2024年2月度 MBSD-SOCの検知傾向トピックス | 技術者ブログ | 三井物産セキュアディレクション株式会社
Ivanti Connect Secure(旧: Pulse Connect Secure)およびIvanti Policy Secureゲートウェイの脆弱性を狙った攻撃(1月分からの続報) 今月は、先月のトピックで報告した「Ivanti Connect Secure(旧: Pulse Connect Secure)およびIvanti Policy Secureゲートウェイの脆弱性」を狙った攻撃が増加しました。 1/10(米国時間)に、認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)が公開されて以降、新たに複数の脆弱性が公開されております。また、各脆弱性において、PoC(概念実証コード)が公開されており、今後も攻撃が継続することが推測されるため、当該製品を使用されている場合は、早急に対策されることをお勧めします。 表.
2023年12月度 MBSD-SOCの検知傾向トピックス | 技術者ブログ | 三井物産セキュアディレクション株式会社
WordPressのプラグイン「Backup Migration」の脆弱性を狙った攻撃 (CVE-2023-6553) 今月は、WordPressのバックアップ移行プラグイン「Backup Migration」の脆弱性(CVE-2023-6553)を狙った攻撃が増加しました。 本脆弱性は12/11(米国時間)に公開されたもので、攻撃者に悪用された場合、リモートから認証を回避して任意のPHPコードを実行されてしまう可能性があります。CVSS値(v3.1)のベーススコアは「9.8」、重要度は「Critical」と評価とされており、深刻な脆弱性に位置づけられています。該当のプラグインを利用している場合は、早急に修正済みのバージョンにアップデートすることをお勧めします。 下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは、12/14(木)に初検知しており、以降は継続して検知しています。ま
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
ドメインやサブドメインを調査する話(後編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
2023年7月度 MBSD-SOCの検知傾向トピックス | 技術者ブログ | 三井物産セキュアディレクション株式会社
Zyxel製ルータの脆弱性を狙った攻撃 今月は、Zyxel製ルータの脆弱性を狙った攻撃が増加しました。Zyxelルータの/bin/zhttpdコンポーネントの脆弱性を狙った攻撃となっており、攻撃者にリモートから任意のコードを実行されてしまう恐れがあります。 下図は、今年6月から7月末までの本脆弱性を狙った攻撃数の推移です。弊社SOCでは、2022年12月17日の初観測以降は、断続的に攻撃を観測していましたが、6月の中旬以降に攻撃が増加しています。 図. Zyxel製ルータの脆弱性を狙った攻撃の検知数推移(2023/6/1~7/31) 下図は、弊社SOCで実際に検知した攻撃のパケットペイロードです。wgetコマンドで不正なファイルを取得して実行を試みた通信となっています。本脆弱性の対象は、Zyxel製の複数のルータが対象となっています。該当製品を利用している場合は、最新のバージョンにアップデ
CSSインジェクション | 技術者ブログ | 三井物産セキュアディレクション株式会社
MBSDでWeb脆弱性診断の仕事をしている小山です。 初めてのブログ執筆となりますが、今回はCSSインジェクションという脆弱性について、脆弱性診断の仕事における視点を中心に書きたいと思います。脆弱性の特性上、クロスサイトスクリプティング(XSS)の基礎知識については前提とさせていただきますので、ご了承ください。 ちなみにですが、本記事は元々社内向けのLTとして作成した資料が下敷きになっていますので、弊社内での情報共有活動の一例としても参考にしていただければと思います。(去年にはこんなイベントも行われました) CSSインジェクションとは CSSインジェクションは名前の通り、本来のHTMLコンテンツ中には存在しないCSSを攻撃者が注入できる脆弱性です。XSSにおいて注入されるスクリプトが、そのままCSSに置き換わったものという理解でよいと思います。 しかし、この脆弱性診断の仕事においては、この
最新レポート | 三井物産セキュアディレクション株式会社
【2024年8月号 (2024年7月分)】 暴露型ランサムウェア攻撃統計 CIGマンスリーレポート 弊社(MBSD) の Cyber Intelligence Group(以下、CIG)のチームが日々集計している暴露型ランサムウェア攻撃の統計情報をマンスリーレポートとして毎月掲載していく。 本ページで公開するマンスリーレポートは、以前から継続し、同じ集計基準や分析観点で、MBSD社内限定の資料として長期にわたり毎月まとめ続けてきたものであり、より広い皆様に有効活用して頂きたく、この度あらためて一般公開に踏み切ったものとなる。2重脅迫を行う暴露型ランサムウェアを中心とした脅威動向の各種把握に是非活用してほしい。 ※事前の留意点として、ランサムウェア攻撃の集計を一般公開している海外などの一部インテリジェンスベンダーにおいては、被害組織に関する情報(URLや被害組織名の表記など)がリークサイト上
マルチバイト文字とURL | 技術者ブログ | 三井物産セキュアディレクション株式会社
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
ランサムウェア/攻撃グループの変遷と繋がり (Rev.2) | 技術者ブログ | 三井物産セキュアディレクション株式会社
