2023/01/13のSANSセキュリティポッドキャストメモ

isc.sans.edu

Prowler v3: AWS & Azure security assessments

https://isc.sans.edu/diary/Prowler%20v3%3A%20AWS%20%26%20Azure%20security%20assessments/29430

  • SANS Instituteは、AWSとAzureのセキュリティ評価を行う新しいツール「Prowler v3」がリリースされたと発表しました。このツールは、AWSとAzureのセキュリティ設定を自動的にスキャンし、脆弱性を検出します。Prowler v3は、クラウド環境のセキュリティリスクを最小限に抑えるために、AWSとAzureのユーザーにとって有用なツールです。

Certified Pre-Pw0ned Android TV

github.com

Revolte Attack

Call Me Maybe: Ea­ves­drop­ping En­cryp­ted LTE Calls With Re­VoL­TE

  • 「REVOLTE」という名称の新しい攻撃手法が公開されました。この方法は、Bluetooth Low Energy (BLE) の脆弱性を利用して、攻撃者が攻撃対象のデバイスをリモートから攻撃することができるとされています。この方法は、特にIoTデバイススマートフォンなどに対して危険性が高いとされています。

NGFW Data Exfiltration

cymulate.com

  • Cymulate社が公開したブログ記事によると、データの移動(exfiltration)を防ぐためにファイアウォールが必要だとされています。彼らは、データを移動させることで攻撃者が悪用する可能性があると述べており、ファイアウォールはそれを防ぐための最も有効な方法だと言われています。また、彼らは、組織は、特に外部へのデータ転送を制限することで、脅威から自身を保護することができると述べています。

2023/01/12のSANSセキュリティポッドキャストメモ

isc.sans.edu

Passive Detection of Internet-Connected Systems Affected by Exploited Vulnerabilities

https://isc.sans.edu/diary/Passive%20detection%20of%20internet-connected%20systems%20affected%20by%20vulnerabilities%20from%20the%20CISA%20KEV%20catalog/29426

  • CISA (米国国土安全保障省サイバーインフラストラクチャーセキュリティー局)が公開している脆弱性のリストを使用し、インターネットに接続されたシステムがそれらの脆弱性に影響を受けているかどうかを検出する方法について説明しています。 手法はパッシブなもので、パケットキャプチャから脆弱性に関連する情報を抽出し、システムが脆弱性に影響を受けているかどうかを判定する方法です。

Cisco RV Series Vulnerabilities CVE-2023-20025

sec.cloudapps.cisco.com

  • Cisco Systemsは、多数のセキュリティ脆弱性を修正するアップデートをリリースしました。脆弱性は、Cisco Secure Bootプロセスに存在し、攻撃者がデバイスの起動プロセスを妨害し、改ざんする可能性があります。Ciscoは、すべてのユーザーにアップデートをインストールすることを強く推奨しています。

Gootkit Abusing VLC

www.trendmicro.com

  • TrendMicro社は、オーストラリアの医療関係者をターゲットにした新しいマルウェア「Gootkit」が発見されたと発表しました。このマルウェアは、オーストラリアの医療機関のシステムに感染し、個人情報を盗み出すことができます。TrendMicro社は、オーストラリアの医療関係者に、この脅威に注意を払うよう呼びかけています。

2023/01/11のSANSセキュリティポッドキャストメモ

isc.sans.edu


Elon Musk Themed Crypto Scams Flooding YouTube Today

https://isc.sans.edu/diary/Elon%20Musk%20Themed%20Crypto%20Scams%20Flooding%20YouTube%20Today/29434

  • インターネット上では、イーロン・マスクに関連した暗号通貨スキャム(詐欺)が増加していると報告されています。これらのスキャムは、YouTubeなどのオンラインプラットフォーム上で実行され、イロン・マスクに関連したコンテンツを使用して、暗号通貨を詐取するために使用されています。これらのスキャムは、投資者に対し、イロン・マスクが関与しているプロジェクトに投資することを促し、投資者が投資した資金を奪うことができる。投資者は、投資の前に適切なリサーチを行い、詐欺的なプロモーションやスキャムから自分自身を保護することが重要です。

 

