・東京五輪狙うサイバー攻撃対策、技適マーク基準見直しへ (10/26)
『
現行の基準の主眼は通信障害を防ぐこと …
攻撃に弱い機器が防御の「穴」になるのを防ぐことを目指す …
官民連携でサイバー攻撃の発信源を見つけ、 企業や官庁で情報を共有する仕組みも …
』
「10月24日夜(日本時間)からウクライナやロシアを中心に ...
・感染経路(1):改ざんされたサイトの閲覧による感染
Flash Player更新インストーラに偽装したドロッパーを誤実行すると感染
・感染経路(2):BadRabbitの拡散機能
Mimikatzツールを使用して資格情報の抽出を試行
コード内に書き込まれたID、パスワードを用いて別の端末に感染を拡大
WannaCryのように脆弱性を利用して他の端末に感染を広げることはない
・・・等
」(←編集しました)
「対策としてトレンドマイクロでは、不正なWebサイトへのアクセスをブロックすることやネットワーク内の不正通信を検知すること、バックアップを取ることなどを挙げている」
https://www.2ch.work/tech/7496
『3.設定編torrcの設定Security Levelの設定(追記:2017年7月12日)Cookieの設定リファラの設定(修正:2017年7月12日)NoScriptの設定』
https://www.torproject.org/projects/torbrowser.html
Download, Instruction for installation ..etc
http://ebimanion.hateblo.jp/entry/2018/02/23/210115『torrcの例
ExcludeNodes {jp},{us},{gb},{ca},{au},{nz},{dk},{fr},{nl},{no},{de},{be},{it},{es},{il},{sg},{kr},{se},127.0.0.1,SlowServerExcludeExitNodes {jp},{us},{gb},{ca},{au},{nz},{dk},{fr},{nl},{no},{de},{be},{it},{es},{il},{sg},{kr},{se},{bg},{cz},{fi},{hu},{ie},{lv},{lt},{lu},{ro},{se},{ch},{ru},{hk},127.0.0.1
StrictNodes 1
NumEntryGuards 15
』
https://tb-manual.torproject.org/security-slider.html
デフォルトはStandardだけど、Safer くらいでも支障ないだろう
https://megalodon.jp/2016-0103-0053-49/hoxu.jp/about/post-602/
https://aruo.net/arbk/blog/article/configuration_items_of_http_referrer_on_mozilla_firefox_web_browser
https://forums.mozillazine.jp/viewtopic.php?f=2&t=16526
socks_remote_dns should default to true if using a SOCKS proxyFirefox does not open .onion websites
https://www.krackattacks.com/#norouterupdates の意訳
ルーターのセキュリティアップデートが無かったら
主な攻撃は 4-way handshakeに対するもので、Access Pointを悪用するのではなく、ターゲットクライアントを悪用します。
・・・中略・・・
ルータやアクセスポイントに対する攻撃を緩和するには、クライアント機能を無効にし、さらに 802.11r (fast roaming)を無効にすれば良いでしょう。
普通の家庭ユーザは、まず、ラップトップやスマホなど、クライアントをアップデートすべきです。
アクセスポイントにパッチ適用するだけで十分? またはクライアントだけでOK?
現状ではすべての脆弱なデバイスにパッチを適用すべきです。
・・・中略・・・
ただし Fast BSS Transition handshake (802.11r)をサポートするアクセスポイントのみ、脆弱な事に注意ください。
◆関連
自宅をハッカーから守る ホームルーターの安全を確保する4つのステップ――ESET (10/24)
http://www.atmarkit.co.jp/ait/articles/1710/24/news051.html
MS, Google, Apple, Aruba Networks, Cisco, Fortinet, FreeBSD Project, Juniper Networks, NETGEAR, OpenBSD, Red Hat, Ubuntu, WatchGuard, IODATA, BUFFALO, ヤマハ 他のパッチ情報リンク集こちらも参照
『昨年9月 ... 35ギガバイトの軍事文書が国防統合データセンター(DIDC)から流出 ...
北朝鮮はサイバー攻撃への関与を否定 ...
