今さら聞けないセキュリティ　2022年05月14日

UbuntuにIPS(Suricata)を導入する

## 前書き
Suricata公式ドキュメントをみて試行錯誤してましたが、
最終的にはDigital Ocean社の記事を参考にさせていただきました。

## 環境
OS: Ubuntu 20.04
ファイアウォール: nftables

## リポジトリ追加
– Suricataのパッケージがあるリポジトリを追加する。

“`
sudo add-apt-repository ppa:oisf/suricata-stable
“`

## Suricataインストール

“`
sudo apt install suricata
sudo systemctl enable suricata.service
“`

## Suricata初期設定
– 監視対象のインターフェース名を確認する。
“`
ip -p -j route show default
“`

– 「interface」を環境に合わせて修正する。

“`
sudo nano /etc/suricata/suricata.yaml

# Linux high speed cap

exploit kit とは

## 勉強前イメージ

rootkit調べてたときに出てたから似たような感じ？

## 調査

### exploit kit とは

エクスプロイトキット と読み、システムの脆弱性を攻撃するプログラムをパッケージ化したハッキングツールになります。

元々エクスプロイトとは、システムの脆弱性を攻撃するプログラムのことを指し
webブラウザの脆弱性を狙ったり、ブラウザからアクセスできるプログラムのセキュリティホールを悪用したりします。
そのプログラムをパッケージ化したものがエクスプロイトキットと言われています。

最近ではSaaSをもじったEaaS(Exploit Pack as a Service)と言われるプラットフォームを通じて
エクスプロイトキットのホスティングサービスも存在すると言われています。

### exploit kitの感染経路

– リンクをクリックさせる

ユーザにリンクをクリックさせてwebページを開く。
スパムメールなどが感染経路になる。

– 接続させる

攻撃元のサイトに接続される。
主にクロスサイトスクリプティングなどが利用される

– セキュリティホー

2022/5/14主にITとかセキュリティの記事

Zyxel製品の深刻な脆弱性、4月に修正済み – 報告者がサイレントパッチの危険性を指摘
https://www.security-next.com/136454

「Apache Tomcat」のクラスタリング運用に注意 – 必要に応じて対策を
https://www.security-next.com/136478

説明会申込フォーム、他者情報が閲覧できる状態に – 大阪産業局
https://www.security-next.com/136458

かんぽ生命を装う偽メールやSMSに注意
https://www.security-next.com/136464

「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
https://www.security-next.com/136482

トレンド製「スマートホームスキャナー」のインストーラに脆弱性 – 最新版の利用を
https://www.security-next.com/136468

サイバー保安企業への投資、韓国企業の９割が5億円未満(5/12)
https://www.kedglob

暗号化とハッシュ化の違いとは

演習でlocalStrageを使ってログイン機能を実装した時に[crypto.js](https://cryptojs.gitbook.io/docs/)を使用し、入力されたパスワードのハッシュ化を行ったので、暗号化とハッシュ化について調べてみた。

# ハッシュ化

ハッシュ化とは特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理。
ハッシュ化を施すアルゴリズムはハッシュ関数と呼ばれ、ハッシュ関数によって生成されるランダムな文字列はハッシュ値と呼ばれる。
**暗号化は可逆的な変換**であり、**ハッシュ化は不可逆**。

## 使用例

– パスワード保存・管理
– ビットコイン、ブロックチェーン
– 電子メール

## **ハッシュ化の規格**

– **MD5**
現在は非推奨
– **SHA-1**
グーグルも既にSHA-1の証明書受け入れを停止
– **SHA-2**
SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256
– **SHA-3**
2015年に公表された新たなハッシュ関数

# 暗号化

**暗号化**と

AWS Security Hubの結果をさらしてみる

[AWS Security Hub](https://aws.amazon.com/jp/security-hub/)とは
> **セキュリティ体制の管理と改善**
> AWS Security Hub では、AWS のセキュリティステータスを一括表示できます。セキュリティチェックを自動化し、セキュリティ検出結果を管理し、AWS 環境全体にわたってセキュリティで最優先すべき問題を洗い出します。

