Loading...
Column2018-06-26T13:07:06+09:00
305, 2021

ユーザー定義のルールフィルター(ウェブ&ウェブファイアウォール)

By |May 3rd, 2021|0 Comments

ウェブハッキングは、Webサイトの脆弱性を攻撃する技術では、Webページを介して、権限がないシステムにアクセスしたり、データの流出や破壊などの行為が行われます。特に、Webアプリケーションを介してハッキングが主に発生します。 OWASPの10代のWebアプリケーションの脆弱性を発表しPLURAはこれに基づいて、Web攻撃の種類の分析を介して検出パターンを登録して管理しています。 ハッカーはゼロデイ脆弱性という、以前に報告されたことのない新しい欠陥を見つけて通っています。 これら検出された直後に、セキュリティ専門家は、exploit一つが悪用されていることを追跡結果を目撃することができます。 目撃すぐPLURAユーザーは、攻撃を検知またはブロックするフィルタを登録することができます。 ゼロデイ脆弱性が発表されてパッチされるまで、これを待つことなく、すぐに、そのサーバーを保護することができます。 ハッカーがWPScanというツールを利用してWordPress脆弱性を探索しています。 [図1] WPScan全体ログ PLURAは、これらの多数の脆弱性をスキャンする無差別攻撃を検出/遮断を基本的に提供していません。理由の一つは、これをすべて検出する場合、過剰な検出(科学探求)で業務負荷を加重することができる副作用があるからです。 しかし、もしスキャン攻撃も検知/遮断する場合は、PLURA全体ログをもとに、フィルタ登録して対応することができます。 【図2】ユーザーフィルターWPScan WPScan結果、サーバーからxmlrpcの脆弱性が検出されました。 【図3】xmlrpc検出 xmlrpcの脆弱性は、Brute Force攻撃に利用されており、PLURAで検出しています。 [図4] xmlrpcの脆弱性の検出 ユーザーがWordPressの管理者IDを登録して、ユーザーのフィルタ化すれば、攻撃するかどうかの検出を超えID流出かどうかをリアルタイムで検出することができます。 WordPressは、独自の脆弱性も存在するが、脆弱なプラグインを介した攻撃がほとんどです。 [図5] Plugins有効化 ユーザーが登録したか有効にしたPluginsがない場合は、非常に大きなセキュリティ上の脅威となることがあります。

902, 2021

ROOT権限の昇格(CVE-2021-3156)フィルタ

By |February 9th, 2021|0 Comments

SUDO 脆弱性 (CVE-2021-3156)    2021年1月26日、Linux / Unixの脆弱性が公開されました。 sudoコマンドを送信するための構文解析方法でヒープベースのバッファオーバーフローがされている現象を利用して、ユーザーが認証なしでルート権限で上昇が可能になる脆弱性です。 この脆弱性のバージョンを使用している場合、速やかに更新する必要があります。   PLURAでSudoの脆弱性の深刻さを考慮して、すぐ分析を進めてお勧めフィルタに追加しました。顧客の担当者は左側のメニューから登録出来ます。 (フィルタ>おすすめフィルタ>ルート特権の昇格(CVE-2021-3156)/ Sudoeditコマンドを使用/ Sudoの脆弱性を確認>アイテムのチェック後の登録) Sudoedit -s / PoC Plura Filters   ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------  

2501, 2021

タリウム(Thallium)組織、XSL Script Processing攻撃を実行

By |January 25th, 2021|0 Comments

XSL Script Processing? 攻撃者は、XSLファイルにスクリプトを含むアプリケーション制御をバイパスして、コードの実行をあいまいにすることができます。 XSL? XSL(Extensible Stylesheet Language:拡張可能なスタイルシート言語)ファイルは、一般的に、XMLファイル内のデータの処理と表示を説明するために使用されます。複雑な操作をサポートするためにXSL標準にはさまざまな言語で含まれているスクリプトのサポートが含まれています。 攻撃者は、この機能を悪用して、潜在的に、アプリケーション制御をバイパスしながら、任意のファイルを実行することができます。 最近タリウム、Dridexなどのマルウェアでも使用された手法では、通常のウィンドウのユーティリティ(wmic.exe)を利用して、悪質なXSLドキュメントスクリプトファイルを取得します。 *タリウム:北朝鮮政府を背後に置いたものと推定されるハッキング組織で、最近の社説株式投資メッセンジャープログラムを変調して、サプライチェーンの攻撃を実行 [図1] trojan悪性ファイルからXSL Script Processing攻撃が発見された事例 ※ 実行動画(XSL Script Processing) PLURAでは、この攻撃に対して「XSLスクリプトの処理[T1220]」フィルターで検出しています。 参照 -https://attack.mitre.org/techniques/T1220/ -https://asec.ahnlab.com/ko/1344/

