[OSINT]Shodanを使ってFileZenを探せ その3(番外編: 運用状況の分析)|__aloha__
これまで「Shodanを使ってFileZenを探せ」として2回、FileZenを題材に、Shodanを使った実際の調査手法について、ご紹介していきました。残念ながら「[OSINT]Shodanを使ってFileZenを探せ その1」でBy Name挙げた内閣府は、その後2021年4月22日に内閣府が攻撃を受けて個人情報を含めた情報漏洩が発生していたことを明らかにしました。その原因はソリトンシステムズのFileZenのファームウェアに存在していたゼロデイの脆弱性だった事を明らかにしています。詳細についてはPiyokangoさんのPiyolog「内閣府のFileZenへの不正アクセスについてまとめてみた」を見ていただければと思います。 私はこれまで、昨年12月にBlogに書く以前から、FileZenの作りに攻撃者を利する問題=ある程度のバージョン特定が可能、ある事が気が付いており、その事から継続
![[OSINT]Shodanを使ってFileZenを探せ その3(番外編: 運用状況の分析)|__aloha__](https://cdn-ak-scissors.b.st-hatena.com/image/square/394a9099b243eee791aba834f7556c4d01635fea/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F52262738%2Fpicture_pc_5e6694c6ced125ea07268f3832cba18d.png)
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes
JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。 Log Analysis Training https://jpcertcc.github.io/log-analysis-training 本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっていま
とある診断員とSecurity-JAWS #01 参加記録 および flaws.cloudのLevel4までのメモ - task4233のめも
はじめに 2019年11月17日(金)に開催された, とある診断員とSecurity-JAWS #01というイベントに参加しました。 このイベントは, AWS固有のセキュリティをCTF形式で学べるhttp://flaws.cloud/を, ハンズオン形式で勉強するイベントでした。 このイベントがなければこのサービスの存在も知らなかった上に, 他の参加者と一緒に問題を解く機会が得られなかったので, いい機会になりました。 ちなみに, ハンズオンで使用された資料は公開されているのでリンクを貼っておきます。 flaws.cloudに挑戦しよう! from zaki4649 www.slideshare.net AWSのセキュリティどころか, AWS-CLIツールの使用もままならない状況だったので, 備忘録としてコマンドの使用法およびflaws.cloudの解法を載せていきます。 もくじ はじめに
一にも二にも「防御」を――元CIAのCISOが提言した6つのセキュリティ対策
CIAのCISOを務め、今はコンサルタントとして活躍するロバート・ビッグマン氏が、@ITセキュリティセミナー、東京会場の基調講演に登場し、基本的かつ実践的な対策をアドバイスした。 長年にわたってCIA(米国中央情報局)のCISO(最高情報セキュリティ責任者)を務め、今はコンサルタントとしてさまざまな政府機関や企業にサイバーセキュリティに関するアドバイスを行っているロバート・ビッグマン氏。その同氏が来日し、@ITセキュリティセミナー、東京会場で「日本のセキュリティリーダーに告ぐ」と題する基調講演を行った。 メインフレームの時代からサイバーセキュリティの世界に37年間携わり、「私よりも長くこの業界にいる人は数えるほどではないか」というビッグマン氏。60数社のサイバーセキュリティ対策を間近で見た経験も踏まえ、来場者にシンプルなアドバイスを行った。 外部の脅威が気にするのはターゲットの防御能力 N
新たなブラウザ攻撃手法が見つかる--ユーザーがウェブページを離れた後も有効
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ユーザーが感染したウェブページを閉じたり、そこから離れたりした後でも、ユーザーのブラウザ内で悪意あるコードを実行できる新しいブラウザベースの攻撃がギリシャの学者らによって考え出された。 「MarioNet」と呼ばれるこの新しい攻撃は、ユーザーのブラウザから巨大なボットネットを構築するための扉を開く。研究者によると、これらのボットネットは、ブラウザ内での不正な仮想通貨マイニング(クリプトジャッキング)、DDoS攻撃、悪意あるファイルのホスティング/共有、分散型のパスワードクラッキング、プロキシネットワークでの不正リレー、クリック詐欺の宣伝、トラフィック統計のかさ増しに使用できる。 MarioNet攻撃は、ブラウザベースのボットネットを作成
