ネットワークカメラに管理者権限を奪取できるバックドアの存在が報告された](https://gigazine.net/news/20200207-xiongmai-backdoor/)」を見て衝撃が走った。
**中国の企業であるXiongmai製のファームウェアを搭載した一部デバイスが対象**とのこと。
気になったので念の為、調べてみることにした。

参考
—

– [GitHub – tothi/pwn-hisilicon-dvr](https://github.com/tothi/pwn-hisilicon-dvr)
　バックドアを突くことができるプログラム
– [Full disclosure: 0day vulnerability (backdoor) in firmware for HiSilicon-based DVRs, NVRs and IP cameras](https://habr.com

ハッキング・ラボの作り方 – Kali Linux(2020.1) VirtualBox 64-bit編 –

# はじめに

– 『[ハッキング・ラボのつくりかた](https://www.amazon.co.jp/%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%83%BB%E3%83%A9%E3%83%9C%E3%81%AE%E3%81%A4%E3%81%8F%E3%82%8A%E3%81%8B%E3%81%9F-%E4%BB%AE%E6%83%B3%E7%92%B0%E5%A2%83%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%83%8F%E3%83%83%E3%82%AB%E3%83%BC%E4%BD%93%E9%A8%93%E5%AD%A6%E7%BF%92-IPUSIRON/dp/4798155306?ref_=BSellerC&pf_rd_p=60b9563d-076d-5acb-9380-7b29e01d239a&pf_rd_s=merchandised-search-10&pf_rd_t=101&pf_rd_i=542586&pf_rd_m=AN1VRQENFRJN5&pf_rd_r=AEY10

「セキュアで堅牢なAWSアカウント」を実現する CloudFormationテンプレート – ④アクセスキーのローテーションと削除

# はじめに

AWSには、アカウントやリソースへの脅威検知に対応した、**AWS IAM Access Analyzer**, **AWS Security Hub**, **Amazon Inspector**, **Amazon GuardDuty**, **AWS CloudTrail**, **AWS Config** などのサービスが用意されています。

また、[**CIS AWS Foundations Benchmark**](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) という**セキュリティガイドライン**が公開されており、このガイドラインは、**AWSアカウントをセキュアに保つために必要なAWSのセキュリティ設定**を集めた**ベストプラクティス集**として活用できます。自身のAWSアカウントがこのガイドラインにどの程度準拠しているのかを確認/監査する手段として、**AWS Security Hub**で、**CIS AWS Foundation

「セキュアで堅牢なAWSアカウント」を実現する CloudFormationテンプレート – ③CISに準拠するためのモニタリングと通知の設定

# はじめに

AWSには、アカウントやリソースへの脅威検知に対応した、**AWS IAM Access Analyzer**, **AWS Security Hub**, **Amazon Inspector**, **Amazon GuardDuty**, **AWS CloudTrail**, **AWS Config** などのサービスが用意されています。

また、[**CIS AWS Foundations Benchmark**](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) という**セキュリティガイドライン**が公開されており、このガイドラインは、**AWSアカウントをセキュアに保つために必要なAWSのセキュリティ設定**を集めた**ベストプラクティス集**として活用できます。自身のAWSアカウントがこのガイドラインにどの程度準拠しているのかを確認/監査する手段として、**AWS Security Hub**で、**CIS AWS Foundation

DDoS攻撃の分類

# はじめに
　DDoS攻撃の分類方法は，いくつかあるが自分が一番腑に落ちた分類方法について説明していく．よって，これが絶対正しいというわけではない．
# DDoS攻撃の定義
　DDoS攻撃の定義は，複数の攻撃元から大量のパケットを標的に送信して通信を妨害または停止にする攻撃と思われがちだが，本来の定義は，複数の攻撃元から何らかの方法を用いて標的が提供するサービスを妨害または停止させることを目的とした攻撃だと認識している．
　要するに，大量のパケットを送信することだけがDDoS攻撃ではない．少量のパケットを送信するような方法の攻撃も存在する．この少々アバウトな定義によって分類が難しくなっていると考えられる．

# DDoS攻撃の分類
DDoS攻撃は大きく分けてフラッド型とロジカル型に分類される．

## フラッド型
　大量のパケットを送信しネットワークリソースまたはサーバリソースもしくはその両方を消費させる方法である．アンプ攻撃や○○フラッド攻撃とつく攻撃はだいたいこれである．

## ロジカル型
　プロトコルやOSの脆弱性を突いてサービスを妨害または停止させる方法である．ping o

セキュリティマネジメントの勉強ー脅威と脆弱性

#脅威と脆弱性
##脅威の種類
・物理的脅威…事故、故障、盗難、破壊など
・技術的脅威…不正アクセス、クラッキング、改竄など
・人的脅威…誤操作、紛失、不正利用など