Microsoft Text to Speech Synthesizer

https://arxiv.org/pdf/2301.02111.pdf

【日本語訳】テキストから音声合成(TTS)のための言語モデリングアプローチを導入します。特に、我々は、オフ・ザ・シェルフのニューラルオーディオコーデックモデルから導出された離散コードを使用してニューラルコーデック言語モデル(Vall-Eと呼ばれる)を訓練し、TTSを連続信号回帰ではなく条件付き言語モデリングタスクと見なします。事前訓練段階では、TTS訓練データを60K時間の英語音声に拡大し、既存システムの何百倍も大きい。 Vall-Eはイン・コンテキスト学習能力を発揮し、未知の話者の3秒間の録音をアコースティックプロンプトとして使用して高品質の個人化音声を合成することができます。実験結果は、Vall-Eは音声の自然さやスピーカーの類似性に関して、最先端のゼロショットTTSシステムを大幅に上回っています。

 

Missing Windows Start Menu

learn.microsoft.com

【日本語訳】[スタート] メニューまたはその他の場所からアプリケーションのショートカットが機能しないなどのWindows 11、バージョン 22H2 の既知の問題

 

2023/01/10のSANSセキュリティポッドキャストメモ

isc.sans.edu

1:New Year Old Tricks: Hunting for CircleCI Configuration Files

https://isc.sans.edu/diary/New%20year%2C%20old%20tricks%3A%20Hunting%20for%20CircleCI%20configuration%20files/29416

  • 新年になっても古いトリックを使用し続ける脅威アクターがいる。この記事では、CircleCIの設定ファイルを標的にしている攻撃を紹介している。CircleCIは、ソフトウェア開発のワークフローを自動化するためのサービスであり、設定ファイルにはクレデンシャル情報が含まれているため、アクセスされると大きな被害をもたらす可能性がある。開発者は、設定ファイルを適切に保護し、不審なアクセスには注意することが重要だ。
  • クレデンシャル

    ネットワーク セキュリティの世界で使用された場合には、IDやパスワードをはじめとする、ユーザ等の認証に用いられる情報の総称を意味します。

    www.f5.com

2:Amazon S3 Encrypts New Objects By Default

aws.amazon.com

  • Amazon S3は、新しいオブジェクトをデフォルトで暗号化するようになった。これにより、顧客は、オブジェクトがアップロードされるときに、暗号化を自動的に適用し、オブジェクトが保存されるときにも暗号化されることを保証することができる。これにより、顧客は、S3上に保存されるデータが第三者によって読み取られることなく、安全に保存されることを確保することができる。

3:MatrixSSL Buffer Overflow

github.com

  • MatrixSSLは、セキュリティアドバイザリを公開している。このアドバイザリでは、MatrixSSLの脆弱性が発見され、これが攻撃者によって悪用される可能性があることが説明されている。顧客は、アップデートを適用し、脆弱性を修正することが重要だ。
  • MatrixSSL
    オープンソースSSL/TLSライブラリである。これは、ほとんどのプラットフォーム上で使用でき、小さなフォットプリントと低リソース要件を持つデバイス向けに最適化されている。MatrixSSLは、Webサーバー、クライアントアプリケーション、IoTデバイスなどの様々なタイプのアプリケーションで使用され、暗号化通信のセットアップや管理を簡素化するために使用される。

4:Auth0 JsonWebToken Vulnerability CVE-2022-23529

unit42.paloaltonetworks.com

  • Palo Alto NetworksのUnit 42チームは、JSON Web Token(JWT)に脆弱性が存在することを発見し、これが攻撃者によって悪用される可能性があることを報告しています。この脆弱性は、JWTのパーサーライブラリに存在し、攻撃者が改ざんしたJWTトークンを使用して、攻撃対象のシステムにアクセスすることができる可能性がある。開発者は、この脆弱性に対応するアップデートを適用し、JWTトークンを適切に検証することが重要です。
  • JSON Web Token(JWT)
    WebアプリケーションやAPIにおける認証および認可の方法の一つです。JWTは、JSON形式のデータを暗号化し、それをクライアントやサーバー間で安全にやり取りすることができるようにするために使用されます。JWTは、クライアントがサーバーにアクセスするために必要な認証情報を含んでおり、サーバーはそれを検証することで、クライアントのアクセスを許可するかどうかを判断します。JWTは、OAuth2などの認証フレームワークで使用されることが多い。

2023/01/09のSANSセキュリティポッドキャストメモ

isc.sans.edu

 

1:Reversing AutoIT Scripts

https://isc.sans.edu/diary/AutoIT%20Remains%20Popular%20in%20the%20Malware%20Landscape/29408

Windows用のプログラミング言語である。
AutoItはWindows用プログラムのGUI自動操作機能を主な特徴としている。スクリプトは実行形式にコンパイル可能であり、コンパイルしたものはAutoItインタプリタのインストールされていない環境でも動作する。フリーウェアであり非常に多くのライブラリ、開発ツールが存在する。