リンクを作る時の target="_blank" の危険性 - 隙あらば寝る
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log
はじめに PCがcryptojackに感染したと思いきや、感染したのはルータでした、という話です。 8月22日 とあるブログ記事を読んでいたところ、下のスクリーンショットのような読み込み画面とavastによるwebシールドの警告が出てきました。どうやらcoinhiveをブロックしているらしく、ああたまにあるやつだなと思い特に何もしませんでした。しかし、そのあとitmediaや(AT)BIOS、はてなブログにアクセスした際に同様の警告が出たため、流石にこれはおかしいぞと思い始めます。JavaもFlashも無効にしてるし機能拡張もAdBlockしか入れてない、怪しいプロキシを登録しているわけでもない・・・、と一通りチェックした後、とりあえず現状保存のためディスクをバックアップし、システムをavastのフルスキャンにかけて寝ました。 (AT)BIOSにアクセスした際の警告 8月24日 模索 av
チケット購入アクセス「9割がbot」→“殲滅”へ イープラスの激闘を振り返る (1/3) - ITmedia NEWS
今年8月、「e+」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースが報じられた。あれから4カ月、bot対策はさらに進み、目に見える効果をあげている。 連載:迷惑bot事件簿 さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。 今年8月、大手プレイガイド、イープラスのチケット購入サイト「e+」への一般先着チケット購入アクセスの
海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ
海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ 顛末を記録した雑多なログになっているので整理されていない部分が多々あります. 2万文字を超えているので気合を入れて読むか適当に読み飛ばしてください. これでも不要な調査データを省いたりしてスリム化したのですが超巨大化してしまいました. 2018-11-07から自宅のネットワークの調子が悪すぎる 自宅のネットワークが死んでいました. J:COMの回線現在98%パケットロスするという状態になっています pic.twitter.com/Vfe0O3p5j2 — エヌユル (@ncaq) 2018年11月7日 今日の私 14時 サーバが落ちていることが通知される,サーバにDHCPがアドレス振ってくれてない 15時 ucomがついに死んだかと思いjcomに移行する 1
2017年版CSIRT/情報セキュリティ担当者が読んでおいたほうがいい資料・スライド - Qiita
2017年に公開された資料・スライドで、CSIRT/情報セキュリティ担当者が読んでおいたほうがいいのでは?というものを独断と偏見でまとめてみました。 これが足りないじゃないか!という意見がある方はPRください。🙏🙏🙏 Note: この投稿は個人ブログ上の記事のQiitaへのクロスポストです。 技術関連資料 JPCERT/CC: インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (2017/12/05) JPCERT/CC: ログを活用したActive Directoryに対する攻撃の検知と対策 (2017/07/28) FIRST: FIRST Publications 2017 人材・組織関連資料 NCA: CSIRT人材の定義と確保(Ver.1.5) (2017/03/13) CSIRT に求められる役割と実現に必要な人材のスキル、育成についてまとめた資料 補足文
IDS・IPSとWAF、ファイアウォールの違いとは?セキュリティ特徴は?|ITトレンド
IPS・IDS:パケットを監視 しかし、外部から通常のアクセスを短時間に大量の送りつける攻撃を仕掛けた場合、パケットそのものは正当なパケットと何ら変わりないので、ステートフルインスペクションでもこれが攻撃パケットであると判断できません。 そこでパケットの内容を監視して、ルールやパターンによって異常検知するIDSやIPSの出番となります。 2. ファイアウォールはIDS・IPSと働く場所が違う ファイアウォールとの違いとIDS・IPSの違いとして、「機能する場所」の違いがあげられます。この「場所」とは、大きく3つに分類されます。まずはそのエリアについて確認し、ファイアウォール、IDS・IPSそれぞれがどこで機能するのかについて解説します。 3つのエリア分かれるネットワークセキュリティ それぞれのシステムが働く場所を確認しておきましょう。通常ネットワークセキュリティを検討する場合、ネットワーク
