CVE-2019-0708(BlueKeep)のMetasploitを試してみた
RDPの脆弱性である、CVE-2019-0708がKali LinuxのMetasploitに登録されたので、試してみた。
テスト環境
Kali Linux 2019.1a(2019年6月4日の最新)
Windows 7 SP1(インストール直後のものと、2019年6月4日時点のパッチ適用のもの)
その結果、インストール直後のWindows 7 SP1では脆弱性がある、と判定された。
また、2019年6月4日時点のWindows Updateを適用した状態では、脆弱性はない、と判定された。
当然といえば当然ではあるが、このexploitには攻撃用のペイロードは含まれていないようで、パッチ未適用のWindows 7でも、ブルースクリーンになるなどの悪影響はなく、何事もなかったかのように動作した。
以下がその実行結果である。
1回目のexploit実行が、パッチ未適用のWindows 7の場合。
2回めのexploit実行が、パッチ適用後のWindows 7の場合。
■第5回 ハニーポット技術交流会メモ
同会に参加させていただきましたので、伺った内容のメモを残します。
ここのメモは、プレゼンの中で話された内容です。後述の公開されている資料と合わせてご覧ください。
誤り等がありましたらご指摘いただけると幸いです。
★おことわり
発表の一部に会場限りの情報があり、質疑にもそれに関係したものがありましたが、それはここでは伏せています。
○お礼
発表の前に、その資料の公開予定をお伝えいただくようお願いしましたが、急なお願いにも関わらず、発表者の皆さまは快くお伝えいただきました。
おかげさまで発表内容のメモに集中できました。ありがとうございました。
●参考
第5回 ハニーポット技術交流会
https://hanipo-tech.connpass.com/event/97575/
発表資料
https://hanipo-tech.connpass.com/presentation/
日時:2018年9月29日(土) 午前10:00-12:00
会場:Sansan株式会社 表参道本社
●「ハニーポットの育てかた」(30分) @morihi_soc
ハニーポットは趣味でやってる。
ブログ等は参考になる。自分とは環境や監視場所等が異なるので、勉強になる。
ぜひ続けてほしい。
Dionaeaのアップデートが一時期止まっていたことがあった。2014年頃。
HeartBleedの脆弱性が残っており、攻撃を受けていた。ハニポ情報のみなので大騒ぎにはならなかった。
pastebinは登録しなくても投稿できるが、あとで投稿内容を削除できるように、登録はしておいた方がよい。ハニポ運用を停止した時とかのためにも。
IDSのアラートは人の目に優しくない。
→SnorbyはSnortやSURICATAよりもいい感じ。
〇質疑応答
見破られたハニポはあったか。そのきっかけは?
→sshハニポの話。攻撃者がsshハニポにログイン後、そのシステムの情報(CPU、システム名等)を確認した直後、ログアウトすることがあった。見破られた、と判断した。
●「脆弱性診断とハニーポット」(10分) @railreku
ファジング本を技術書典でだしてたりする。
ハニポはやらなきゃはじまらない...。
dirbというスキャナーを使ってオリジナルスキャンパターンを作ってみたら、顧客から喜ばれた。
●「HTTPハニーポットを作ってみた」(10分) @ninoseki
三鷹の通信会社のCSIRTのお仕事。
Rubyで作った。githubでsleep_warmという名前で公開している。
RackはWebアプリケーションインタフェースのこと。
Logz.io
デフォルト200 OKを返すのは...?(聞き取れずわからなかった)
〇質疑応答
「WOWHoneypotにはテストがない」、の「テスト」とは具体的にどういうこと?
→いわゆるunitテストのこと。
ハニポのソースコードのクラスやメソッドのすべてを動作確認できているか、を確認すること。
カバレッジとは? なんのカバー?
→ソースコードのカバー率のこと。
●「GCPの無料枠を使ってデータ分析基盤を作ってみた」(10分) @runble1
俺たちが作るべきものはハニポと分析基盤!
ELKはそこそこお金がかかる。
今回はGCPを使ってみた。無料枠が大きいから!
GCEのf1-microは永年無料。
ハニポも動かせる。
StackDriver Logging
無料枠: 30日間保存されるログが50GBまで。
GCEのログを取得できる
BigQuery ← これがすごい!
無料枠: クエリ使用料1TB/月 ← これを超えるようなログができることはまず、ない。
ログスキャンは数MBでも数GBでも同じように数秒かかる。速いのか遅いのかよくわからん。
Google Apps Script + Spreadsheet ← これも使える
BigQuery、DataStudio、App...が使いこなせてない
解析対象にしたWordPressのブログのログは、どれを解析するのか指定することができる。
GCPはSQLの中に、ユーザ定義を入れることができる。
●「継続的にログを見るための、ツール比較」(未定) @hogehuga
logwatchは古のツール。ハニポのログ監視には適していない。
ログを見に行くのはしんどい。プッシュしてくれるのが楽。
ELKはプッシュしてくれるが、アラート扱いになるので適さない。
User-Agentはマイナーなものを見たいのが心情である。
LogWatchはログが長いと「...」で省略されてしまうため、内容がわからないことがある。これが不満な点。
Logz.ioのダッシュボードはiPhone Xではうまく見られない。全体スクロールしたいのにログがスクロールしてしまう。
みなさん、次は発表側になりましょう!
●「splunkによるHoneypot監視」(10分) sec-chick
Splunkとは、様々なデータ収集と監視に使われるツール
Splunkにそのままログを食わせただけだとなんのログかよくわからなくなってしまう。
Splunkで改善したこと
httpログのpathに特徴があることが多いため、pathが見られるようにした。
SURICATAのデフォルト設定ではあまり検知しないので効果が出ていない。
詳しい人は教えてください。
情報をシェアすることでハニポの輪を広げていきましょう!
Windows 10のサインインオプションで登録できる指紋は、一度にひとつ
●環境
Dynabook RZ83C
Windows 10(64bit) 1803
●概要
当たり前のことなのかもしれないが、はまったので書いておく。
「Windows 10のサインインオプションで登録できる指紋は、一度にひとつ」
である。
これが理解できず、なんどやっても登録できなくて困った。
●事象
サインインオプションで指紋を登録する際、指をスワイプすると、次のようなメッセージが出る。
(数字は便宜上付けたもので、実際はメッセージのみ)
1) もう一度スワイプしてください
2) 指をスワイプしてください
3) スワイプを続けてください
1)はわかる。同じ指をスワイプせよ、ということだ。
2)と3)の違いは何? 同じ指でスワイプするのか、その指はもう登録が終わったから、別の指をスワイプしていいのか、がわからない。
てっきり自分は別の指を登録するものだととらえ、次々と別の指を登録したつもりでいたが、5本目あたりでこの4)のメッセージを出し、登録できずに終了していた。
4) デバイスがあなたを認識できません。センサーが汚れていないことを確かめてください。
10回くらい繰り返して、「もしかして、1)、2)、3)はすべて同じ意味なのでは?」と思い、同じ指で6回くらいスワイプしたら正常に登録できた。
だったらわざわ3種類のメッセージを出す必要ないだろう。
●補足
指紋認証機能付きの暗号化USBメモリに指紋を登録する際は、次々と別の指紋を登録していたので、Windows 10もてっきりそうなのかと思い込んでしまった。
先入観は持たないようにしないと。