1501, 2021

RANSOMWARE相関分析フィルタ

By |January 15th, 2021|0 Comments

Ransomwareは、コンピュータシステムに感染させてアクセスを制限して、一種の身代金を要求する悪質なソフトウェアの種類である。コンピュータへのアクセスが制限されるため制限を取り除くには、その不正プログラムを開発した者に支払いを強要される。この時、暗号化されているランサムウェアがある一方で、いくつかのことは、システムを単純にロックしてコンピュータユーザーが支払うことにするために案内フレーズを浮かべる。 ランサムウェアは、身代金を意味するRansomとSoftware(ソフトウェア)の合成語である。 マルウェアの一種であるランサムウェアは、攻撃方法が多様であり、複雑になっています。 世界的にその被害は時々刻々発生しておりランサムウェアを検出して遮断する多くの研究が盛んに行われています。   プルーラの研究者は、既存の分析されたデータを「単一のフィルタ」と「相関分析フィルタ」として実装しました。また、これにとどまらず、毎月新種マルウェアを分析して、フィルタに更新する作業を怠っていないです。   ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------   ① フルーというどのようにランサムウェアを検出しますか?   プルーラでランサムウェアを検出する方法 単一のフィルタの作成:不正行為の際に発生されるログに基づいてフィルタを作成します。 相関分析フィルタの作成:一つのログには、判別しにくいことがあります。このような時は、段階的に発生されるログを解析して関連性のある「単一のフィルタ」を順次に並べて攻撃の疑い確率を高めるフィルタグループを作成することができているが、これを「相関分析フィルタ」と呼ばれます。   攻撃の疑い確率を高める方法 ランサムウェアは共通の特徴を持っています。 ファイルが実行された後、C&Cサーバーから送信と受信データを通信します。 マルウェアのファイルの属性を変更します。 犠牲者のコンピュータのデータを暗号化します。 暗号化のために、関連するプロセスを強制終了します。 データを口実に脅迫性ランサムノート残します。

3012, 2020

クロップ(CLOP)ランサムウェアとは?

By |December 30th, 2020|0 Comments

2020年11月に国内の大規模流通企業の顧客情報が暗号化されるハッキング事件が発生しました。追加の拡散を防ぐために、社内のネットワークを遮断しながら、営業活動が一時停止しました。ハッカー組織は、データ復旧のための条件として、高額のお金を要求し脅迫し、これにより、企業の営業活動とブランドネームに莫大な被害が予想されます。 使用されたハッキン​​グの方法は、クロップと明らかにした。クロップランサムウェアとは、企業で使用する中央管理サーバー(ADサーバー)の管理者アカウントを奪取しOS情報、権限、ユーザー名、コンピュータ名などの基本的な情報を獲得して、企業の内部システムのデータを暗号化させた後復号化を口実で巨額のお金を必要とするハッキング手法です。 クロップランサムウェアは、電子メールに実行ファイル(.exe)、ワード(.doc)やエクセル(.xls)ファイルを添付して流布されており、最近悪意のあるスクリプト(HTML)を添付するように進化する姿を見せます。 また、一般的なランサムウェアとは異なり、「Ammyyハッキングツール」を利用してアクセスしたサーバの情報を把握して、アカウントの権限を奪取します。 会社の従業員の個人情報とPC情報を含んでいるADサーバをハッキングしたので、取得した権限とアカウントにウィンドウにフェンダーをはじめとする様々な対策プログラムが無効にさせて企業のセキュリティシステムを無力化させます。 一度クロップランサムウェアにターゲットである企業は、持続して同様のランサムウェアの攻撃を受けることができるので耐久セキュリティシステムを確立することが重要です。 以下は、クロップランサムウェアを防止することができる基本的なヒントです。 1. ADサーバを運営する企業では、ADサーバのアカウントのセキュリティ管理の強化 2. AD管理者と管理者グループのアカウントのパスワード定期変更 3. ADの管理者アカウントは、必ず一般業務用ADアカウントとは必ずしも分離して使用 4. AD管理者アカウントは、DC(Domain Controller)のほか、他のシステムで使用禁止 5. ADサーバにプルーラをインストールして、アカウントの引き継ぎをリアルタイム監視   企業のハッキング被害は、単に金銭的な被害に終了しません。 一度崩れた企業の信頼を回復するには、長い時間と莫大な努力が必要だからです。 信頼される企業になるためには、信頼されるセキュリティソリューションが必要な理由です。  

3012, 2020

クレデンシャル・スタッフィング攻撃の分析

By |December 30th, 2020|0 Comments

2018年10月には、世界の7大金融機関の一つであるHSBC Bankのデータ流出事件から 今年話題になった芸能人のスマートフォンと接続されたクラウドアカウント奪取事件、 国内簡単決済ユーザー数1位のサービスであるトスのなりすましによる不正請求事件まで 上記の事件はすべてクレデンシャルスタッフィング(Credential Stuffing)を通じた攻撃的に分析された。 2011年に初めて作られたクレデンシャルスタッフィングはAkamaiによると、2018年にはほぼ300億個のクレデンシャルスタッフィング攻撃を記録し、ここ数年の間に爆発的に増加しています。[1][2][3]   クレデンシャルスタッフィングは、ユーザーアカウントにアクセスするために資格情報(Credentials)ユーザー名/パスワードのペアを自動的に注入することです。 ブルートフォース攻撃カテゴリのサブセットにユーザーアカウントを奪取するために使用される最も一般的な技術の一つです。 ブルートフォース(Brute Force) - 単一のアカウントに対して事前または他のソースの複数のパスワードをテストします。 クレデンシャルスタッフィング(Credential Stuffing) - 他のサイトの侵害で得たユーザ名/パスワードのペアをテストします。 パスワードスプレー(Password Spraying) - 多数の他のアカウントの1つの脆弱パスワードをテストします。 クレデンシャルスタッフィングの場合流出した多くの資格情報が既存のアカウントと一致するまで、Webサイトに自動的に入力され、攻撃者が自分の目的のために、これを奪取することができます。

Load More Posts
Go to Top