May 15, 2021

CASB導入~運用、記事いろいろ

 “無法状態”のクラウド利用がもたらすリスク、知っていますか?CASBの活用で安心・安全な環境を (2018/10/09)

https://japan.zdnet.com/paper/20013091/30002810/

CASB: Cloud Access Security Broker


クラウドセキュリティの代表格、CASBのメリットと課題とは?

https://www.jbsvc.co.jp/useful/security/casb.html

CASBを導入する目的の多くは、シャドーIT対策

CASBの限界と考慮点
1.何が起きているかはわからない
2.クラウドにおけるセキュリティポリシーが明確でなければ意味がない
3.オンプレミス環境のデータ取り扱いによっては、漏洩盲点に


CASBを入れて終わりにしないために――導入後のCASBの運用業務を整理する  (2018/05/25)

https://enterprisezine.jp/article/detail/10728


May 3, 2021

Linuxのマルウェア、RotaJakiro、DreamBus、RedXOR

Linuxのマルウェア記事を三つ。
いずれも、検出方法がオリジナルサイト(英語)に詳しいので、併せて載せた。


Linuxバックドア「RotaJakiro」発見の報告 少なくとも3年前から活動か (05/01)

https://www.itmedia.co.jp/enterprise/articles/2104/30/news119.html

『TCP 443経由で、4つのドメインと通信する不審なバイナリファイルを検出した。 HTTPSと同じポートを使っているにもかかわらず、TLS/SSLが使われていなかった。』

この『4つのドメイン』他、一次情報サイト(↓)に詳しい。

RotaJakiro: A long live secret backdoor with 0 VT detection (04/28)

https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/

検出済みのマルウェアのファイル名等も載っているので、一度見ておくと良いだろう。


Linuxサーバが標的 検出しにくいマルウェア「DreamBus」  (01/26)

https://www.itmedia.co.jp/enterprise/articles/2101/26/news123.html

『セキュリティ製品の多くがDreamBusモジュールを検出できない

 DreamBusはワームとしての特徴を備えており、さまざまな方法を使ってインターネット経由ないし内部ネットワークにおいて、横方向へ広がる

DreamBus自体がモジュラー形式の構造を取っており、さまざまな機能を後付けできる仕組みになっており、拡張性が高い』


DreamBus Botnet – Technical Analysis

https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis

『The malware can spread to systems that are not directly exposed to the internet by scanning private RFC 1918 subnet ranges for vulnerable systems

DreamBus uses a combination of implicit trust, application-specific exploits, and weak passwords to gain access to systems such as databases, cloud-based applications, and IT administration tools』

検出(Detections)の為の IOCs(Indicators of Compromise)として、
SHA256 Hash値、Domain / IP address、ファイル名 や
Yara rules, Snort rules も提示されている。


Linuxに新バックドア「RedXOR」発見、増え続けるLinux標的マルウェアの脅威 (01/26)

https://www.itmedia.co.jp/enterprise/articles/2103/12/news149.html

『RedXORは現在のところ、中国の脅威アクターが標的とすることが多いインドネシアおよび台湾を狙っている .. この攻撃がかなり洗練されたものだ ..

「polkitデーモン」になりすましてサーバに居座る』


New Linux Backdoor RedXOR Likely Operated by Chinese Nation-State Actor (03/10)

https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/

Detection & Response として Intezer Labs社のfree community editionが使えるらしい。同製品のスクリーンショットが載っている。直感的で使いやすそうなインターフェイスではある。

Linux系antivirus の今日現在のグーグルヒット件数は次の通りだった。
・ClamAV 1.2百万件
・intezer  0.3百万件
・LMD maldetect  3.7千件
・Dr.Web Antivirus for Linux 0.8千件
・NOD32 Antivirus for Linux Desktop 30千件

IoCsとして、ドメイン/IP、プロセス名、作成されるファイルとディレクトリ等が掲載されている。