「セキュリティねた」カテゴリーアーカイブ

log4jの脆弱性(CVE-2021-44228)は意外とIPSやWAFでの検知が難しいかも

ども。こんばんは。

週末にビッグな脆弱性の話題が飛び込んできました。

通称log4shellと呼ばれるこの脆弱性はApache Log4j 2.15.0より前の2系のバージョンに影響があるとされています。

サーバサイドはじめ多くのJavaで書かれたプログラムに影響するのではないでしょうか。

【参考】

この脆弱性の厄介なところは、外部からクラスファイルを読み込めてしまうことによる影響と内部のロギングに利用していることで、影響範囲が膨大なところではないでしょうか。
例えばデバッグ目的でユーザからの入力をログに出したりするようなケース…ありえすぎる…

脆弱性のあるlog4jにとある文字列が渡されることで、JNDIという機能を通じて外部のladp/ldapsサーバ、dnsサーバ、rmiサーバと通信してしまう、更にladp(だけ?)サーバの応答を細工することでクラスファイルを読んで実行してしまうようです。
※ldapじゃなくてdnsにするとdnsクエリが飛びます。脆弱性が有効か試す上ではdnsが利用される可能性もありますね。

JNDI Lookupについて調べてみると「jndi:ldap」という感じの文字列が含まれるのでこれをWAFとかで弾いちゃえばいいじゃん、という気がしますが、そんなに単純でも無いようで、もうちょっと考えないとWAF やIPSが比較的簡単にバイパスされる恐れがあります。

以下参考ツイート。

実際に以下のサイトを参考においらもdocker上で脆弱なspring-bootを使ってテストしてみました。

https://github.com/christophetd/log4shell-vulnerable-app

参考ツイートはもちろん、こんな感じでもexploitは成立しました。
※別で用意したサーバにちゃんとldap通信が飛んできました。

${lower:j}ndi:ldap〜

現在各セキュリティ製品ベンダーから続々と対応するシグネチャが出ていると思います。

上記のようなパターンにも対応できているのかは要確認だと思われます。(実際においらは検証しましたが細かくは書きません…)

log4jの対策済みバージョンへの更新はもちろんですが、上記のようなバイパスの可能性はあるとしても、IPSやWAFがある場合は、シグネチャを有効化しておくことに越したことはないとは思います。今後上記のようなパターンに対応してくる可能性もあると思いますので。

【追記】
ちなみに、影響を少しでも抑えるという意味では、ファイアウォールやiptables/firewalldなんかで不要なLDAP通信を遮断するのも有効ではないかと思われます。そもそもインターネット直抜けでLDAP通信なんてそんなに無いだろうし、あったとしても宛先が限定できると思います。

クラウドとかだとアウトバウンド方向の通信の制御は最近あまりしない気もしますが、一昔前だと割と外向きもファイアウォールで制御してた気がするんですよね。
今回エクスプロイトが成立するかのチェックにDNSが使われるケースがありますが、DNSも本来であれば設定されたDNSサーバ以外のDNSサーバへの通信は塞いでおけばという気もします。
※昔気質の「DMZ」があるイメージのとあるネットワーク屋の感想ですが。。。

 

ではでは。またの機会に。

JCB、LINE、Amazonを騙るフィッシングとAVアラート

ども。こんばんは。

手元に届いたフィッシングメールや面白そうなメールを気が向いたときに投稿するセキュリティねたのコーナーです。

今回もすべてYahoo!メールのスパムフィルタで迷惑メール判定されています。

■JCBを騙るフィッシング(2019/12/03)

Recieveヘッダ

Received: from 193.47.34.141 (EHLO alias28s190314.cloud.flynet.pro) (193.47.34.141)
by mta035.mail.bbt.yahoo.co.jp with SMTP; Tue, 03 Dec 2019 04:56:49 +0900
Received: from [112.48.9.111] (helo=xwyvebu)
by s190314.cloud.flynet.pro with esmtpsa

メール内容

From: MyJCB <mail@qa.jcb.co.jp>
To: xxxx <xxxx@yahoo.co.jp>
Subject: 【重要】お客様の【MyJCBカード】が第三者に利用される恐れがあります。
X-Mailer: Microsoft Outlook 16.0

===================================
本メールはJCBカードのご利用にあたっての、大切なご連絡事項です。
そのため、「JCBからのお知らせメール配信」を「希望しない」に
設定しているお客様へもお送りしています。
===================================

いつもJCBカードをご利用いただきありがとうございます。

弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。

このたび、弊社の不正検知システムにおいて、現在、お客様がお持ちの
JCBカードのご利用内容について、第三者による不正使用の可能性を
検知しましたので、ご連絡を差しあげました。

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、
なお、ご契約いただいているカードについては、第三者による不正使用の
可能性がございますので、カードのご利用を一時的に停止させていただいている、
もしくは今後停止させていただく場合がございます。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