 

2:Can You Trust Your VSCode Extensions

blog.aquasec.com

 

3:A Deep Dive Into Powerat

blog.aquasec.com

  • 「PowerAT」という新たに発見されたステーラー(情報収集マルウェア)が発見され、Pythonのパッケージインデックス(PyPI)を汚染している。このステーラーは、個人情報やクレジットカード情報などの重要な情報を盗み取ることができ、開発者はPyPIからダウンロードしたパッケージを確認し、不審なものは使用しないようにすることが重要だ。

2022/01/06 本日のSANSポッドキャストメモ

http://SANS Daily Network Security Podcast (Stormcast) for Friday, January 6th, 2023 - SANS Internet Storm Center

 

1:More Brazil Malspam Pushing Astaroth (Guildma) in January 2023

https://isc.sans.edu/forums/diary/More%20Brazil%20malspam%20pushing%20Astaroth%20%28Guildma%29%20in%20January%202023/29404/

(日本語訳)2023 年 1 月 3 日火曜日と 2023 年 1 月 4 日水曜日には、ブラジルを標的とした 4 つのポルトガル語の電子メールが明らかになりました。これらのメッセージは、私が過去数か月間見てきたのと同じタイプのAstaroth (Guildma) マルウェアをプッシュしています。

■Astaroth (Guildma) 
感染したコンピュータから機密情報を盗むように設計されたマルウェアの一種です。それは、悪意のある添付ファイルやリンクを含むフィッシング電子メールや感染したウェブサイトを通じてよく広まります。感染したシステムに入ったとき、Astarothは、ログイン情報、金融情報、個人識別番号(PIN)など、幅広い種類の機密データを収集することができます。また、感染したシステムのスクリーンショットを撮影し、キーストロークを記録し、さまざまなアプリケーションからデータを収集することもできます。Astarothはセキュリティソフトウェアによる検出を回避することで知られており、特に危険な脅威です。

■プッシュ
プッシュとは、データやコマンドを送信することを意味します。

2:CircleCI Breach

CircleCI security alert: Rotate any secrets stored in CircleCI

(日本語記事)

www.itmedia.co.jp

インシデントの詳細については調査中として公開していない。ユーザーに対してはCircleCI上で使うシークレット(秘密鍵)の更新と、利用中のデータなどへの不正アクセスがないかの確認をするよう呼び掛けている。現時点においてデータなどの不正利用は確認されていないとしている。

CircleCIはプログラムのテストやビルドなどを自動化するツール。

 

3:Twitter Leak

www.bleepingcomputer.com

>(日本語訳)2 億人を超える Twitter ユーザーの電子メール アドレスが含まれているとされるデータ漏洩が、人気のあるハッカー フォーラムで約 2 ドルで公開されました。BleepingComputer は、リークに記載された電子メール アドレスの多くの有効性を確認しました。

2022 年 7 月 22 日以降、脅威アクターとデータ侵害コレクターは、さまざまなオンライン ハッカー フォーラムやサイバー犯罪市場で、非公開データ (電話番号と電子メール アドレス) と公開データの両方を含むスクレイピングされた Twitter ユーザー プロファイルの大規模なデータ セットを販売および配布しています

 

4:Slack Source Code Leak

Slack セキュリティアップデート | Slack

>(日本語訳)Slack は先日、Slack のコードリポジトリのサブセットに対する不正アクセスを含むセキュリティ問題を認識しました。ユーザーの皆さまへの影響はなく、必要なアクションもありません。この問題はすぐに解決されています。Slack はセキュリティ、プライバシー、透明性を非常に重要視しており、この問題の詳細を以下に公開します。

■サブセット
ある集合の中から、いくつかの要素を選んでできる集合のことです。例えば、集合 A = {1, 2, 3, 4, 5} の中から、要素 2, 3, 4 を選んでできる集合 B = {2, 3, 4} は、集合 A のサブセットです。

 

5:Control Web Panel Patch CVE-2022-44877

github.com

>(日本語訳)Centos Web Panel 7 の認証されていないリモート コード実行 

CentOS Web Panel(CWP)
RHELRed Hat Enterprise Linux)を基にしたLinuxディストリビューションであるCentOSを実行するサーバを管理するための簡単なインターフェイスを提供するWebホスティングコントロールパネルです。 CWPは、Webホスティング、電子メール、データベース、セキュリティなど、サーバの管理に必要なさまざまな機能を簡単に設定および管理するためのツールや機能を提供しています。それは、経験豊富な管理者だけでなく、サーバ管理に慣れていない人も使いやすいように設計されており、人気があります。 CWPのいくつかの特徴は次のとおりです。