2022/5/13現在、以下のセキュリティ基準が用意されています。

* CIS AWS Foundations Benchmark
* AWS 基礎セキュリティのベストプラクティス
* PCI DSS

個人で利用しているAWSアカウントにSecurity Hubを有効にしましたので、「AWS 基礎セキュリティのベストプラクティス」のスコアをさらしてみます。

どーん

![ap-northeast-1.console.aws.amazon.com_securityhub_home_region=ap-northeast-1(1280×720).png](https://qiita-imag

SUIDと相対パスによる権限昇格

root権限で実行されるコマンド内に、相対パスで参照されるコマンドがある状況での権限昇格について。

（root権限で実行される理由は、sudoでもSUIDでもなんでもいいが、今回の例ではSUID。）

# 怪しいSUIDビット付きのELFファイル

“`
theseus@ubuntu:~$ ls -l /bin/sysinfo
-rwsr-x— 1 root users 22040 Oct 21 2019 /bin/sysinfo

theseus@ubuntu:/$ file /bin/sysinfo
/bin/sysinfo: setuid ELF 64-bit LSB shared object, x86-64 …
“`

`strings`コマンドで見てみると、中で`lshw`、`fdisk`、`cat`コマンドを実行していることが分かる：

“`
theseus@ubuntu:~$ strings /bin/sysinfo
…8<... ====================Hardware Info==================== lshw

rootkit ってなに？

## 勉強前イメージ

アンドロイドのなんかやったようなきがする
気のせい？

## 調査

### rootkit とは

不正アクセスに成功した攻撃者が侵入した後
管理者に気づかれずに遠隔操作するためのツールを指します。
例えば、遠隔操作の際にログを残さないようにするものだったり
他のマルウェアが刺入して攻撃するのを補助するようなツールも含まれています。

これらは一般的なセキュリティソフトでも検知が難しい。
理由としてはrootkit自体が自身の存在を隠蔽する機能を持っているので検出が困難といわてています。

rootkitは [ダークウェブ](https://qiita.com/miyuki_samitani/items/3518a865324e294643e8) で取引されて
悪意のある攻撃者にわかっていると言われています。

### rootkitのツール

rootkitには以下のようなツールが含まれています。

– ログ改ざんツール

侵入を隠蔽、rootkit自体の存在を隠して検知をさせなくする

– バックドア生成ツール

rootkitの侵入経路を塞がれたとしても

2022/5/13主にITとかセキュリティの記事

ブラザー会員サイトで不正ログイン、P交換被害も – 3月末からアクセス急増
https://www.security-next.com/136422

一部Facebook連携で別人より個人情報が閲覧可能に – アート販売サイト
https://www.security-next.com/136426

宇都宮CATV運営の通販サイトがサイバー被害、カード情報流出か(5/11)
https://cybersecurity-jp.com/news/66493

F5 BIG-IPの脆弱性を利用するサイバー攻撃を確認　直ちにアップデートを(5/11)
https://www.itmedia.co.jp/enterprise/spv/2205/11/news038.html

しまむら、システム障害　大型連休中にサイバー攻撃(5/11)
https://www.nikkei.com/article/DGXZQOUC10CD00Q2A510C2000000/

海外グループ会社サーバーへの不正アクセスに関するお知らせ(5/11)
https://www.ryobi-group.co.jp/ne

2022/5/12主にITとかセキュリティの記事

「BIG-IP」脆弱性に注意 – 実証コード公開済み、探索や悪用も
https://www.security-next.com/136392

2021年に悪用多かった脆弱性トップ15 – 首位は「Log4Shell」、VPNも引き続き標的に
https://www.security-next.com/136375

しまむら、サイバー攻撃でシステム障害 – 全店舗の一部サービスに影響
https://www.security-next.com/136406

脆弱性管理避けられぬOSS、経産省が事例集を拡充
https://www.security-next.com/136391

企業がサプライチェーンのセキュリティに取り組む際に必要な6つのポイント(5/10)
https://news.mynavi.jp/techplus/article/20220510-2342223/

日本企業が標的型攻撃に取るべき対策は「侵入されても持ち出させない」(5/10)
https://news.mynavi.jp/techplus/article/20220510-2342459/