至急、MYJCBサービスに修正情報を再登録してください

https:my.jcb.co.jp/Login&ibi=jp.co.jcb.my&isi=1097001344&apn=jp.co.jcb.my 

===================================
弊社におけるセキュリティー対策について

弊社では、カードの不正使用を未然に防ぐためにさまざまなセキュリティー
対策を実施しており、今回のご案内も未然防止策のひとつです。
詳細は弊社ホームページ:「安心してご利用いただくために」をご参照ください。

===================================

今後ともJCBカードをご愛用くださいますようお願い申しあげます。
■本件に関するお問い合わせ
│株式会社ジェーシービー
│JCBインフォメーションセンター
│東京 0422-76-1700
│大阪 06-6941-1700
│福岡 092-712-4450
│札幌 011-271-1411
|※9:00AM?5:00PM  年中無休
|※電話番号は、お間違いのないようおかけください。
|※一部の電話機で利用できない場合があります。

リンク先は以下の通りでした。

hxxps://www[.]mzthys-mycqsarcb[.]xyz/

■相変わらずよく届くAmazonを騙るフィッシング(2019/12/12)

Receiveヘッダ

Received: from 104.148.4.211 (EHLO mail02.46f97e45a4aadacc.xyz) (104.148.4.211)
by mta033.mail.bbt.yahoo.co.jp with SMTP; Thu, 12 Dec 2019 05:44:47 +0900
Received: by mail01.46f97e45a4aadacc.xyz id hu5ak60f27s4

メール内容

Sender:account-update@amazon.co.jp
From: Amazon.co.jp <account-update@amazon.co.jp>
To: xxx <xxx@yahoo.co.jp>
Subject: 【重要】Аmazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認

Аmazon お客様   xxx@yahoo.co.jp

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。

お知らせ:パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon

Аmazonですよ。AmazonじゃなくてАmazon。
AがА(キリル文字)になってます。

ログインアイコンのURLは以下の通りでした。

hxxps://www-amazon-co-jp[.]cbc737ce76d4ce7a94a5fc2e1951b9ba.buzz/?wuq7nxee8ifdvwys=uorfsjkb&tgnb05rv=xxx@yahoo.co.jp&zthd5mdyoyrezggr=oscjoj20191211xxx@yahoo.co.jp

 

■いっぱいきたLINEを騙るフィッシング(2019/12/03 ,12/01,11/30,11/29ほか)

Receiveヘッダ

Received: from 118.167.128.138 (EHLO kzvij.info) (118.167.128.138)
by mta092.mail.bbt.yahoo.co.jp with SMTP; Tue, 03 Dec 2019 09:26:29 +0900

メール内容

From: LINE <rnjcqsxa@kzvij.info>
To: xxx <xxx@yahoo.co.jp>
Subject: LINEにご登録のアカウント(名前、パスワード、その他個人情報)の確認 8:27:15
X-Mailer: Microsoft Outlook 16.0

お客様のLINEアカウントに異常ログインされたことがありました。お客様のアカウントの安全のために、ウェブページで検証してお願いします。

こちらのURLをクリックしてください。安全認証

hxxps://www[.]sdvagkysh[.]jp/gpoy/r9fth/for

この時、旧端末のLINEへ公式アカウント(LINE)から「他のスマートフォンであなたのアカウントが使用されようとしています」というメッセージが届きますが、もちろん自分で操作していることなので、そのまま手順を進めましょう。

※URLの安全認証有効期限は毎日8時から15時までです。

本文のURLがすでに怪しいのにリンク先はさらに怪しい。

hxxps://www[.]rhnkds[.]com/

掲載したメール以外の、本文のURLとリンクの組合わせは以下のようなものがありました。

hxxps://www[.]vsdvagkyshojn[.]com/gpoy/r9fth/forsde
→hxxps://www[.]roskco[.]com/

hxxps://www[.]cdvagkyshojn[.]com/gpoy/r9fth/forsd
→hxxps://www[.]tdwakuok[.]com/

hxxps://www[.]cdvagkyshojn[.]com/gpoy/r9fth/forsd
→hxxps://www[.]tdwakuok[.]com/

hxxps://www[.]gdvagkyshojn[.]com/gpoy/r9fth/forge
→hxxps://www[.]iowlpaw[.]com/

■こんにちは!さようなら!AVアラート(2019/11/18)

お前のとんでもない姿をカメラに収めたぞ的なやつ。

Receiveヘッダ

Received: from 77.65.69.134 (EHLO d69-134.icpnet.pl) (77.65.69.134)
by mta033.mail.bbt.yahoo.co.jp with SMTP; Mon, 18 Nov 2019 17:15:10 +0900

メール内容

From: <liqpubso@gaina.ne.jp>
To: <xxx@yahoo.co.jp>
Subject: AVアラート
X-Mailer: Microsoft Office Outlook 11
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17514

こんにちは!

