みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

今週のIT・サイバーニュースまとめ(20190616-20190622)

今週の総括


今週の記事まとめです。

昨日、急にたくさんの脆弱性情報が公開されましたね。

それ以外にも、今週はトピックが多かったので、タイトルだけでも、下のトピックリストは特に見ることをおすすめします。

個人的には、AndroidOutlook脆弱性Dell にデフォで入っているサポートのアプリケーションの脆弱性が気になります。

その中でも、Firefox脆弱性については、実際の攻撃も観測されており、注目度も高かったので、別記事にてまとめました。

こちらも、ぜひ参考にしてみてください。

micro-keyword.hatenablog.com


感想

ランサムウェアRyukに変化

ランサムウェア Ryuk は 2018年8月ごろから企業を対象とし、金銭の取得を目的とした攻撃に使われています。

以下、CrowdStrike の参考記事です。

www.crowdstrike.com

今回、ランサムウェアをよく探しているマルウェアリサーチャによって、その Ryuk にこれまでのサンプルとは違った傾向を見つけたそうです。

www.bleepingcomputer.com

結論としては、

  • 感染時にARP コマンドを実行し、特定の IP アドレスが含まれているかどうかを確認

  • 感染時に、端末に特定の文字列が含まれているかどうかを確認

これらを行うことで端末がどこの国のものかを確認しているようです。

その国と言うのは、「ロシア」、「ウクライナ」などのロシア語を公用語とする地域だと考えられています。

https://www.bleepstatic.com/images/news/ransomware/r/ryuk/blacklist/machine-name-blacklst.jpg

この傾向は、昨年の GandCrab の際もありましたね。

ロシア語圏は対象外にするということは、って感じですがいよいよ、したの説の方が濃くなってきましたね。

japan.zdnet.com

なにかと北朝鮮とか言う節あるのどうにかしてほしいですよね。

なんか、浅はかさがもろに出ると言うか。。。


AV-TEST による、アンチウイルスソフト比較

皆さんご存じでしょうか。

セキュリティソフト評価機関 AV-TEST というドイツの専門機関を。

ここでは、定期的にアンチウイルスソフトの比較を行っていて、2019年4月の結果が、公開されました。
(実は先々週くらいには公表されていたんですが(笑))

ここでは、以下の観点で評価がされています。

  • Protection(保護能力)

  • Performance(端末の性能を落とさないなど、ソフトウェアとしての性能)

  • Usability(誤検知などで利便性をら損なわないか)

結果を見てみると。

https://images.idgesg.net/images/article/2019/06/avtest_2019-04_business_win10_chart_en-100799667-orig.jpg

最近ランサムウェアの復号で活躍している Bitdefender や最近よく聞くF-Secure
その他は老舗の、Kaspersky,Symantec,McAfee,TrendMicro が満点を出してますね。

ただやはり注目なのは Windows Defender ですね。

性能が 5.5/6.0 で他2つは満点ですし、Windows 10だと標準搭載かつ無料ですからね。

他にも AV-test は色々な統計とってるのでたまに見てみると面白いですよ。


CobaltStrike チームサーバの見つけ方

今週 Recorded Future より、Cobalt Strike についてのレポートが発行されました。

www.recordedfuture.com

このレポートは、Cobalt Strike を使った新たな攻撃の観測をまとめたものというよりは、 Cobalt Strike が C2 として利用する Team Server の見つけ方に関するものです。

昨日改めて、補足記事みたいなものも出ていました。

www.recordedfuture.com

ちなみに、Recorded Future がこんな図を作っていました。

https://www.recordedfuture.com/assets/cobalt-strike-servers-2-1.png

分かりやすい(笑) これタダで提供してくれたりしないのかな。

API 連携とか IoC 情報のダウンロードを有料にして、基本的なキュレーションのところは、元々自分達のものじゃな(ry

このレポートでは、 Cobalt Strike 自体の特徴が前半に述べられ、後半はどうやって、TeamServer を見つけるかといったないようです。

Cobalt Strike について、まとめた記事を以前に出した気がしていましたが。。。

気のせいだったみたいです(笑)

Recorded Future が示している Team Server の見つけ方とその手法内訳は以下です。

https://www.recordedfuture.com/assets/cobalt-strike-servers-5-1.png

  • 特徴的な SSL/TLS 証明書を用いること

  • nanoHTTPD という web サーバを用いる

  • port50050 を用いる

この辺を中心にサーバを探しているようです。

あと、Cobalt Strike の HTTP 通信の特徴として、レスポンスヘッダにスペースが入っていることについても言及されていました。

https://www.recordedfuture.com/assets/cobalt-strike-servers-4-1.png

これだけではなく、様々な Cobalt Strike に関する、調査の内容が書いてあるのですが、正直ボリュームが。。。(笑)

ただ、サイバーセキュリティを知る上で、CobaltStrike の使われ方は、とても興味深い点が多いので、興味ある方はぜひ読んでみてください。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

最近、プライベートな繋がりで IT、特にセキュリティ関連の相談を受けることが多く、いわゆるコンサルティング的なことをやったりしてます。 もちろん無償です!(笑)

自身の経験をベースに話すわけですが、実際に目の前で起きてることだから僕自信も勉強になるんですよね。

ひとつ言えるのは、プライベートがあるからこの繋がりがあるし、それが仕事にも還元されるということ。