##人的脅威
故意だけではなく、過失や誤謬もある
シャドーIT(勝手に私物端末を持ち込む)も含まれる

##具体例
・サイバー攻撃
・風評、炎上
・SPAM
・マルウェア

##マルウェア
１：ルートキット
攻撃後に自分の痕跡を消す

２：バックドア
正規の手続き踏まずに利用できる通信経路を作る

３：スパイウェア
キーロガーとか承諾なしに無断dlするダウンローダとか

４：ウイルス
マルウェア一般の総称

５：トロイの木馬
悪意のないプログラムと見せかけて不正な動きをする
自己伝染機能はない

６：ランサムウェア
勝手に暗号化して身代金要求する

７：アドウェア
広告付きの無料ソフトウェア
たまに悪いやつがいる

８：マクロウイルス
マクロに感染する

９：ボット
自動プログラム
マルウェアとは限らないが、ボットネットとして協調して攻撃する場合がある
遠隔操作ウイルスやC&C(Command & Control)サーバ

ハッキング・ラボのつくりかた実践 – 1 –

###■進捗
Kali Linux、Metasploitableの環境を構築し、初期設定を実施しました。

###■Kali Linuxのダウンロード
ダウンロードサイトからKali Linux VMware 64-Bitをダウンロードします。
※使用する仮想マシン基盤によってダウンロードするファイルは異なります。
https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/

###■Metasploitableのダウンロード
https://ja.osdn.net/projects/sfnet_metasploitable/downloads/Metasploitable2/metasploitable-linux-2.0.0.zip/

###■ESXiサーバーに仮想マシンとして登録
上記ダウンロードサイトからダウンロードできるVMware用の仮想マシンイメージは仮想マシンファイルと仮想ディスクファイルの組み合わせとなっており、一つ一つのファイルをサーバーにアップロードす

Pythonとセキュリティ – ①Pythonとは

#概要
Pythonは1991年に発表されたインタプリタ形式のプログラミング言語で、オランダ出身のプログラマ「Guido van Rossum(グイド・ヴァンロッサム)」によって開発された。
2020年1月を基準として最新バージョンは、Python2「2.7.17」、Python3「3.8.1」である。2008年の末から、Pythonは「バージョン2」と「バージョン3」に分かれて使用されている。Python2とPython3はお互いに互換ができないところも多いため、プログラムを作る際に、二つのバージョンのうち、一つ選ぶ必要がある。Python2は2020年4月に「2.7.18」が公開された後は公式な技術サポートは終了される。また、Python3から新たにサポートされるライブラリや脆弱性なども修正されているため、Pythonを習い始めようとしているのであれば、Python3をお勧めする。

#Pythonのメリット

###容易性
Pythonの一番のメリットは簡単で、だれでもすぐプログラムが作れる容易性である。下記で「Hello World」を出力する例を、CとPython言語で作って

ハッキング・ラボのつくりかた実践 – 0 –

###■目的
IPUSIRON (著) 「ハッキング・ラボのつくりかた: 仮想環境におけるハッカー体験学習」を読んで、自分でもやってみたくなったため、備忘録として書き溜めながらつまづきそうなポイントを共有するための記事です。実際にこの本が出版されてからもKali Linuxのリリースは続いており、「新しいバージョンでは同じコマンドが使えない！」、「手順通りにやっているのに動かない！」などがあるようなので、その辺りの解決方法も試行錯誤して見つけてみようと思います。
基本は仮想環境を使用することでリモートでの作業も楽に行えるようにしました。

###■環境
– VMware ESXi 6.7 –> Kali LinuxとMetasploit、Windowsなどのマシンを動かす
– Macbook Air –> 作業端末。リモートデスクトップ等でKaliを操作する。

私の場合はVMWareをサーバーで動かして環境を構築する予定ですが、基本的には他の方が書いておられるように、VirtualBOXでも問題なく稼働すると思います。

###■最後に
今回は記事のご紹介ページということで、本編

セキュリティマネジメントの勉強-情報セキュリティ

#情報セキュリティ
##情報セキュリティとは
コンピュータの中の顧客情報、技術情報に対するセキュリティ

技術面だけではなく、組織におけるマネジメントも含めて対策が必要
「モレなく、全員で当たり前の事を確実に行う」

決めたルールを守るための仕組みを作る事が重要
組織の戦略により決定、組織の状況により変わるもの

##定義
機密性・・・適切なアクセス権限
完全性・・・改ざん防止
可用性・・・二重化したりしていつでも見れるようにする
真正性・・・主張通りであること(なりすましなどない事)
責任追跡性・・・入退室とかアクセスログで追跡できる事
否認防止・・・エンティティを証明する能力(利用した本人が事後になって否定できないようにする)
信頼性・・・意図した動作が確実に行われる事（人為的でなくても、バグによる意図しない更新も含む）