私のニックネームはeziechiele29です。
私は半年以上前にこのメールボックスをハッキングしました (あなたはこの手紙をあなたから受け取った),
私が作成したウイルス(トロイの木馬)をあなたのオペレーティングシステムに感染させ、あなたを長い間監視してきました。

その後もパスワードを変更したとしても、それは問題ではありません。私のウイルスはあなたのコンピュータ上のすべてのキャッシングデータを傍受しました
私のために自動的にアクセスを保存しました。

私はすべてのあなたのアカウント、ソーシャルネットワーク、電子メール、ブラウジング履歴にアクセスできます。
したがって、私はすべてのあなたの連絡先、あなたのコンピュータからのファイル、写真、ビデオのデータを持っています。

私はあなたが時折訪れる親密なコンテンツサイトに最も襲われました。
あなたは非常に野生の想像力を持っている、私はあなたに言う!

あなたの喜びと娯楽の間、私はあなたのデバイスのカメラを通して、あなたが見ているものと同期してスクリーンショットを撮りました。
何てことだ! あなたはとても面白くて揺らめいています!

私はあなたの連絡先のすべてがこれらのスクリーンショットを取得するのを望まないと思いますよね?
もしあなたが同じ意見を持っていれば、私は805ドルが私が作った汚れを破壊するのにかなり公正な価格だと思います。

指定された金額を私のBTCウォレット(Bitcoin)に送ってください: 127eozs1DPZX4CtkPB3LrUAJ8RRvqUPJLd
上記の金額を受け取るとすぐに、私はデータが削除されることを保証します、私はそれを必要としません。

そうしないと、これらのファイルとサイト訪問の履歴があなたのデバイスからすべての連絡先に送信されます。
私はすべてのあなたの電子メールの対応を保存しました! これはあなたの連絡先にも送信されます!

あなたがそれを読むとすぐに – 私はそれについて知るでしょう!
あなたは50時間持っています!

私はあなたのことを覗き込む多くの仕事をしてきました! あなたはセキュリティを見ない!
実績のあるリソースだけに行き、どこにでもパスワードを入力しないでください!
さようなら!

 

ではでは。またの機会に。

三井住友銀行を騙るフィッシングとAmazonを騙るフィッシング二本立て

ども。こんばんは。

久々にセキュリティねたです。

大体先に誰かが載せてるので書かないですがフィッシングネタです。

着弾したメールが三井住友銀行を騙るものと、Amazonを騙っているのになぜかメールアドレスが三井住友銀行風なものが立て続けに来たので載せてみます。
※両方ともYahoo!メールに届いており、Yahoo!メール上で迷惑メールとして処理されています。

増税前なんでそういう流れもあるのかなー。

では一通目。Amazonを騙りプライムの支払い方法の更新を促し、おそらくクレジットカード情報などを窃取しようとするものかと推測されます。

Receiveヘッダ

Received: from 23[.]247[.]2[.]235 (EHLO a6[.]smdcbc15[.]jp) (23.247.2.235)
by mta732.mail.djm.yahoo.co.jp with SMTP; Fri, 20 Sep 2019 02:16:53 +0900

以下メールの内容。

From: Amazon.co.jp <smbc@a6[.]smdcbc15[.]jp>
To: xxxx@yahoo.co.jp 
Date: 2019/9/20, Fri 02:16
Subject: Amazonアカウントを利用制限しています。xxxx@yahoo.co.jp

お支払い方法の情報を更新してください。Update default card for your membership.

マイストア    |  タイムセール    |  ギフト券

xxxx@yahoo.co.jp様 

Amazonプライムをご利用頂きありがとうございます。お客様のAmazonプライム会員資格は、2019/09/19に更新を迎えます。お調べしたところ、会費のお支払いに使用できる有効なクレジットカードがアカウントに登録されていません。クレジットカード情報の更新、新しいクレジットカードの追加については以下の手順をご確認ください。 
アカウントサービスからAmazonプライム会員情報を管理するにアクセスします。
Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインインします。
左側に表示されている「現在の支払方法」の下にある「支払方法を変更する」のリンクをクリックします。
有効期限の更新または新しいクレジットカード情報を入力してください。
Amazonプライムを継続してご利用いただくために、会費のお支払いにご指定いただいたクレジットカードが使用できない場合は、アカウントに登録されている別 のクレジットカードに会費を請求させて頂きます。会費の請求が出来ない場合は、お客様のAmazonプライム会員資格は失効し、特典をご利用できなくなります。 

