Security Tips

セキュリティ全般に関する雑記を記載しております。当ブログに記載されている内容について信頼性は無く、一切の責任は負えませんのであしらからず。

標的型攻撃ではメールを使用した例が多い。

なりすましでターゲット(標的)向けにマルウェアを送りつける手法だ。

以下、IT-proより抜粋(2013/12/20)
http://itpro.nikkeibp.co.jp/article/COLUMN/20131216/525163/?ST=security&P=4

大量メール攻撃で、画像にマルウエアを隠す方法について。ロシアのカスペルスキーラボが、ここ数年、英語とドイツ語のマルウエアが増えている

10月に見つかった手口は、独ドイツテレコム傘下のT-モバイルからの電子メールを装い、MMS(マルチメディアメッセージングサービス)のメッ セージが届いていると通知する。通知メールを本物らしく見せるために、送信者アドレスには正式なドメインが記載されるようになっている。ただ、実際には異 なるアドレスから発信されている。メール本文には、送信者の電話番号など一般的な情報が掲載されている。

 添付のアーカイブ「23-10-2013 43_69_10.zip」には、JPEG画像であるかのような名前のファイル「23-10-2013 13_64_09.jpeg.exe」が含まれている。注意深いユーザーなら気づくに違いないが、拡張子は「.exe」だ。カスペルスキーラボはこの実行 可能ファイルを「Backdoor.Win32.Androm」として検出している。

 このボットプログラムは、攻撃者が感染コンピュータ上でコマンドをリモートから実行できるようにする。攻撃者はユーザーに気づかれずに別のマルウエアをダウンロードして起動することが可能だ。


 11月には、画像共有サービス「Instagram」を利用して、悪意のある電子メールを大量送信する攻撃が確認された。Instagramからの通知 であるかのように見せかけ、「あなたの友達が写真を投稿しました」と、添付のZIPアーカイブを開くように促す。写真とされるファイル「Photo DIG9048599868.jpeg.exe」は、実際にはボットプログラム「Trojan.Win32.Neurevt」だ。多数の機能を備え、ブラ ウザーに保存されているクッキーやパスワードなどの情報、サイトにログインする際のユーザー名およびパスワード、ゲームコードなどを盗む。

また、様々なプログラムを被害コンピュータ上にダウンロードして起動したり、分散型サービス拒否(DDoS)攻撃を仕掛けるためのボットネットを構築した りする。複数のセキュリティ製品に対抗する高度な手段も備え、例えばウイルス対策ソフトやWindows Update機能の起動を防止し、ウイルス対策製品ベンダーのWebサイトへのアクセスを妨害する。

ウィルス対策ソフトやWindowsアップデートを妨害されるとはたちが悪い。。。

いったんマルウェアに感染してしまった端末は、以後やられたい放題ですね。。

 他の類似した大量メール送信と同様に、電子メールには画像と思われるアーカイブが添付されているが、実際には二重の拡張子が付いた実行可能ファイルだ。 このケースでは「.scr」が使われ、カスペルスキーラボは「Trojan-Downloader.Win32.Agent」として検出している。このト ロイの木馬は偽ウイルス対策ソフトを被害コンピュータにインストールする。その結果、感染マシンは絶えず「ウイルスを検出した」との警告をポップアップ表 示するようになり、これを解決するためにユーザーはウイルス対策製品の完全版を購入するよう促される。


いずれも画像ファイルと見せかけて二重の拡張子を送付し、実行ファイルを実行させている。

たしかに画像ファイルは思わず開いてしまいがちですね。

標的型攻撃の場合、アンチウィルスのシグネチャ(検体)が無いためにブロック出来なかったのだろう。


このようなケースは、PaloaltoのWildFire機能ボットネット検知レポート機能が有効である。

WildFireを使用することで、メールを経由してダウンロードされるマルウェア(実行ファイル)をサンドボックスにアップロードし、ファイルが悪意のあるファイルであると判断されると、WildFire は自動的に新たな脅威に対するシグネチャを生成させます。

仮に家でマルウェアに感染してしまったパソコンが企業内LANに接続されてしまった場合、ボットネット検知レポート機能により、感染が疑われるホストを洗い出すことが可能です。※レポートのみでブロックは出来ません。

いずれにしても、今後はアンチウィルス+α の対策を講じる必要があるようだ。


PAN-OS、CONTENTはそのままで設定を削除する場合はCLIから以下のコマンドを実行

> request system private-data-reset

ライセンスも同時に削除されるので、再度取得が必要となる。


工場出荷時の状態に戻すには以下を参照。

https://live.paloaltonetworks.com/docs/DOC-1337


電源を入れ、本体起動途中に

「Autoboot to default partition in 4 seconds. Enter m to boot to the maintenance partition within the 4 seconds.」

と表示されたら、すかさず "maint" とタイプ。


Paloaltoの設定は基本的にGUI上から行なう。

GUIに接続出来るようにするためにまずはMGTポートの設定をCLIから行なう。


①デフォルトのユーザー名、パスワード

Username: admin
Password: admin


②コンフィグモードに移行

>configure


③MGTのネットワークを設定

#set deviceconfig system ip-address x.x.x.x netmask y.y.y.y default-gateway z.z.z.z dns-setting servers primary v.v.v.v


④コミットで設定を反映させる。

#commit
exit


⑤GUIからログイン

コミットが完了したらブラウザを立ち上げ、「https://x.x.x.x」 でログインする。


↑このページのトップヘ