2023/01/05 本日のSANSポッドキャストメモ
1:Update to RTRBK - Diff and File Dates in PowerShell
InfoSec Handlers Diary Blog - SANS Internet Storm Center
(日本語訳)私は RTRBK スクリプトをほぼ毎週、実際にはバックアップ サイクルにネットワーク機器を持たないクライアントと仕事をするたびに使用しています。
■RTRBKscript
特定のフォルダー内のファイルを対象に、前回実行時から変更されたファイルのみを出力するPowerShellスクリプト。
2:Google Chrome Sunsetting Legacy Windows Support
(日本語訳)Chrome 109 は、Windows 7 および Windows 8/8.1 をサポートする Chrome の最後のバージョンです。
3:SHC used to compile cryptominer malware
(日本語訳)ASEC 分析チームは最近、Shc で開発された Linux マルウェアが CoinMiner をインストールしていることを発見しました。不適切に管理されたLinux SSHサーバーで辞書攻撃による認証に成功した後、標的のシステムにさまざまなマルウェアがインストールされたと推測されます。インストールされたものの中には、Shc ダウンローダ、前者を介してインストールされた XMRig CoinMiner、および Perl で開発された DDoS IRC ボットが含まれていました。
■Shc
UNIXやLinuxのシェルスクリプトを実行するためのプログラムです。SHCは、シェルスクリプトをC言語のプログラムにコンパイルすることで、シェルスクリプトを実行する際に使用するシェルの種類やバージョンに依存しないようにすることができます。SHCを使用することで、シェルスクリプトを高速に実行することができるほか、シェルスクリプトのコードを隠蔽することができるため、セキュリティーの観点からも有用です。
■CoinMiner
コンピューターを悪用して仮想通貨を採掘するためのマルウェアのことを指します。CoinMinerは、通常、Webサイトやインストールされたアプリケーションからコンピューターに感染し、採掘するためのプログラムを背後で実行します。CoinMinerは、コンピューターのリソースを大量に消費するため、感染したコンピューターのパフォーマンスが大幅に低下することがあります。また、CoinMinerを使用することは、倫理的にも問題があるとされており、法的処罰の対象となることもあります。
■XMRig
XMRigとは、Moneroという仮想通貨を採掘するためのオープンソースのマイニングソフトウェアです。XMRigは、CPUやGPUを使用してMoneroを採掘することができます。XMRigは、高い採掘効率を実現するために、最適化された採掘アルゴリズムを使用しています。XMRigを使用することで、Moneroを採掘するために必要なハードウェアや電力を最小限に抑えることができるため、仮想通貨の採掘に興味がある人には有用なツールです。
4:ManageEngine Password Manager Pro SQL Injection
(日本語訳)Password Manager ProにSQLインジェクションの脆弱性(CVE-2022-47523)が発見されました。適切な検証を追加し、特殊文字をエスケープすることで、この問題を修正しました。
■ManageEngine Password Manager
企業内で使用される複数のアカウントのパスワードを一元管理するためのパスワードマネージャーのことです。ManageEngine Password Managerは、ユーザーが手動でパスワードを管理するのではなく、システムが自動的にアカウントのパスワードを管理することで、パスワードを忘れたり、パスワードを複数のアカウントで共有することを防ぐことができます。また、ManageEngine Password Managerは、アカウントのパスワードを定期的に更新することで、セキュリティー強化を図ることができます。
■SQLインジェクション
Webアプリケーションにおいて、不正なSQLクエリを送信することで、データベースを操作しようとする攻撃手法のことを指します。SQLインジェクションの攻撃は、Webアプリケーションがユーザーから入力されたデータをそのままSQLクエリに埋め込むといった脆弱性を利用します。SQLインジェクションを受けると、データベースの情報が漏洩するおそれがあり、さらには、攻撃者がデータベースを操作することもできるようになります。SQLインジェクションを防ぐためには、ユーザーからの入力を適切に処理することが重要です。