Amazon.co.jpカスタマーサービス 

  支払方法の情報を更新する   

いくつかリンクが張ってありリンク先はいずれも以下のようですが、すでにDNSレコードがない模様です。

hxxps://amaoeaomeacjp[.]com/

 

続いて2通目。三井住友銀行を騙り、SMBCダイレクトの情報を窃取しようとするものかと推測されます。

06-6223-6635は、実際に存在する三井住友銀行のカード発行部?のようです。セキュリティ強化部って・・・。流石にないと思う。。。

ちなみに「smbcajp[.]com」もすでに名前解決ができないようです。

Receiveヘッダ。1件目と似通っていますね。

Received: from 23[.]247[.]114[.]211 (EHLO a5[.]smdcbc22[.]jp) (23.247.114.211)
by mta703.mail.djm.yahoo.co.jp with SMTP; Sun, 22 Sep 2019 20:22:18 +0900

以下メール内容。凝ってますね。凝ってるというか本物のコピペですかね?

From: 三井住友銀行 <smbc@a5[.[smdcbc22[.]jp>
To: xxxx@yahoo.co.jp 
Date: 2019/9/22, Sun 20:21
Subject: 【重要】「三井住友銀行の口座」カード・通帳一時利用停止、再開のお手続きの設定してください。xxxx@yahoo.co.jp

消費税率引き上げに伴うSMBCダイレクトの各種手数料改定について、お客様の【三井住友銀行の口座】セキュリティ強化、カード・通帳一時利用停止、再開のお手続きの設定してください。

ご入力いただきました内容で所定の審査をすすめさせていただきます。
ご確認については、こちらからご確認ください。
 hxxps[:]//smbcajp[.]com
(ご注意)
このメールアドレスは送信専用です。
返信をいただいてもご回答できませんのでご了承ください。
★☆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━☆★
このメールは、【三井住友銀行の口座】セキュリティ強化、カード・通帳一時利用停止、再開のお手続きの方へ送信させていただいております。
ご不明な点がございましたらお手数ですが下記までご連絡をお願いいたします。
───────────────────────────────────
三井住友銀行株式会社
セキュリティ強化部 06-6223-6635
受付時間:9:00?17:00 (土・日・祝・12/30・1/3休)
★☆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━☆★

※再開のお手続きのお申込みに際して、会員規約第46条に則り、貸金業法第17条
第6項および同法第18条第3項に規定された一定期間における貸付け及び
弁済その他の取引の状況を記載した電磁的書面を「ご利用代金明細書」で
通知することについて同意いただいたことをお知らせ致します。

最近、「貴様」とか書いたふざけたメールは減りましたが、本物っぽいのが増えており、油断すると踏みそうになります。

上記2件とも、9/23時点リンク先が死んでいるようですが、ドメイン自体は直近で取得されたようですね。数字部分を変えて複数ありそう(未確認です)。

ちなみに、メールサーバは両方ともglobalfrag.comのネームサーバに逆引き登録されています。多分アメリカのレンタルサーバ?かな。

ではでは。またの機会に。

【雑記】みのり隊に入ってしまった。WarpDiveがイケてる。Bルート申し込み。他。

ども。こんばんは。

雑記です。

■おいら今日から隊員だ!

鈴木みのりオフィシャルファンクラブ「みのり隊」

に入ってしまいました。

タイミング悪くオープン記念グッズの注文はできませんでした・・・。

まぁそれはいいや。ファンクラブなんてまじで生まれて初めてだわ。

■WarpDiveがイケてる

WarpDiveが結構いけてます。

参考:攻殻機動隊の「タチコマ」が不正サイト接続をブロック – 「WarpDrive」実証実験がスタート

でも何を止めてくるのかはよくわからない。。。

以下レイバンのフィッシングサイトを表示した様子。

まぁそんなことはどうてもいいんだ。攻殻機動隊ファンとしては入れててもいいんじゃないかと。

なお、Chromeの拡張だけじゃなくて、常駐アプリも動くようです。
常駐アプリが落ちてるとブロック機能が使えないみたいですね。

以下常駐アプリを停止した状態。

■Bルート申し込み

2018/6/1ついに我が家もスマートメーターになりました!

ということで、Bルートサービスに申し込み!Wi-SUN対応のなにかをラズパイとかに付けるんだ!