本図は世界で確認されてきた主なランサムウェア攻撃グループ(※1)のうち、「リブランド」を軸とした複合的視点による組織間の繋がりを図示したものである(※2)。 本Rev.2は、2022年5月に公開し好評を頂いたRev. 1から、日々移り変わる様々な観点の関連情報を多数追加し大きくアップデートした更新版となる。現在までに確認されてきたランサムウェア攻撃グループに関するあらゆる繋がりを可能な限り盛り込んだ。 本図から、ランサムウェア攻撃グループの多くがお互いに何からの関連性を持ち活動している背景が浮かび上がる。CONTIやBABUKをはじめソースコードの流出やグループの解散/テイクダウンなどの影響が他の新種出現へ顕著に繋がる流れが見て取れる。一方、NIGHT SKYなどのように、周辺グループとの繋がりから特定国に帰属する攻撃者像が浮き上がってくるケースもある。全体を通して見え隠れするアフィリエイ
ラボ環境で観測したログイン試行攻撃の傾向から考える対策 | 技術者ブログ | 三井物産セキュアディレクション株式会社
MBSD-SOCではセキュリティ製品の機能検証やサービス企画のために、様々なラボ環境を運用しています。今回はラボ用ブログサイトの管理画面へのアクセス試行の傾向を確認し、どのような対策を取れるか考えました。 ラボ環境の準備 ラボ環境を準備する際に、不審なリクエストが着弾しやすくなるようにと考え、以下の点を工夫しました。 辞書にある汎用的な言葉を使ったドメインを取得し、ネイキッドドメインでサイトを公開 WordPressで構築し、管理画面(wp-login)を公開 レスポンスからWordPressバージョンやPHPバージョンなどが分かるようにした WordPressのREST APIは公開したままにした 記事投稿者の表示がWordPressのログインユーザ名となるように設定した 図:記事投稿者として表示されているユーザ名でそのままログイン可能に また、セキュリティ面の考慮もしています。 他所に
クラウドアカウント間におけるデータ転送の悪用 | 技術者ブログ | 三井物産セキュアディレクション株式会社
本記事については先日開催されたMBSD勉強会にて発表した「Abuse of Data Transfer between Cloud Accounts」の内容に関する記事です。 勉強会登壇時のスライド 概要 クラウドプラットフォームでは提供しているサービスごとに異なるアカウント間にてデータの共有や転送を行う機能が存在します。今回の記事ではそれらの機能を悪用して攻撃を行う手法について、検証や考察の結果をまとめています。記事中でもいくつか紹介していますが、このような攻撃手法を題材としたブログやツールなどが公開されており、今回はそれらの内容を参考にしつつ、自分で手を動かしてみた結果を記載しています。また、いくつかの手法については筆者が携わるペネトレーションテスにおける評価でも利用できるものであると考えています。 なお、本記事にて考察している攻撃手法については、クラウド環境下でのいわゆるPost-E
Androidアプリの静的テイント解析(FlowDroidを使ったICC分析の実施例) | 技術者ブログ | 三井物産セキュアディレクション株式会社
本稿ではAndroidアプリケーションの静的テイント解析ツール「FlowDroid」のICC分析機能を紹介します。 「テイント解析? ICC分析? 知らない単語ばかりだなぁ。」と思った方も、大丈夫です。それらの用語は本文で説明します(ただしAndroidアプリの基本的な知識があると、より理解しやすいと思います)。 Androidアプリをテイント解析できるとうたっているツールはいくつかありますが、ICC分析まで出来るものはなかなかありません。アプリを解析するうえで大変強力な機能であるICC分析ですが、今一つ知られていないのも事実です。本稿ではFlowDroidを使って、テストアプリのICC分析を追体験していただきます。さらに、現在も研究/開発途上にあるFlowDroidの現時点での課題もいくつか挙げました。本稿がこれからICC分析を試そうとする方々の一助になれば幸いです。 1.FlowDro
Log4Shellの事例から見直すセキュリティ対策 | 技術者ブログ | 三井物産セキュアディレクション株式会社
はじめに 2021年12月9日に、任意のコード実行ができるApache Log4jの脆弱性(Log4Shell:CVE-2021-44228)が公開されました。 この脆弱性は、非常に影響度が高く、HeartBleedやShellShockに並ぶとも言われました。また、脆弱性の公開から攻撃開始までが非常に早く、しかも、修正版にも何度も脆弱性が公開され、対応に多くの負担がかかるものでした。組織/システムによって、何も影響がなかったところ、対応が落ち着いたところ、まだまだ対応中のところ等あるかと思いますが、今一度セキュリティ対策について見直す機会になったかと思います。 そこで、次回以降、大きな脆弱性が公開された際にスムーズに対応できるようにするために、また、被害を最小限に抑えるために、今回のLog4Shellを例にして、いくつかの観点から対策案をご紹介します。 FWでのアウトバウンド制限 Log
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.mbsd.jp/2024/cig_monthly/MBSD_Ransomware_Statistics_CIG_MonthlyReport_2024_02_JPN_Rev.1.00.pdf
https://www.mbsd.jp/2023/cig_monthly/MBSD_Ransomware_Statistics_CIG_MonthlyReport_2023_10_JPN_Rev.1.00.pdf
https://www.mbsd.jp/2023/cig_monthly/MBSD_Ransomware_Statistics_CIG_MonthlyReport_2023_06_JPN_Rev.1.00.pdf
検出例から学ぶクロスサイトリクエストフォージェリ | 技術者ブログ | 三井物産セキュアディレクション株式会社
[PDF]ContiLeaksの概要まとめ Reb.3 / 三井物産セキュアディレクション株式会社 サイバーインテリジェンスグループ 吉川孝志 菅原圭
サイバーセキュリティ関連 注目報道調査(2021年11月度) | 技術者ブログ | 三井物産セキュアディレクション株式会社