##ISMS
情報マネジメントシステム
PDCA(計画、運用、監査と見直し、改善)を回る

##脅威
システムや組織に損害を与える可能性があるインシデントの潜在的な要因

##脆弱性
資産がもつ弱点
バグとかセキュリティホールとか
会話による情報漏洩とか施錠ミス

BIGLOBE(mesh.ad.jp)のHOST名が変わったっぽい

`***.○○.mesh.ad.jp` は BIGLOBE の HOST 名です。

これまでは `○○` の部分が、例えば新潟なら `nig` で兵庫なら `hyg` のように県単位で割り当てられていたのですが、2020 年 1 月下旬頃よりこのルールが変わったっぽいです。

私が現在確認しているのは…

– `fl1-***.nig.mesh.ad.jp` ⇒ `flh2-***.tky.mesh.ad.jp`
– `fl1-***.hyg.mesh.ad.jp` ⇒ `flh3-***.osk.mesh.ad.jp`

…といったパターンです。

固定 IP アドレスでアクセス制限をかける事ができず、仕方なくHOST 名で制限をかけているような方はご注意ください。

——————————————————————————–

BIGLOBE 利用者の方で、それまではアクセスできていた管理画面などが急に…

> 403 Forbidden
> You don’t have per

WEBサービスを公開して一週間経ったのでアクセスログを調べてみる

### 経緯など

WEBサービスを作った記事を書いて一週間が経ちました。

[アラフォーのおっさんが一ヶ月でWebサービスを作った話]
https://qiita.com/othAn/items/923d9177149f5d177542

[カタカナ道場]
https://katakanadojo.tokyo/

アクセスいただいた方、ありがとうございました。
プロモーションは上述のQiita記事のみで、あとは知人に知らせたのみ。

そんな状態でアクセスログを眺めてみたのですが、ロボットとか攻撃と思しきものの方が多かったです。

せっかくなので記事にしてみたいと思います。

### どんな環境か

構成については下図のとおり。
443番ポート（HTTPS）でListenします。

赤の線は、コンテナ間通信を意味しています。

「docker-

簡単なセキュリティ・Gmail振分け・携帯高速化講座

#必要最小限のセキュリティ
社内や友達向けの共有記事。
なお、iphone6sしか持ってないのでそれ以外の機種については詳しくはわかりません。あしからず。

##携帯のパスワードロック
携帯のパスワードロックは必ず設定しましょう！
指紋認証やtouch IDでもOKです。
**自分だけでなく、同僚、友達の個人情報も危険にさらされます！！**
社会人の責任として、必ずロックの設定をしましょう！

###iphoneの設定方法
https://support.apple.com/ja-jp/guide/iphone/iph14a867ae/ios

###androidの設定方法
https://support.google.com/android/answer/9079129?hl=ja

##変なメールは無視しましょう
だいたい日本語がおかしいのでわかりやすいのですが、眠い時とかは騙されやすいかも！
あとはSMS(ショートメッセージ)で来る場合もあるので注意！

apple、amazon、microsoft、楽天、佐川急便、日本郵便など。
巧妙に偽装された偽メールや、偽サイトが作られて

PE解析ツール　PPEE(Puppy)の紹介

PE解析ツールの1種であるPPEE(Puppy）について紹介します。
従来は[pestudio](https://www.winitor.com/get.html)を愛用していましたが、無償版の場合見れる機能がかなり削減されてしまったため、（ライセンス買っておらず申し訳ない気持ち。。。）Puppyに移行しました。

シンプルで非常に使いやすく、さらにプラグインを追加することで応用的利用も可能ということで、
初学者から熟練者まで使えるツールだと感じました。

#インストール
下記のサイトよりインストールし、展開することで利用開始できます。
https://www.mzrst.com/

#画面構成
exeを実行して、ファイルをドラックアンドドロップすることで解析結果が表示されます。
DOSheader(マジックナンバー確認）、Rich Header

Windows向けBase64デコードのバッチ作成

POWLOAD（マクロ有効化するとPowershell起動して通信）の検体を解析する際に
powershellで実行される引数がBase64でエンコードされていることが多いので、効率化のためにバッチを作成したので共有です。

#使い方
1.バッチを実行するとコピペ待ちになるので、デコードしたい文字列を貼り付け
2.デコードされた文字列がクリップボードにコピーされます

#バッチファイルの中身
“`
@ECHO OFF
setlocal

pushd “%~dp0″
REM 変数定義
SET /P BASE64_STR=”Input encoded strings: ”
SET BASE64_START=—–BEGIN CERTIFICATE—–
SET BASE64_END=—–END CERTIFICATE—–
echo %BASE64_START%%BASE64_STR%%BASE64_END% > before.txt

REM Decodeを実行する、元ファイルの削除、デコード結果のクリップボードコピー
certutil -decode before.