JSOC®(ジェイソック) | 株式会社ラック
JSOC(ジェイソック)は、英語名Japan Security Operation Centerの頭文字を取り組織名とした、セキュリティ監視・運用サービスの拠点です。JSOCは2002年に東京・虎ノ門に開設されましたが、そのルーツは2000年に東京・お台場に設立されたセキュリティ監視センターです。同年開催された「九州・沖縄サミット」の公式サイトにおける不正アクセス監視・対応を支援したことから、セキュリティ監視サービスは通常の運用を開始しました。そして2010年6月に平河町に移転し、今後に備え監視システムや設備を一新しました。 「JSOC」の特徴 最高峰のセキュリティアナリスト 「JSOC」が日本最大のセキュリティ監視サービスを提供できるのは、「セキュリティアナリスト」と呼ばれるプロフェッショナルのエンジニアが存在するからです。セキュリティアナリストは、ファイアウォール、次世代型ファイアウォ
EDRとは – 標的型サイバー攻撃の次の一手 | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
ASP.NET のセキュリティ対策について考える - しばやん雑記
XSS や CSRF の話題は相変わらず結構多いですね。例えば、はまちや2さんのブログに最近書かれたエントリとか。 CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!(Hatena) 曰く、Hatena や Facebook など多くのサービスがログイン画面では CSRF 対策されていないとか。実際に書かれているようなことが起きたら怖いですねー。 で、本題なんですが、ASP.NET を使ったサービスでは XSS や CSRF に関してはあまり被害を聞かないなーと思いました。ぶっちゃけ、採用サイトが少なすぎるのが理由な気もするんですが、SQL インジェクションはよく聞きますが、XSS・CSRF は自分は特に被害を知りません。 XSS XSS は悪意のある入力内容が、適切にエスケープされずに出力された場合に発生します。ということでエスケープをしましょう。 そもそも ASP.NE
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
ハッシュテーブルに対する攻撃手法のはなし
ハッシュテーブル実装に対する攻撃とは 昨年12月末にドイツで開催されたCCC(Chaos Communication Congress)において、"Effective Denial of Service attacks against web application platforms"(Webアプリケーションに対する効率的なDoS攻撃)と題した発表が行われました。タイトルに「Webアプリケーション」とついてはいますが、この問題はWebアプリケーションに限ったものではありません。以下の三つの条件が揃ったアプリケーションであれば例外なく、DoS攻撃の餌食となる危険があります。 ハッシュテーブルというデータ構造を使っている ハッシュ値を計算するアルゴリズムが「脆弱」である ハッシュテーブルに登録するデータをプログラム外部から指定できる ハッシュテーブルとその問題 Wikipedia(日本語版)
SE・プログラマが知ってると便利な脆弱性チェックツール 5 つ | バシャログ。
東京ラーメンショー2011 いきてーーー!みなさんこんにちは、nakamura です。 今日はプログラマだったりサーバ管理者だったり(もしくはその両方だったり)する方にお勧めしたいサイトとツールをいくつかご紹介します。細かい脆弱性のチェック等どうしても手間が掛かるものが多いですが、今回ご紹介するツールをうまく使うとその辺りだいぶ効率よくできると思いますよ! WEB アプリケーション関連 XSS Me XSS Me :: Add-ons for Firefox XSS のテストをある程度自動化してくれる Firefox のアドオンです。残念ながら Firefox3.0.* 系の頃に開発が止まってしまっているようですが、僕の環境では install.rdf の書き換えで問題なく動作しています。(Windows7 64bit + Firefox7.0.1) SQL Inject Me SQL I
これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ツール分析結果シート
CSIRTの次なる一手-プロアクティブなセキュリティ機能構築の必要性-|Insights|セキュリティアーカイブス|情報セキュリティのNRIセキュア