DNP

HydraでHTTPのログインをブルートフォース

HydraでHTTP（POSTフォーム）のログインページをブルートフォースアタックする方法についてメモ。

（Hydraの読み方は**ハイドラ**です。）

# Hydraに必要な情報をBurp Suiteで取得する

Burp Suite上のブラウザを使ってターゲットのログインページにいく。

（Burp Suiteを開いて、Proxy > Intercept > Open Browser）

まず試しに適当なユーザネームとパスワードの組み合わせでログインを試みる。

Username: admin, Password: adminの組み合わせで試したところ次のように表示された：
![invalidcreds.png](https://qiita-image-store.s3.ap-northeast-1.amaz

知っておきたい Kubernetes Security Context 設定 10 選

本記事は 2021 年 3 月 9 日に公開した英語ブログ [10 Kubernetes Security Context settings you should understand](https://snyk.io/blog/10-kubernetes-security-context-settings-you-should-understand/?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog) を日本語化した内容です。

[](https://snyk.io/jp?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)

## はじめに

Kuberne

2022/5/11主にITとかセキュリティの記事

フィッシングサイト、4月だけで1万件超 – 「au」の悪用報告が4.5倍に
https://www.security-next.com/136339

「Magnitude Simba」のODBCドライバなどに脆弱性
https://www.security-next.com/136336

若者向け就労支援事業の委託先で「Emotet」感染 – 東京労働局
https://www.security-next.com/136349

LINEギフトの誕生日公開、ヘルプ記載と異なる仕様
https://www.security-next.com/136342

観光支援のクーポン発行システムで個人情報が閲覧可能に – 栃木県
https://www.security-next.com/136345

経産省 産業界へのメッセージ発出 サイバー攻撃に対応 セキュリティ強化を(5/9)
https://ab.jcci.or.jp/article/63803/

ソフォス、「アジア太平洋地域と日本のサイバーセキュリティの展望」の第3版を発表(5/9)
https://securityinsig

リファラースパム とは

## 勉強前イメージ

リファラのスパム・・・・

## 調査

### そもそもリファラとは？

リファラは参照元のページを指し、あるページにアクセス際に経由したページの事になります。

### リファラースパム とは

サイトの管理者がweb解析ツールを使ってユーザの集客経路(リファラ)を調べていると予想して
架空のwebサイトから訪問したと見せかけて関係のないページに誘導することを指します。
また、その関係のないページにウイルス等を仕込むこともある。
悪意を持って参照元の情報を残すことを `リファラースパム` と言います。

リファラースパムは他のサイトに誘導されるだけでなく、
アクセス解析がリファラースパムによって正しい状態ではないので精度が落ちてしまいます。
また上記にも記載しましたが別のサイトを開いたサイトの管理者がウイルスに感染するおそれもあります。
そのウイルスによって個人情報などが流出してしまうことも可能性としてあります。
一番大きいのがリファラースパムを放置しているとSEOの評価が下がる可能性もあります。

リファラースパムはweb解析ツールからフィルタ機能
web

不正なURLの作成

EvilURL：

https://github.com/UndeadSec/EvilURL

なんだかそのままだとpythonに関するエラーが出てしまう（少なくとも自分の環境では）。

なのでシェバンをpython3のそれに書き換える

“`
#!/usr/bin/env python3
“`

パッケージのインストールにもpipではなくpip3を使う

“`
pip3 install python-nmap python-whois
“`

今回は**instagram.com**を不正なurlに変換してみる。

まず`-g`で生成。`-c`を指定することにより、作成した不正なドメインが現時点でconnection downであることを確かめる。

さらに-`a`を指定して、作成された不正なドメインが利用可能か？をチェック
![s

様々なセキュリティ上の攻撃方法とその対策

# 1. 秘匿情報の漏洩 – 物理的な漏洩
### 起きうる物理的漏洩
* カフェで仕事をしていて画面に表示されている個人情報や会社の機密情報を第三者が盗撮する。
* 自宅や会社のゴミ捨て場に捨てた会社の書類を第三者が持ち出す。
* 部屋の画像を友人に送り、その画像に会社の機密情報が含まれていた。
* 机の上に無造作に放置していた書類やPCを誰かが持ち出す。