情報システムの構成とリスクの関係

これまでとは趣向を変えて、（10年前に捻りだした）ネタ投下します。全く役に立たない、浮世離れした話ですので、一見真面目そうに見えても、内容の妥当性などは何ら保証はないです。

# 【広げた風呂敷】

情報システムの構築・運用計画を立てる際、セキュリティ投資を抑えられるようにシステム構成を計画すための知見が必要である。そこで、ＩＴシステム構築の際しての、ネットワーク構成と扱い情報量とリスクの関係を数学的に評価した。

扱い情報量１のシステムＮ個ごとに、扱い情報量Ｍの上位システムで統合する樹形構造を重ねたシステムを構成した場合、扱い全情報量Iとシステム全リスクRとの関係は、

R∝I^(log(N+M^2)/log(N))
となる。

# 【検討（見当）】

　ＩＴシステムのリスクは、情報が集中し、そこでは自由流通する「ノード」が持つ情報量の二乗に比例する。単一のノードを図形的に正三角形で表すと、正三角形の面積でリスクを表すことができる。

　ＩＴシステムを拡大する際、システム内での情報は自由にやりとりされるフラットで均一な構成形態で拡大すると、ノードの大きさ（＝図形の長さ）は扱い情報

タイムスタンプ偽装について

解析者を誤解させるため・不正ファイルの発覚を遅らせる目的でマルウェアがタイムスタンプ偽装を行うことがあります。
本記事ではタイムスタンプ偽装に関する初歩的な内容を記載します。

#タイムスタンプとは
ある時刻にその電子データが存在していたことと、それ以降改ざんされていないことを証明する技術。
タイムスタンプに記載されている情報とオリジナルの電子データから得られる情報を比較することで、タイムスタンプの付された時刻から改ざんされていないことを確実かつ簡単に確認することが可能。

>国民のための情報セキュリティサイト　タイムスタンプとは？
>https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/structure/05.html
>「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典　タイムスタンプ (timestamp)
>https://wa3.i-3-i.info/word13116.html

#タイムスタンプ偽装とは
フォレンジックの際に解析者を誤解させたり、不正ファイルの発覚を遅らせる目的など

Fuzzyhashとは？検証してみた

Hashの一種として、Fuzzyhashというものがあることを知ったので、類似の検体を用いて検証を行いました。

#Fuzzy hashとは？
ハッシュに関する基本的な説明は省略します。
ファイルの内容を少しでも変えるとSHA-1やSHA-256などのハッシュは全く異なる値をとる仕様となっていますが、
これらと異なりFuzzy hashはファイルが類似している場合、ファイル同士で近い値をとります。
そのため、マルウェアの挙動の類似性を検証する際などに有効と言えます。

##Fuzzy hashの種類
知名度の高いものとして下記２点がありますが、今回はSSDEEPの値をもとに検証します。
・imphash
・ssdeep

#検証内容
動きがほぼ同様なEMOTET/POWLOAD検体を５つ用意し、Fuzzy hashの値の類似性を検証します。
▼検知名
Googleが発表したITPの欠陥を眺めてみる

Googleが投稿した[ITPの欠陥に関する論文](https://arxiv.org/ftp/arxiv/papers/2001/2001.07421.pdf)の紹介です。

# tl;dr
* ITPのトラッキング判定はデバイス毎に行われるよ
* あるドメインがトラッキング判定されているかを知る方法がいくつかあるよ
* 特にそのドメイン・サイトが攻撃者管理なら
* ので、閲覧情報のリークやフィンガープリントとして使われる可能性があるよ

# 指摘している問題
この論文では、

* あるドメインがトラッキング判定されているか、別のサイト（攻撃者管理）で判断出来る(1,2,3,5)
* 攻撃者が、あるドメインをトラッキング判定させることが意図的に出来る(2,3,4)

ことがマズい場合を指摘しています。

## 1.トラッキング判定されているドメインを判定出来る（かもしれない）
トラッキング判定はユーザー毎に異なるので、トラッキング判定されているドメインがわかると、ユーザーの地域などがわかる可能性があります。
（例：hoge.co.jpがトラッキング判定されているから、日本在住っぽ