詳細は後日書きたいですが、Bルート申し込みの前にでんき家計簿にも申し込みました。
※Bルート申し込みには、提供地点特定番号というのが必要で、通常なら電気の検針票に書いてるのですが、全部すててしまっており・・・。でんき家計簿から見られるらしい、ということで申し込みました。次回の検針票がポストに入るよりはでんき家計簿の登録完了のほうが早いかな、と思ったらビンゴでした。
Bルートは引き続きID待ちです。

■WordPressの不調が治ったぽい。

(解消)現在トップページの表示に時間がかかっています。

↑なおりました。JetPackの何かが悪さをしていたのか?postの取得にえらい時間がかかっていた模様です。

ではでは。またの機会に。

 

 

【雑記】WF-1000Xファームウェア更新とか散財のコト。他。

ども。こんばんは。

雑記です。

■WF-1000Xファームウェア 2.0.0

何が修正されたのかイマイチ不明。

普通に更新完了。なんやかんや20分くらいかかった。

このアップデートには直接関係ないのですが、HTV33(HTC U11)は、Android 8.0アップデート時にAACに対応していた模様です。

そもそもAndroid 8.0でaptXとかのネイティブ対応というのがあるみたいですね。

全く気づいていませんでしたが、これを機にSBCからAACに変更しました。音質の違いはあんまりわからない。。。

あと、開発者モードを有効にするといろいろ設定できます。

■散財のコト

えーと、遅ればせながらCrosswalkのCDを買いに行きました。

そしたら思いの外散財しました。。。

鈴木みのり/Crosswalk/リワインド ¥1,404
LiSA/LiSA BEST -Day- ¥4.610(※)
LiSA/LiSA BEST -Day- ¥4.610(※)
映画『聲の形』 [Blu-ray Disc] ¥5.050(※)
打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc] ¥4,660(※)

中身の話より前に少し。
↑で※のついてる商品ですが、ヨドバシ.comほほうが安いです。
買うときに全く気づきませんでした。。。

【ヨドバシ,comの価格(2018/5/27 19時時点)】
LiSA/LiSA BEST -Day- ¥4.380(-¥230)
LiSA/LiSA BEST -Day- ¥4.380(-¥230)
映画『聲の形』 [Blu-ray Disc] ¥4,610(-¥440)
打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc] ¥4,560(-¥100)

合計でちょうど¥1.000違います。

うーん。わざわざ店舗行かなきゃ良かったという気持ちになってきますね。。。。
ちなみにヨドバシ.comで注文して店舗受取りだと、安い方の金額になるんだとか。(ちゃんと調べてませんが。。。)

皆さんもヨドバシで買い物するときは気をつけてくださいね。

前置きが長くなりましたが、それぞれちょっとだけご紹介です。

・鈴木みのり/Crosswalk/リワインド
やっと買いました!

あまんちゅ!盤は店頭在庫残り1でした!さくら盤はもう少し在庫があるみたい。
うーん、本当にいい曲ですね。みのり隊(オフィシャルファンクラブ)入ろかな・・・。

・LiSA BEST -Day- & -Way-


LiSAのベストアルバム!
それぞれ初回限定版でBD付きです。
完全のノリで買ってしまいました。。。
ただ、LiSAの曲で「best day, best way」が一番好きなので、まぁこれは仕方ないのですね。タイトルにされちゃうと。

・映画『聲の形』 [Blu-ray Disc]


これも完全にノリで買ってしまいました。
ただ、漫画が出た頃にちょっと読んだ記憶があり、気にはなっていました。
まだ見てないですが・・・。

・打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc]


これは普通にかいました。
岩井俊二監督の原作ドラマがあるそうですね。
Amazon Primeビデオで見ることができましたので、あわせて見ました。
オリジナルの「なずな」役は奥菜恵だったんですね。

アニメのなずなと同様、ちょっとだけ大人びた感じが出てていいですね。

興味のある方はどうぞ

打ち上げ花火、下から見るか?横から見るか? – New Color Grading – 
http://amzn.asia/c7QaCSY

また、主題歌の「打上花火」と最後に流れる「Forever Friends」(※)はAmazon Musicで聞くことが出きます。
※オリジナルのREMEDIOS、アニメ版のDAOKOのカバーの両方とも聞けます。

うーん、Amazon Prime様様ですね。

内容はそこそこ楽しめました。

■ヨドバシ.comのドメインを間違えると・・・

おまけです。

さっき間違って「yodobasi.com」にアクセスしてしまったら、リダイレクトされて、偽警告に飛ばされてしまいました。

多分こんな感じでしょうか。

yodobasi[.]com

ww8.yodobasi[.]com

clearpe[.]com

87a2f88080603249073f-e05297f9016588483c7a43eab27a61b0.r12.cf1.rackcdn[.]com

みなさんも気をつけてくださいね。
※多分OSとかブラウザみてると思うので、それぞれの環境ごとに表示は違うと思います。

余計なことせずに閉じれば大丈夫です。ビープ音が鳴るのでびっくりしますが。。。

ちなみに「e.tre456_worm_osx」で検索してみるといくつかヒットしますね。

参考:Macのsafariで怪しげなウイルス警告が出た|toshiboo’s blog

最近こういう偽警告本当に多いです。まだちゃんと調べてないのですが、価格.comとかでも特定の広告クリックしてしまうと偽警告に飛ぶことがあるみたいです。
まとめサイトとかの広告なんかも偽警告にリダイレクトされるの多い気がしますね。

今度調べてみようかな。

ではでは。またの機会に。

 

 

 

 

 

おらのアカウントシリーズ – おらのmixiアカウントが乗っ取られただよorz

ども。こんばんは。

不名誉なシリーズですが・・・。

おらのTwitterのアカウントが乗っ取られただよorz

おらのFacebookのカウントが乗っ取られただよorz

に続いてmixiが乗っ取られました。

見事にレイバン・・・ではなく、オークリーしました。オークリーってなんだ?有名なのかな?