李氏によると、流出したデータには指導部の移動状況の把握や隠れ場所の封鎖の方法、空からの攻撃など、暗殺前の段階について記されている文書が含まれている。
』
『第三者のセキュリティーソフトウエアを介して侵入した可能性』
韓国製アンチウイルスだったとのこと
4台のサーバはAmazon Web Services(AWS)のストレージサービス「Amazon S3」でホスティング ...
サーバのWebアドレスさえ分かっていれば、パスワードなしでデータをダウンロード ...
データを発見したのは、セキュリティ企業UpGuardのサイバーリスク調査担当ディレクター ...
なりすましに必要となる秘密鍵やパスワードなど、さまざまなセキュリティ認証情報があったという。
パスワードにはテキストの形で保存されていたものもあった ...
AWSのKey Management System(KMS)でAccentureが使用するマスターキーも発見 ...
これが盗まれると、攻撃者はAccentureがAWSのサーバに格納している暗号化データを完全に制御できてしまう ...
「このKMSマスターキーで保護されている資産とインフラは、完全に侵入されたと思ってよい」(White氏)
あるサーバには、Accentureと同社の顧客の間の暗号化通信の複号に必要な鍵と証明書が格納されていた。Vickery氏によると、Accentureが「Google Cloud Platform」、「Microsoft Azure」にアクセスするのに必要だと思われる証明書も含まれていたという ... これが盗まれると、攻撃者はAccentureの社内ネットワークへのアクセスを可能にする仮想プライベートネットワークキーに加えて、クラウド資産へのアクセスを手に入れることができる』
『ハッキングは、NSAから諜報活動を請け負う企業の従業員が、NSAの機密情報の入ったデータを持ち帰り、カスペルスキーのソフトがインストールされた自宅のPCに保存したところ、ロシアのハッカーはカスペルスキーのソフトの脆弱性を使って、機密情報を盗み出したとWSJは結論づけています』
『Yahooが運営していたが“Yahoo”のブランド名を冠していない「Flickr」「Tumblr」といったサービスのアカウントも影響を受けるとみられる。関連 http://akasaka-taro.blogspot.jp/2016/12/yahoo10.html
なお、日本のヤフー株式会社は公式Twitterで、「Yahoo! JAPANのお客様への影響はない」とコメント』
「Exploit code for this vulnerability is publicly available, and the vulnerability is being currently exploited in the wild.」
#nmap --script-updatedb
脆弱性を見つけるには
$nmap --script smb-vuln-ms17-010 -p445 <target>
スクリプトは 'IPC$' tree に接続、FID 0 にトランザクション実行を試みる。
エラー "STATUS_INSUFF_SERVER_RESOURCES" が返ってくれば、
マシンは ms17-010に脆弱。
パッチされたシステムは "STATUS_ACCESS_DENIED"を返す。
スクリプトは IPC$ へのアクセスを要求する。
IPC$への匿名アクセスを制限しているシステムでは、
この脆弱性検査のために、認証情報を提供しなければならない(参照、下記)
$nmap --script smb-vuln-ms17-010 --script-args smbuser=<user>,smbpass=<pass> -p445 <target>
スクリプトのレポートを取得するには、verbosityを有効に
$nmap -v --script smb-vuln-ms17-010 -p445 <target>
結果は、次の通り:
Host script results:
|_smb-vuln-ms17-010: This system is patched.
システムが smb-double-pulsar-backdoorと呼ばれる
DOUBLEPULSAR を埋め込まれているか
検査するための NSEスクリプトがあります。
$nmap --script smb-double-pulsar-backdoor -p445 <target>
「Win 7, 8.1, 10で試して期待通りの動作。
問題に気づいたらpcapを送ってください。」だそうです。
https://github.com/cldrn/nmap-nse-scripts/wiki/Notes-about-smb-vuln-ms17-010
これも IPC$に接続試行しFID 0のトランザクション後、
"STATUS_INSUFF_SERVER_RESOURCES"が返ってきたら、MS17-010のパッチ未適用と判断。
もしMS17-010パッチが未適用だったら、本モジュールは DoublePulsar 感染有無をチェック。
デフォルトのサーバ設定だと、本モジュールには、有効なSMB認証情報は不要。
ユーザ "\" としてログオンし、IPC$ に接続できるので、とのこと。
https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010