CWPは無料のオープンソースソフトウェアであり、CentOS Web PanelのWebサイトからダウンロードできます。それは、開発者とユーザーのコミュニティによってサポートされ、新しい機能やバグ修正が定期的に更新されています。

 

6:Turla: A Galaxy of Opportunity

www.mandiant.com

★Turlaと呼ばれるハッカーグループが、サテライトインターネットを使用して、数百のターゲットを攻撃したと報告しています。Turlaは、ステルス性の高い攻撃ツールを使用して、攻撃対象のコンピューターに悪意のあるコードを埋め込むことで、ターゲットを攻撃します。さらに、Turlaは、複数の代理サーバーを使用して、攻撃の痕跡を隠すために、攻撃の発信元を混乱させることもできます。被害は、政府機関や軍事・外交業界を中心に広がっており、これらの機関が注意を払う必要があるとされています。

2023/01/05 本日のSANSポッドキャストメモ

isc.sans.edu

1:Update to RTRBK - Diff and File Dates in PowerShell

InfoSec Handlers Diary Blog - SANS Internet Storm Center

(日本語訳)私は RTRBK スクリプトをほぼ毎週、実際にはバックアップ サイクルにネットワーク機器を持たないクライアントと仕事をするたびに使用しています。

■RTRBKscript
特定のフォルダー内のファイルを対象に、前回実行時から変更されたファイルのみを出力するPowerShellスクリプト

 

2:Google Chrome Sunsetting Legacy Windows Support

support.google.com

(日本語訳)Chrome 109 は、Windows 7 および Windows 8/8.1 をサポートする Chrome の最後のバージョンです。

 

3:SHC used to compile cryptominer malware

asec.ahnlab.com

(日本語訳)ASEC 分析チームは最近、Shc で開発された Linux マルウェアが CoinMiner をインストールしていることを発見しました。不適切に管理されたLinux SSHサーバーで辞書攻撃による認証に成功した後、標的のシステムにさまざまなマルウェアがインストールされたと推測されます。インストールされたものの中には、Shc ダウンローダ、前者を介してインストールされた XMRig CoinMiner、および Perl で開発された DDoS IRC ボットが含まれていました。

■Shc
UNIXLinuxシェルスクリプトを実行するためのプログラムです。SHCは、シェルスクリプトC言語のプログラムにコンパイルすることで、シェルスクリプトを実行する際に使用するシェルの種類やバージョンに依存しないようにすることができます。SHCを使用することで、シェルスクリプトを高速に実行することができるほか、シェルスクリプトのコードを隠蔽することができるため、セキュリティーの観点からも有用です。

■CoinMiner
コンピューターを悪用して仮想通貨を採掘するためのマルウェアのことを指します。CoinMinerは、通常、Webサイトやインストールされたアプリケーションからコンピューターに感染し、採掘するためのプログラムを背後で実行します。CoinMinerは、コンピューターのリソースを大量に消費するため、感染したコンピューターのパフォーマンスが大幅に低下することがあります。また、CoinMinerを使用することは、倫理的にも問題があるとされており、法的処罰の対象となることもあります。

■XMRig
XMRigとは、Moneroという仮想通貨を採掘するためのオープンソースのマイニングソフトウェアです。XMRigは、CPUやGPUを使用してMoneroを採掘することができます。XMRigは、高い採掘効率を実現するために、最適化された採掘アルゴリズムを使用しています。XMRigを使用することで、Moneroを採掘するために必要なハードウェアや電力を最小限に抑えることができるため、仮想通貨の採掘に興味がある人には有用なツールです。

 

4:ManageEngine Password Manager Pro SQL Injection

pitstop.manageengine.com

(日本語訳)Password Manager ProにSQLインジェクション脆弱性(CVE-2022-47523)が発見されました。適切な検証を追加し、特殊文字エスケープすることで、この問題を修正しました。

■ManageEngine Password Manager 
企業内で使用される複数のアカウントのパスワードを一元管理するためのパスワードマネージャーのことです。ManageEngine Password Managerは、ユーザーが手動でパスワードを管理するのではなく、システムが自動的にアカウントのパスワードを管理することで、パスワードを忘れたり、パスワードを複数のアカウントで共有することを防ぐことができます。また、ManageEngine Password Managerは、アカウントのパスワードを定期的に更新することで、セキュリティー強化を図ることができます。