5:ForiADC Command Injection in Web Interface
>(日本語訳)FortiADC の OS コマンドの脆弱性 [CWE-78] で使用される特別な要素の不適切な無効化により、Web GUI にアクセスできる認証済みの攻撃者が、特別に細工された HTTP リクエストを介して不正なコードまたはコマンドを実行できる可能性があります。
■FortiADC
Fortinet社が提供するアプリケーションデリバリーコントローラー(ADC)の製品名です。FortiADCは、Webアプリケーションやサービスを提供するためのハードウェアや仮想マシンに搭載され、Webトラフィックを受け取り、必要な処理を行った後に、指定のサーバーに転送することで、Webアプリケーションやサービスの高速かつ安定した提供を支援することを目的としています。FortiADCは、負荷分散、セキュリティー保護、アプリケーションオフロードなどの機能を持ち、大規模なWebアプリケーションやサービスを提供する場合によく利用されます。
■アプリケーションデリバリーコントローラー
Webアプリケーションやサービスを提供するためのハードウェアや仮想マシンで、Webトラフィックを受け取り、必要な処理を行った後に、指定のサーバーに転送することで、Webアプリケーションやサービスの高速かつ安定した提供を支援するものを指します。
ADCは、負荷分散、セキュリティー保護、アプリケーションオフロードなどの機能を持ち、大規模なWebアプリケーションやサービスを提供する場合によく利用されます。また、ADCは、Webアプリケーションのパフォーマンスを最適化するために、プロトコルの最適化やキャッシュを利用することもできます。
■アプリケーションオフロード
Webサーバーやアプリケーションサーバーから、負荷がかかりやすい処理を別のサーバーやデバイスに移譲することを指します。アプリケーションオフロードを行うことで、Webサーバーやアプリケーションサーバーの負荷を軽減することができます。
6:Raspberry Robin Developments
(日本語訳)過去数か月に記録された最近の攻撃は、Raspberry Robin と呼ばれるフレームワークを使用するハッキング グループによって組織化されているようです。この適切に設計された自動化されたフレームワークにより、攻撃者は感染後の機能により、検出を回避し、横方向に移動し、Discord、Azure、Github などの既知のデータ ホスティング プロバイダーの信頼できるクラウド インフラストラクチャを活用できます。
脅威研究者のFelipe Duarte氏、Charles Lomboni氏、 Shlomit Chkool 氏は、今月 2 回同様のインシデントに対応し、いずれの場合もダウンローダを親ラッパーから分析し、前述の Raspberry Robin フレームワークを指すマルウェアを明らかにすることができました。
このマルウェアのユニークな点は、非常に難読化されており、静的に分解するのが非常に複雑であることです。一度に 1 つのレイヤーを動的に剥がすことで、研究者は最終的にマルウェアの内部構成を見つけ、その中に含まれる侵害の痕跡 (IOC) を取得することができました。TrendMicroとMicrosoftの最近の記事を読んだ研究者は、IOC が Raspberry Robin インフラストラクチャおよび Tactics, Techniques & Procedures (TTP) と重複していたため、この攻撃が Raspberry Robin によるものであると特定することに成功しました。どちらの攻撃でも、同じ IP アドレス85.56.236[.]45が際立っていました。
■ITW
"In the Wild"(野外で観測された)という意味で、マルウェアが実際にインターネット上で検出されたことを示す用語
■QNAPサーバー
QNAP Systems, Inc.社が提供する、ネットワーク接続されたストレージデバイスのことを指します。QNAPサーバーは、複数のコンピューターからデータを保存・共有することができる、NAS(Network Attached Storage)としても利用されます。QNAPサーバーは、様々なストレージデバイスを接続して使用することができるため、ストレージ容量を拡張することができます。また、QNAPサーバーには、ファイルサーバーやWebサーバーとしての機能も備わっていることがあります。
