いろんなまとめ

IT技術系のことを気が向くままに書いていきます。勉強会の感想とか

第18回ゼロから始めるセキュリティ入門勉強会に参加して

ここ1ヶ月のセキュリティに関する事故を分析してみた 

ytakahashi1228さん

 
実際どういう事故が起こってんのよってのを調査
 
・セキュリティ事故とは
情報漏えいやどこからか攻撃された、マルウェアに何台感染したといったこと
 
・事故情報の収集元
Security Next
 
集計の前提条件
2018/06/23 ~ 2018/07/23
ただし、漏えい事件に絞る。
 
集計結果
全52件 一日平均1~2件
 
集計結果
USB紛失 6件
紛失 9件
ご送信10件
盗難 3件
システム不備 3件
人的ミス 2件
フィッシング 2件
誤破棄 1件
誤記載1件
不明 1件
 
分析
 
ヒューマンエラーが約半数
 
ヒューマンエラーの全25件中
自治体が14件
一般企業5件
医療系4件
学術団体2件
 
ytakahashi1228さん個人的な感想
自治体への暗号化製品は需要があるかも、、、
 
13件のうち4件は同じニュースの記事
 
ローカルプロキシツール Burp Suite
hoits123さん
 
今日初めての勉強会での発表らしい。
 
Burp SuiteはSpider機能が弱いらしい。
 
Burp Suiteの基本的な機能の説明
 
Scanner
シナリオ再生(ログイン後しかクロールできない場合などで利用)
 
Intruder
定型化されたパターンによる診断を行う。
 
Repeater
Proxyで(この先は汚れていて読めない
 
Sequencer
セッションの推測しやすさを計測する。
 
Extender
独自の拡張をインストールできる。
(新しい仕様に追随できていない)
 
Burpの欠点
Scanner頼り
 
ある程度ツールで診断できるようになったら、以下の文献を参照して勉強するとよい。
The Web Application Hacker's Handbook
 
 
エクスプロイトキットについて調べてみた
sec-chickさん
 
エクスプロイトキット RIG EK
サイトを見ただけで感染させることが出来る。
2018年における主要なエクスプロイトキット
RIG EK
Magnitude EK
Grandsoft EK
 
この辺の記事にも同じような傾向があることが書かれている。
 
 
 
実際にExploitLitによって感染した際のトラフィックはtraffic.moeというサイトで確認できる。
通信をダウンロードし、Fiddlerで閲覧可能
 
ここからは、一つ例にとって説明。
RigEK->SmokeLoader->ZeusPanda ← バンキングマルウェア
 
トラフィックの怪しいポイント
Head部分に他URLへアクセスさせようとしている。
長いパス
JavaScriptでなにか実行しようとしている。
プログラムのようなものが記載されている。
LANDINGPAGEでFrashの脆弱性があったため、該当する脆弱性を攻撃するコードが実行されている。
 
レピュテーションサイトの評価(X-Force)
脅威度は0または1。
レピュテーションサイトで調査でも検知されない可能性がある。
 
対策
セキュリティパッチを最新にする。
アンチウィルスソフトを導入する
あやしいサイトにはアクセスしない。
 
急きょLT!

Proxyを体験してみよう。

 
Proxyの設定ってめんどくさい!
一発でProxyが設定できるツールがある。
 
Tunnel Bear
インストールする
土管をくりっくする
これだけ。
 
・・・Proxyとちょっと違うのではないかと思ったのは秘密。
 
ARPスプーフィング
tokorotenさん
 
ARPスプーフィングについての説明がいろいろあったんですが、、、
発表を聞くことに集中していたら、内容メモするのわすれちゃいました。(てへぺろ
 
今回も勉強会への参加人数は30人ほど。
まだまだ他の発表者の方と比べて、内容が薄いので、もっとがんばらねば。