忙しい人のためのセキュリティ・インテリジェンス No.32 - 2021/05/03
今週のおすすめ/一言所管
Compliance
Intune/Windows10
次はパスワードレス認証とConfidential Computingがくるよ、という予測
参考までに。
他
Azure Monitorのlogアラートで以下がサポート
Stateful log alerts: アラート条件に満たなかったら自動的にalert -> resolvedになる
1-minute frequency: アラートクエリが一分ごとに実行される
機械学習のモデルを問わずに実行可能で、不正なデータで学習モデルをbypassするための敵対的機械学習の予防策
CLIツールっぽい
Microsoft Security Best Practicesは資料の宝庫
標的型ランサム(Human Operated Ransomware)の資料がある
ランサムのパターンや流れの概要から、各ステージでの対応策および理由、ASRの種類が書かれている
Organization Policyが後に着てるのも好印象
よくある攻撃手法にたいする文字ベースのインシデントPlaybook。
記載されている攻撃手法: Phishing, Password Spray, App COnsent Grant
プレイブック内の内容: Prerequisites, ワークフロー、チェックリスト、調査方法
power shellなのがな〜
最低限必要な権限や調査時のマニュアル・コマンドがあるのが嬉しい
AWS SAMをつかってCDKのテスト、ビルドができるようになったらしい。何が嬉しいんだろ
やむを得ずアクセスキーを使う場合は、以下のポリシーやは付与しないこと <- Github Actionとかは :eyes: ?
AccessAdmin
PowerUser
〜Admin と付くサービスごとの Admin ロール
IAM 系の変更権限を持ったもの
git secretsを使うこと
AWS IAMサービスができてから10年経過した記念ブログ by AWS IdentityのHirinng SW engineer, manager, pmg
AWS財テク
Chrom90からWindows向けはハードウェアレベルのStack Protectionになるとのこと
Control-flow Enforcement Technology (CET) をサポートしたCPUが対象
Windows 20H1
(攻撃)単純なshellcodeの配置 -> (防御)Data Execution Prevention ->(攻撃) Retrun Oriented Programming -> (防御) マルチプロセス設計によるレンダーのhost website code?への分離 -> (攻撃) Windowsのライブラリがプロセスが違っても同じアドレスに配置されることを利用したROPライブラリの配置 -> (防御) Stack Protection!
Stack Protection用にreturnアドレスのみを保存するShadow stack が開発され、CPUからのCALLからの身を受け付ける
従来のStackにもreturnが保存されるが、プログラム実行時に通常のstackとshadow stackが比較される機構
SAMLがなくならいのは、2007にGoogle AppsがSAML SPを選んだのがきっかけでは、という話
WS Fedが技術標準的な対抗馬だったが、Microsoft依存が強くなりすぎるのでSAMLにした推測をしている
ソフトウェアサプライチェーンに関するオーバービューと推奨事項に関するドキュメント
サプライチェーンリスクを、設計・開発・配布・入手・メンテ・廃棄の段階に分けて、過去のインシデントとマッピング
よくある共通の攻撃テクニック
更新システムのハイジャック
コード署名のUndermine
オレオレ署名、署名システムの悪用やIAMの設定ミスをつくことで、本来正当性を証明するコード署名を既存する、、、という意味
OSSの侵害
ソフトウェアサプライチェーンにユニークな脆弱性
3rdパーティ製がおうおうにして強い権限を必要とする問題
ベンダーと頻繁にコミュニケーションする要件がある場合
サプライチェーン内のソフトウェア開発者およびその利用者に推奨される対策が以下のフェーズごとにわかれてる
入手することを防ぐ
デプロイを防ぐ
Exploit後のmitigation
refererencesにあるSSDF(Secure Software Development Framework ) とC-SCRM(Cyber Supply Chain Risk Management)のリンク集が嬉しい
SaaS 自体の設定に関して設定ミスがないようにという点ついても、エンドユーザーへの啓発が必要
ユーザーの行動変容(中略)に限界があ(中略)り、仕組みという所で大本を止めることが 1 番有効
Mitre ATT&CKのv9リリース
データソース、IaaSプラットフォームの統合、Google Workspace追加、コンテナが追加、MacOS改善、Att&CKエクセル
データソースの改善: 今まではテキストのみだったが、オブジェクトの種類(プロセス、ファイル、コマンド)を追加'
MacOSはpersistenceとexecution周りのコード例を追加
エクセルはpythonツールでの出力が可能に
研究室の学生が高価な描画ツールの海賊版をDLしたが、 それにクリックボードからクレデンシャルをぬかれて、そのクレデンシャルを使ってRyukランサムを入れられる
被害は一週間分のリサーチデータ。研究室全体のデータかは不明
GateKeeperなどのアプリケーション実行時の予防メカニズムのバイパス脆弱性があった(CVE-2021-30657)
Appleによるバイパス提供済み
MacOSのアプリは .app 拡張子がついたディレクトリにContents/MacOS ディレクトリがあると、実行可能なものとみられる。その配下の実行ファイルには bash/python なスクリプトベースのものと、mach-O 型バイナリにわけられる
今回の脆弱性は、bash 形式の実行ファイルでかつInfo.pist がない場合に、防御メカニズムをバイパスできる極めてexploitabilityの高い脆弱性
概要とパッチ情報だけじゃなくて、GateKeeperの歴史・仕組み、そして脆弱性をみつけるまでのデバッグ方法(log stream )やデバッガ・ディスアセンブラを使った検証プロセスがあって濃度が高い
ランサムウェアにより石油パイプライン停止。これはやばそう。生活必需品なので消費が落ち込みそう
NYダウは雇用統計のおかげで伸びてるが...
行政/会社/団体
文部科学省による基礎理論分野(数学や計算機科学の基礎)とシステム基盤技術分野(アルゴリズム・デバイス・アーキテクチャ・OS・ミドルウェア等)を横断的に融合・統合する研究の推進 を推進していくよ、という話
ただし、海外依存になるのでそれを国産で頑張ることで、Society5.0を支える安心・安全・信頼の基盤ソフトウェアを作りたいみたい
具体的な分野
信頼できないハードウェアや OS を含む計算環境で安全なシステムを構築可能とするセキュリティ技術の創出
オープンな環境でもプライバシーを確保するデータ収集・解析技術の創出
データの自由な流通と個人情報の安全性確保を両立するシステム実装技術の確立
Terraformで記述するのはdesiredな構成だが、実際のactual構成は異なるケースがある
この差異をドリフトといい、reconcileされなけれあならない。
差分検出までするが、まだ修正まではかけてくれない
macOSの初期アクセスに必要なペイロードをMythicスクリプトと統合して作るツール
イベント/勉強会/発表資料
Web24のID編でIDaaSとかAuthenticatorとかSAMLの話とか、FIDOの実装とか
PKIの勉強をしろ
pwnはわからないけど、CloudFrontのbasic認証はSPA (CloudHost)からのみAPIバックエンドアクセスを許可したい、したほうがいいというケースの想定かも
Dockerイメージで、何も考えず COPY . {dest} して、下記の条件になってると機密情報が流出される可能性がある
DockerFileと.gitフォルダが同じディレクトリ
gitコミットのどこかに機密情報が残っている
コンテナレジストリなどのDocker Image保管場所から誰でもDLできる場所にある
現実的な対策は .dockerignore に .git をいれること
うわああ、超面白そう
その他