### 対策
* 公共の場で個人情報や機密情報が書かれた画面を出さないというのもあるが、気をつけていてもうっかりそのような画面を出してしまうことが考えられるので、そもそも情報漏洩のリスクがある公共の場で仕事をしない。
* 機密書類などは必ずシュレッダーにかけて捨てる。自宅にそのような設備がなければ、会社などに持っていきシュレッダーにかける。またカードやディスクなどは確実に裁断し、PCなどは完全にデータを消去してから廃棄する。
* 部屋の様子など個人情報が写ってしまうリスクのある場所を友人などに送らない。SNSにのっけるなどはもってのほか。
* 機密情報が載っている書類やPCなどは肌身離さず持ち歩く。

# 2. 秘匿情報の漏洩

2022/5/10主にITとかセキュリティの記事

富士通製のセキュリティ帯域制御製品に深刻な脆弱性
https://www.security-next.com/136318

「OpenSSL」に4件の脆弱性 – アップデートが公開
https://www.security-next.com/136315

メールアカウントに不正アクセス、スパムの踏み台に – サエラ薬局
https://www.security-next.com/136309

シスコの複数製品に緊急の脆弱性、ただちにアップデートを(5/6)
https://news.mynavi.jp/techplus/article/20220506-2338810/

ロシアのウクライナ侵攻に関連したサイバー攻撃でアルコール流通一時停止(5/8)
https://news.mynavi.jp/techplus/article/20220508-2340744/

健康アプリ続々、期待と不安　効果の適正表示へ国が指針(5/7)
https://www.nikkei.com/article/DGXZQOUA31CV80R30C22A3000000/

議員投稿を転載 告訴検討…箕

Shodanの使い方（検索クエリとか）

Shodanの使い方、特に検索クリエについてまとめます。

https://www.shodan.io/

# Shodanの検索クエリ

## 都市（city）
“`
city:Tokyo

city:”San Diego”
“`

## 国（country）

“`
country: jp
“`
※「ja」じゃなくて「jp」

国コード一覧はこちら：

https://iss.ndl.go.jp/help/help_ja/help_country_codes.html

# かつ（AND）、または（OR）否定（NOT）

AND検索は単純にクエリを半角スペースで並べればよい。

ORは、カンマで区切る。

例えば「sshでポート番号が22または3333」を検索するには

“`
ssh port:22,3333
“`

XSSでcookieを取得

# xssでcookieをとるのに便利なツール

https://github.com/lnxg33k/misc/blob/master/XSS-cookie-stealer.py

# 使い方

まずはXSS-cookie-stealer.pyを実行する。これでポート8888でサーバがたつ。

“`
python XSS-cookie-stealer.py
“`

そしたら、xssの攻撃をする。

具体的に以下のようなペイロードを注入してやる（このペイロードは、XSS-cookie-stealer.py中のコメントでお勧めされてるもの）：

“`

“`

`X.X.X.X`はアタッカー側のIPアドレス。

ちなみに以下のペイロードでも可能：

“`

“

pythonで簡易サーバを立てて簡単にファイル転送

FTP、HTTP、SMBサーバを簡単に立ち上げる。さらにそれを使って簡単にファイル転送する。

リバースシェル間でのファイル転送にすごく便利。

特に良い点が、`-d`オプションを使ってどこからでも任意のディレクトリをシェアフォルダにできるということ。

# FTPサーバー

`pip install pyftpdlib`でインストール。

https://github.com/giampaolo/pyftpdlib

カレントディレクトリをシェアフォルダとして、21番ポートで、anonymousアクセスに書き込み権限を与えるならば

“`
python3 -m pyftpdlib -w -p 21
“`

（ポートを指定しない場合のデフォルトポートは2121）

/opt/PEASS-ngをシェアフォルダにしたい場合、わざわざそこに移動しなくてもカレントディレクトリ上で次のように`-d`オプションを使えばよい

“`
python3 -m pyftpdlib -w -p 21 -d /opt/PEASS-ng
“`

## FTPとファイル転送

まずftpサーバに接続：

プロキシチェーン＋Torで匿名化する

プロキシチェーンとTorを使ってIPアドレスを隠し匿名化する。

Torがインストールされてる前提でいきます。

# プロキシチェーンと匿名化

簡単なイメージ：


画像：[Umbrella: Proxy Chaining を用いた SWG の導入について](https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/umbrella-proxy-chaining-%E3%82%92%E7%94%A8%E3%81%84%E3%81%9F-swg-%E3%81%AE%E5%B0%8E%E5%85%A5%E3%8