2018年度のサイバー攻撃レポート(式会社サイバーセキュリティクラウド)

2018年度のサイバー攻撃に関するレポートを読みました。 自分が気になった箇所を簡単に読み解いていこうと思います。

会社名:株式会社サイバーセキュリティクラウド 記事タイトル:サイバー攻撃白書 2018年度攻撃分析レポート発表

URL:https://www.cscloud.co.jp/news/press/201901311846/

◇攻撃状況 ・2018年5月が1番多い ・下半期のほうが攻撃が多くなる

  1. なぜ2018年5月にサイバー攻撃が多かったのか?
  2. 調べてもはっきりとした答えはわかりませんでした。 → 例年5月は攻撃が多い月なのか、2018年度だけ特殊だったのか調べたい。 → 年末に向けて攻撃が多くなっていく点についても上記と同じように調べたい。

◇攻撃概要 ・Blacklisted user agent が全体の56%で1位 ・Blacklisted user agent とは脆弱性スキャンツールを利用したBotによる攻撃の検知名 ・ZmEu、Nikto、Morfeus 等のツールが利用されていた

◎ZmEu (ズメウ) について ・2012年9月頃にルーマニア人が開発したphpMyAdmin脆弱性をスキャンするツール ・ZmEuという名前はルーマニアの神話の竜の名前らしいです。

---------------攻撃の例(アクセスログ)--------------- "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 318 "-" "ZmEu" "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748 "-" "ZmEu" "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu"

"GET /pma/scripts/setup.php HTTP/1.1" 404 298 "-" "ZmEu"

攻撃の流れ ①上記のようなリクエストでphpMyAdminがインストールされていそうなパス配下の/scripts/setup.phpを探索します。  ・/scripts/setup.phpは古いバージョンのphpMyAdminにしかありません。  ・従ってレスポンス200などを返してしまうと古いバージョンの(脆弱性がある)phpMyAdminを使っていることがバレてしまいます。 ②古いバージョンのphpMyAdminを使っていることがわかったら、脆弱性を突いて攻撃コードの挿入を行います。  ・setup.phpにパラメータとして攻撃コードを含んだpostを送ります。(サニタイズされずにsetup.phpが攻撃コードを受け取る)  ・setup.phpから攻撃コードを含むconfig.inc.phpが作成されます。  ・config.inc.phpにアクセスすると攻撃コードがサーバ上で実行されます。

参考: https://ozuma.hatenablog.jp/entry/20130916/1379332757 https://www.slideshare.net/ockeghem/phpmyadmin-24797984 http://d.hatena.ne.jp/snufkinski/20100206/1265434884 https://scan.netsecurity.ne.jp/article/2011/08/10/27155.html

◎Nikto (ニクト) ・webサーバ&webアプリ脆弱性診断ツール。Kaliにも入ってるそうです。

◎Morfeus (モルフェウス) php系の脆弱性のスキャンツール 参考:http://kaworu.jpn.org/kaworu/2008-12-27-1.php

◇その他 脆弱性 Drupal(Drupalgeddon 2.0) →有名なのでそのうちもっと深く調べたい

以上です。

Markdown記法

◇見出し

見出し1

見出し2

見出し3

見出し4

見出し5
見出し6

◇箇条書き

  • 親1
    • 子1
      • 孫1
      • 孫2
    • 子2
  • 親2
  • 親3

◇番号付きリスト

  1. 親1
    1. 子1
    2. 子2
  2. 親2
  3. 親3

◇引用

あいうえお かきくけこ さしすせそ

◇二重引用

あいう あいう

かきく かきく

◇pre記法

volatility.py -f xxx.img --profile=Win7SP1x86 imageinfo

◇code記法

プロセスの情報を知りたいときはpslistコマンドを使います

◇強調:em

This is a pen.

◇強調:strong

This is a pen.

◇強調:em + strong

This is a pen.

VolatilityのTips

環境:Ubuntu 16.04.5 LTS (Windows Subsystem for Linux)

 

Volatilityの基本コマンドは以下の通りです。

 

>||

vol.py -f <メモリイメージファイルのパス> --profile=<プロファイル> <コマンド>

||<

 

(例)

vol.py -f zeus.vmem --profile=WinXPSP2x86 pslist

 

毎回ファイルのパスとプロファイルを書くのは手間ですので、できる限り省略したいものです。

Volatilityでは次の2通りの方法でファイルのパスとプロファイルを省略できます。

 

環境変数を利用する方法

export VOLATILITY_LOCATION=file://<ファイルのパス>

export VOLATILITY_PROFILE=<プロファイル>

 

(例)

export VOLATILITY_LOCATION=file:///home/s9n2/zeus.vmem

export VOLATILITY_PROFILE=WinXPSP2x86

 

②設定ファイルを利用する方法

カレントディレクトリにvolatilityrcを作成