SQLインジェクション
Webアプリケーションにおいて、不正なSQLクエリを送信することで、データベースを操作しようとする攻撃手法のことを指します。SQLインジェクションの攻撃は、Webアプリケーションがユーザーから入力されたデータをそのままSQLクエリに埋め込むといった脆弱性を利用します。SQLインジェクションを受けると、データベースの情報が漏洩するおそれがあり、さらには、攻撃者がデータベースを操作することもできるようになります。SQLインジェクションを防ぐためには、ユーザーからの入力を適切に処理することが重要です。

 

5:ForiADC Command Injection in Web Interface

www.fortiguard.com

>(日本語訳)FortiADC の OS コマンドの脆弱性 [CWE-78] で使用される特別な要素の不適切な無効化により、Web GUI にアクセスできる認証済みの攻撃者が、特別に細工された HTTP リクエストを介して不正なコードまたはコマンドを実行できる可能性があります。

■FortiADC
Fortinet社が提供するアプリケーションデリバリーコントローラー(ADC)の製品名です。FortiADCは、Webアプリケーションやサービスを提供するためのハードウェアや仮想マシンに搭載され、Webトラフィックを受け取り、必要な処理を行った後に、指定のサーバーに転送することで、Webアプリケーションやサービスの高速かつ安定した提供を支援することを目的としています。FortiADCは、負荷分散、セキュリティー保護、アプリケーションオフロードなどの機能を持ち、大規模なWebアプリケーションやサービスを提供する場合によく利用されます。

■アプリケーションデリバリーコントローラー
Webアプリケーションやサービスを提供するためのハードウェアや仮想マシンで、Webトラフィックを受け取り、必要な処理を行った後に、指定のサーバーに転送することで、Webアプリケーションやサービスの高速かつ安定した提供を支援するものを指します。
ADCは、負荷分散、セキュリティー保護、アプリケーションオフロードなどの機能を持ち、大規模なWebアプリケーションやサービスを提供する場合によく利用されます。また、ADCは、Webアプリケーションのパフォーマンスを最適化するために、プロトコルの最適化やキャッシュを利用することもできます。

■アプリケーションオフロード
Webサーバーやアプリケーションサーバーから、負荷がかかりやすい処理を別のサーバーやデバイスに移譲することを指します。アプリケーションオフロードを行うことで、Webサーバーやアプリケーションサーバーの負荷を軽減することができます。

 

6:Raspberry Robin Developments

www.securityjoes.com

(日本語訳)過去数か月に記録された最近の攻撃は、Raspberry Robin と呼ばれるフレームワークを使用するハッキング グループによって組織化されているようです。この適切に設計された自動化されたフレームワークにより、攻撃者は感染後の機能により、検出を回避し、横方向に移動し、Discord、Azure、Github などの既知のデータ ホスティング プロバイダーの信頼できるクラウド インフラストラクチャを活用できます。
脅威研究者のFelipe Duarte氏、Charles Lomboni氏、 Shlomit Chkool 氏は、今月 2 回同様のインシデントに対応し、いずれの場合もダウンローダを親ラッパーから分析し、前述の Raspberry Robin フレームワークを指すマルウェアを明らかにすることができました。
このマルウェアのユニークな点は、非常に難読化されており、静的に分解するのが非常に複雑であることです。一度に 1 つのレイヤーを動的に剥がすことで、研究者は最終的にマルウェアの内部構成を見つけ、その中に含まれる侵害の痕跡 (IOC) を取得することができました。TrendMicroとMicrosoftの最近の記事を読んだ研究者は、IOC が Raspberry Robin インフラストラクチャおよび Tactics, Techniques & Procedures (TTP) と重複していたため、この攻撃が Raspberry Robin によるものであると特定することに成功しました。どちらの攻撃でも、同じ IP アドレス85.56.236[.]45が際立っていました。

■ITW
"In the Wild"(野外で観測された)という意味で、マルウェアが実際にインターネット上で検出されたことを示す用語

■QNAPサーバー
QNAP Systems, Inc.社が提供する、ネットワーク接続されたストレージデバイスのことを指します。QNAPサーバーは、複数のコンピューターからデータを保存・共有することができる、NAS(Network Attached Storage)としても利用されます。QNAPサーバーは、様々なストレージデバイスを接続して使用することができるため、ストレージ容量を拡張することができます。また、QNAPサーバーには、ファイルサーバーやWebサーバーとしての機能も備わっていることがあります。