https://japan.zdnet.com/paper/20013091/30002810/
CASB: Cloud Access Security Broker
https://www.jbsvc.co.jp/useful/security/casb.html
CASBを導入する目的の多くは、シャドーIT対策
CASBの限界と考慮点
1.何が起きているかはわからない
2.クラウドにおけるセキュリティポリシーが明確でなければ意味がない
3.オンプレミス環境のデータ取り扱いによっては、漏洩盲点に
https://enterprisezine.jp/article/detail/10728
Linuxのマルウェア記事を三つ。
いずれも、検出方法がオリジナルサイト(英語)に詳しいので、併せて載せた。
https://www.itmedia.co.jp/enterprise/articles/2104/30/news119.html
『TCP 443経由で、4つのドメインと通信する不審なバイナリファイルを検出した。 HTTPSと同じポートを使っているにもかかわらず、TLS/SSLが使われていなかった。』
この『4つのドメイン』他、一次情報サイト(↓)に詳しい。
https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/
検出済みのマルウェアのファイル名等も載っているので、一度見ておくと良いだろう。
https://www.itmedia.co.jp/enterprise/articles/2101/26/news123.html
『セキュリティ製品の多くがDreamBusモジュールを検出できない
DreamBusはワームとしての特徴を備えており、さまざまな方法を使ってインターネット経由ないし内部ネットワークにおいて、横方向へ広がる
DreamBus自体がモジュラー形式の構造を取っており、さまざまな機能を後付けできる仕組みになっており、拡張性が高い』
https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis
『The malware can spread to systems that are not directly exposed to the internet by scanning private RFC 1918 subnet ranges for vulnerable systems
DreamBus uses a combination of implicit trust, application-specific exploits, and weak passwords to gain access to systems such as databases, cloud-based applications, and IT administration tools』
検出(Detections)の為の IOCs(Indicators of Compromise)として、
SHA256 Hash値、Domain / IP address、ファイル名 や
Yara rules, Snort rules も提示されている。
『RedXORは現在のところ、中国の脅威アクターが標的とすることが多いインドネシアおよび台湾を狙っている .. この攻撃がかなり洗練されたものだ ..
「polkitデーモン」になりすましてサーバに居座る』
Detection & Response として Intezer Labs社のfree community editionが使えるらしい。同製品のスクリーンショットが載っている。直感的で使いやすそうなインターフェイスではある。
Linux系antivirus の今日現在のグーグルヒット件数は次の通りだった。
・ClamAV 1.2百万件
・intezer 0.3百万件
・LMD maldetect 3.7千件
・Dr.Web Antivirus for Linux 0.8千件
・NOD32 Antivirus for Linux Desktop 30千件
IoCsとして、ドメイン/IP、プロセス名、作成されるファイルとディレクトリ等が掲載されている。