やられた内容としては恐らく以下の2つ

・つぶやきへのスパム投稿
・マイミクへのスパムメッセージ送信

と思われます。久々に自分のmixiの糞痛ぇ自己紹介やアイタタな日記をみて萎え萎えですが、ちょっと調査しました。

しっかしアイコンも懐かしいですね。大阪日本橋のキャラクター?だったかな・・・。

そしてマイミクの皆さんごめんなさいm(_ _ m)

【つぶやき】

つぶやいちゃった内容はこんな感じ。(2018/5/11 18:22につぶやきました。)
※原文も途中で切れています。

オークリー サングラス 今日限り活動特価2499円 三つを買うなら、配達無料 hxxp://www[.]oakosuns[.]com 利用期限は本日23時59分まで!お見逃しな
2018年5月11日 18:22 全体に公開 削除

【メッセージ】

件名

オークリー サングラス 今日限り活動特価2499円

本文

Oakleyのサングラスが好きですか? 
オークリー サングラス – 世界最高峰の眼部保護 
今日限り活動特価2499円!80%の割引 
三つを買うなら、配達無料 
hxxps://bit[.]ly/2It6Qwe
利用期限は本日23時59分まで!

URLは短縮URLサービスのbitly使われており、bitlyは後ろに「+」をつけると短縮URLの情報が見れるらしいので試してみました。

展開後はこんな感じです。

hxxp://www[.]oakosuns[.]com/?gocmkwht

「www[.]oakosuns[.]com」についてはオークリーの偽サイトみたいですね。

whois的には最近登録されたようで、中国系のようです。

日本語がちょっと怪しいけど、まぁまぁよくできてますね。
画像とかのソースとかまでは見ていません。
あと、メッセージ側のにはつぶやきと違って短縮URLの展開後に上記URLにパラメータが付与されていましたが、このパラメータの有り無しの違いは良くわかりません。出て来る商品が変わってる?気もしますね。そこまでは調査してません。

本物(http://jp.oakley.com/)?はこんな感じみたいです。

で、mixi上にもちょうとこの日お知らせが出ていました。

・スパム投稿にご注意ください。

まぁもうここ数年多方面からも言われてますが、結局これ使い回しが原因なんですよね。。

ブログには書いてませんでしたが、過去Yahooも同じパスワードでやられています笑
Yahooは2011年5月にやられてますね。まだその情報を使いまわしたリスト型攻撃がされてるんですかねー。

で、今回はどんな感じでやられたかを確認してみます。

mixiでの、セキュリティ関連の情報(ログイン履歴など)は、

設定変更→アカウントアクティビティから見ることができます。

こんな感じになっています。(黒塗りは自分です。

ログイン失敗は試した感じ記録されないようです。まぁ一発で入られたんだろうな。

)

ログイン元IPアドレス(2種類ありました)

2018/5/11 11:24
60[.]154[.]180[.]74  (softbank060154180074[.]bbtec[.]net)

2018/5/11 18:22←おそらくつぶやいた方
126[.]73[.]109[.]228 (softbank126073109228[.]bbtec[.]net)

まぁ、多分普通のPPPoE用のIPアドレスでしょうねぇ。

とりあえず、パスワードは変更しました。

ちなみに今回やられたメールアドレスで、パスワードの流出が調べられる「Have I Been Pwned」でチェックしてみると・・・

オーノーorz

皆さんも使いまわしはやめましょうね。

ではでは。またの機会に。

ーー追記ーー

今回は友人からの指摘で気づきましたが、こんなメールがちゃんと届いていました。

あと、そこそこ被害が報告されてますね。

mixiにリスト型攻撃: 独房の中

Dropboxを騙るスパムがきた

ども。こんにちは。

見に覚えのないアカウント確認メールが何通か届きました。

From: Dropbox <no-reply@dropbox.com>
件名:Please verify your email address
本文:

Hi [xxx],

We just need to verify your email address before your sign up is complete!

Verify your email

Happy Dropboxing!

送信元MTAはこんな感じ。4通か同じ内容のものが来ていました。

1通目
Received: from customer-COB-186-70.megared.net.mx (unknown [200.52.186.70])
2通目
Received: from [196.0.102.250] (unknown [196.0.102.250])
3通目
Received: from 189.215.225.170.cable.dyn.cableonline.com.mx
(189.215.225.170.cable.dyn.cableonline.com.mx [189.215.225.170])
4通目
Received: from cliente87.rede148.ftth.d1telecom.com.br

「Verify your email」がリンクになっています。

この辺に飛ばされる模様。
※4通とも違う模様。

1通目
hxxp://campusvoltaire[.]com/fdropbox.html

2通目
hxxp://fpotamitis[.]gr/fdropbox.html

3通目
hxxp://autoecoledufrene[.]com/fdropbox.html

4通目
hxxp://farthurdenniswilliams[.]com/fdropbox.html

ちょっと、出先のため詳細にソースを終えていませんが、かなり精巧で間違ってクリックしそうでした。。。

ご注意ください。

ではでは。またの機会に。

なんか珍しい7z形式の添付付きスパムは新しいタイプのLocky(.lukitus)

ども。こんばんわ。

久々にスパムネタ。

連続で7zの添付ファイル付きスパムが来ました。

結論両方ともvbsからのLockyでした。
拡張子が「.lukitus」になるLockyって最近流行りなんですかね?
別のマクロウイルスでもLockyがきてました。

一昨日くらいから増えた印象です。

ちょうどそのくらいからネットにも出回っていますね。
※うちのサーバにも最新っぽいマルウェアきててちょっとうれしい。

【関連情報】
Locky ransomware resurges with Diablo and Lukitus
https://www.webroot.com/blog/2017/08/17/locky-ransomware-resurges-diablo-lukitus/
http://www.zdnet.com/article/locky-ransomware-is-back-from-the-dead-again-with-new-diablo-variant/

 

一つ目

ファイル名:IMG_6939.7z
MD5:8e160db33127cd5bfe2f4bc08ca3fd8c
SHA1:ef234c0cbdffd032023985a9895ce98ac612da5c

7zを解凍すると以下のファイルが出て来る。
至って普通のダウンローダーって感じですね。

ファイル名:IMG_0109.vbs
MD5:dd4dfd04a5d9bea3852834612439c7bd
SHA1:8c00b7bb8dd4ad4f6520eacaf7540d9af703d10a

https://malwr.com/analysis/MDcxNjJkYmFlYmZkNGM5N2JmMDgwZTJiYmViNzQ4MTQ/

落としてくるファイルがこれ。

https://malwr.com/analysis/Y2ViM2QxMDhiY2VhNGVlZDliODg4ZWIwYzc5OTU3ZjY/

Malwrだとわかりにくいですが、こっちだとはっきり暗号化されてるのがわかりますね。

https://www.hybrid-analysis.com/sample/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

https://www.virustotal.com/ja/file/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c/analysis/

2つ目

同じくダウンローダーでした。
落としてくるファイルはこれみたい。

https://www.hybrid-analysis.com/sample/ee222c0b66961c8b10ab2f92af2872d72e369a4cb315b496b0343b6004c19eed?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

なんで、7zなんだろう。

ではでは。またの機会に。

 

 

Macネタ – 13 – Bitdefenderなかなかいい!

ども。こんばんは。

昨日入れたBitdefenderですが、なかなかいいじゃないですか。

というのも、今まで来ていたスパムメールの添付ファイル(おもにマクロウイルス)って、Integoじゃ全く反応しなかったんですが、ちゃんと反応しますね。

ん?これはIntegoがいまいちだっただけなのか・・・?

まぁmacOSには影響ないマクロウイルスではありますが。。。

これは買いますわ。

ではでは。またの機会に。

Macネタ – 12 – macOSのAntiVirusとかFortiClientとか

ども。こんばんは。

さて、久々のMacネタはアンチウイルス(ウイルス対策)です。

さようならIntego
こんにちはFortiClient
やっぱりさようならFortiClient
こんにちはBitdefender

という話です。

まずは、Intego。先日有効期限が切れました。
※購入時の話はここで。

で、Intego Mac Internet Security X9やめます。

パターン更新頻度もあんまり多くなかったし、パーソナルファイアウォール(プロセスの通信があるたびに許可、拒否を聞いてくれる)は良かったんですが、ちょっといいことも悪いこともなかったかなという印象。
そんなにパフォーマンスは悪くなかった気がしますけどね。

なので、まずはアンインストールします。

アンインストールはインストール時のdmgからやらないと行けないとサイトに書いていました。
dmg残しておいてよかったよ。

■Intego Mac Internet Securityのアンインストール

さて、アンインストールはすんなりいきました。

■FortiClientのインストール

これ、かなりハマりました。

先に要点をまとめますと・・・

・FortiNetのダウンロードサーバが弱い!何度もチャレンジすべし
・FortiOS(FortiGate側のバージョン)とFortiClientのバージョンがずれてるとAVとかが有効にならずVPN接続のみになってしまう
・FortiGate側は自分のFortiOSに対応してるかどうかなど関係なく最新のFortiClientに更新されてしまう。
※うちの場合だと、FortiOS 5.2だったのに、FortiClient 5.6系になっていた。以下参考画面。


・古いFortiClientはダウンロードできない。SCSKさんのサイトからダウンロードする
※SCSKさん毎度感謝です!
・FortiOS 5.2に対応する最新のFortiClientは5.4.3(FortiClient_5.4.3.529_macosx.dmg)だった。
※リリースノートでは5.4.3だとすでにFortiOS 5.2は対応してないように読み取れるが実際はうまく行ったっぽい
・FortiGateで、FCT-Accessを有効にしておく(←これは認識していた)。FortiClientがFortiGateと通信するポートが8010。これ、ちゃんと登録時に「IPアドレス:8010」で登録しないと、デフォルトでは「8013」に通信しに行くために通信できない。これハマった。

まずは、FortiClientをFortiGateの画面からダウンロードします。

※ライセンスはデバイス1台につき10クライアントまで無償。ただしサポートは受けられない。(コミュニティベース)

dmgからインストールします。

さて、こっからハマりまくります。

・「Failed to connect to the update server.」と「You have no authority to get update.」のエラーのどちらかが繰り返しでる・・・。色々悩んだが結局何十回かやっていればダウンロードできた。

・うまくいったパターン。

・インストールします

とりあえず、

さて、登録しますが、ここでまたハマります。
※ちなみにこれって大量に配布するときはコマンドラインオプションとかで自動化できるのかな。

・「FortiGate or FortiClient Enterprise Management Server(EMS) was not found.」とな。
で、これはポート番号の問題です。

なので、こんな感じでポート「8010」指定でどうぞ。

うまく行けば登録できます。

ふぅ。あれ?アンチウイルスとかでなくね?あれ?あれ?

はい。冒頭で書きましたとおり、FortiClientのバージョンとFortiGate(FortiOS)のバージョンが大きくずれていたことでAVとかが出てきませんでした。。。

FortiClientのリリースノートにはちゃんと対応するFortiOSのバージョンなどが記載されています。
※それならFortiGate側もちゃんと自分のFortiOSに対応したFortiClientのバージョンにとどめておいてほしい・・・

しょうがないので、SCSKさんのサイトからちょっと古いFortiClientをいれて見たらこんな感じ!いい感じ!

で、少しテストしてみました。

・AV(アンチウイルス)

これね、ファイル消してくれない。。いわゆる削除とか駆除とか隔離してくれない。。。
これはFortiClientが古いからなのか?ちょっとがっかり。

・URLフィルタ

キャプチャないですが、どうもFortiGateに向かってリダイレクトされるみたいです。
証明書違反でアクセスできませんでしたが、多分そんな感じ。

面白いのは、FortiGateのWebフィルタのプロファイルがそのまま当てられるところ?かな。

また、FortiClientのプロファイルは、どのデバイスカテゴリに当てるか?を指定できます。

ファイアウォールのルールっぽく、上から評価されるのかな?

また、当たっているポリシーはMonitorでも確認できます。

とりあえず、ここまで。なのですが、やっぱりファイル消えないってのはちょっと・・・

また、FortiClientも古いものしか使えないということもあり、ここまでやっておきながらFortiClientは見送ります。。。

アンインストールして、最新版に入れ直してVPN用に引き続き使います。
※特にもうFortiGateにはRegistもしないかな・・・。

手順は省きますが、FortiClient上からDisconnectして、macOSのアプリケーションからアンインストーラを実行します。

さて続いて・・・

■Bitdefenderを入れる

特に選んだ理由はないですが、いろんなサイトで評判が良さそうなので。

ただ、パーソナルファイアーウォールなさそうなんだよなー。

「Total Security 2017」っていうエディションが、ファイアウォールとかの機能も乗ってそうだけど、結局それを買ってもmacOSはAntivirus for Macになってしまうっぽいですね。

ということで、「Bitdefender Antivirus for Mac」の体験版をいれてみます。

お、ちょっとおしゃれ。

なんも起きねーなと思ったら、こんな画面が出ていました。

終わったらこんなアイコンが出ていました。

スーパーセキュリティ セントラルってなんや・・・

とりあえずアカウントを作ってログイン。
お、サブスクリプションの追加とやらができますね。。

えっと、誤字ってますよー。
使用版とやらを開始します。

追加された。

ランサムウェア対策の設定。一旦飛ばす。

タイムマシンもランサムウェアから守ってくれるらしい。一旦飛ばす。

確認が出てきた。

とりあえず動いた。

とりあえずここまで!

ではでは。またの機会に。