ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

ログの解析について

ログ分析に関してのまとめ ・HTTPのログからのSQLインジェクションの検出について以下の2つにまとめた。 chikuwamarux.hatenablog.com chikuwamarux.hatenablog.com SQLインジェクションの検出では以下のデータセットを利用した。 github.com それ以外に使…

SQLインジェクションの検出(N-gram編)

ログ情報の数値化 前回は、HTTPのログのエントロピーを算出した。 chikuwamarux.hatenablog.com 今回は、N-gramを使った数値化について、流れとしては、以下になる。 ログを1文字つづ区切る(N-gram, uni-gram) 文字ごとのベクトル化(BoW) ベクトルの重み…

SQLインジェクションの検出(エントロピー編)

ログ情報の数値化 こちらの書籍の7章にSQLインジェクションの検出方法が記載されている。 GitHub - oreilly-japan/ml-security-jp: 『セキュリティエンジニアのための機械学習』のリポジトリ 使用されているデータセットがこちらのHTTPリクエストのログ。 gi…

サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)

Society5.0 2019年4月に経済産業省は、サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定した。 その前提となってるのが、Society5.0という考え方。 Society5.0は、2016年に閣議決定された「第5期科学技術基本計画」の中で、日本が目指す…

異常検知の方法(時系列編)

異常検知のソリューション SIEM(Security Information and Event Management)やUEBA(User behavior analytics)などにより、脅威を早期に発見できる、という話を聞く。 IAM(Identity and Access Management)なども賢いものだと、異常なログインと判断し…

ダイアモンドモデル

CEH

ダイアモンドモデルについて CEH v12では、ダイアモンドモデル、の内容が追加されている、とのことだった。 chikuwamarux.hatenablog.com 侵入を分析し、記述する方法らしいので、まとめておく。 2013年に発表された「Diamond Model of Intrusion Analysis」…

ディープラーニングによるマルウェア検出(実行編)

前回のおさらい 以下の記事で、EXEファイルを画像化することをやった。 chikuwamarux.hatenablog.com これにより、マルウェアを画像化して、AIに「似ている」ということを判断させることが可能になる。 データは以下を利用させてもらう。 www.dropbox.com こ…

ディープラーニングによるマルウェア検出(準備編)

ディープラーニングの使いどころ 相変わらず、以下の書籍を参考にさせて頂いております。 以前、PEファイルの情報をランダムフォレストで分類させることをやった。 chikuwamarux.hatenablog.com PEファイルをディープラーニングで分類させることも可能。 デ…

機械学習によるマルウェア判定(PEファイル)

PEファイルのおさらい PEファイルについて、以下を参照。 chikuwamarux.hatenablog.com マルウェアの検体を取得する方法は以下を参照。 chikuwamarux.hatenablog.com PEファイルの情報は、pefileというpythonのライブラリで取得できる。 問題のない正常なフ…

PEファイル

PEファイルとは PEファイルのPEはProtable Executableの略で、Windows上で使用される実行ファイル (EXE)、オブジェクトファイル、DLL、SYS (デバイスドライバ)、FON フォントファイル等のファイルフォーマットのこと。 PEファイルには構造がある。文字で書く…

CSPM(Cloud Security Posture Management : クラウドセキュリティ状態管理)

CSPMとは クラウドのセキュリティ事故の99%は人為的ミスによるもの、という話をよく聞く。 実際の統計の存在は良く分からない。 2019年のガートナーの記事で、「Through 2025, 99% of cloud security failures will be the customer’s fault.」というもの…

CEH v12 がリリースされました

CEH

CEH v12 EC-coucilからCEH v12のアナウンスがありました。 www.eccouncil.org 以前、過去のサイクルからv12を2023年3月と、勝手に予想していましたが、2022年9月リリースとなりました。 chikuwamarux.hatenablog.com CEHのバージョンは、2年から2年半のサイ…

ゼロトラストの周辺

バズワードとしてのゼロトラスト 最近のセキュリティ関係のセミナーでは、「ゼロトラスト」というワードが必ず出てくる。1年程前までは、言葉ばかりが先行して、肝心の中身は、コロナ下ということもあり、大手企業に向けて、かなり高額なサービスという印象…

Windows Management Instrumentation (WMI)について

CEH

Windows Management Instrumentation (WMI)とは WMIは、OSやコンピュータの設定・状態を参照したり変更したりするための仕組みのこと。Windows95とかでも稼働していた。 ローカルだけでなくリモートも管理できるため、複数のサーバーを管理するためにスクリ…

Tabnabbing

CEH

Tabnabbing(タブナビング)とは Tabnabbingブラウザで、リンク先を別のタブで開くアクションを使った攻撃手法。フィッシッングに用いられる。ブラウザでの対策も進んでおり、改めて再確認をする。 HTMLで以下のように記述すると、hoge.htmlを新しいタブで開…

フィッシングデータのディープラーニング

フィッシングサイトのデータでディープラーニング こちらで、ランダムフォレストによる機械学習をしてみた。 chikuwamarux.hatenablog.com ランダムフォレストの方が、ロジスティック回帰よりも精度が高かった。ディープラーニングではどうか? 基本的な流れ…

フィッシングデータの機械学習

フィッシングデータの機械学習 以前、フィッシングサイトのデータセットを調べた。 chikuwamarux.hatenablog.com これを使って、機械学習をしてみる。 この書籍を参考にさせてもらう。 www.oreilly.co.jp サンプルコードは以下にある。 github.com サンプル…

SBOM

CEH

SBOMについて 最近、SBOM(えすぼむ)という言葉をよく見る。 Software Bill of Materialsの頭文字をとっている。 BOM=Bill of Materialsは、製造現場で部品表とか呼ばれて、製造物はどんな部品から構成されているかを示すもの。 それをソフトウェアの世界…

Shellbagsについて

ShellBagsって ShellBags は、WindowsのExplorerで2度目以降にフォルダーを開いた際、前回と同じ状態で利用できるよう、フォルダーのウィンドウサイズ、表示レイアウト、表示位置などの情報を記録する仕組みのこと。 ShellBagsの情報自体はレジストリに保存…

VirusTotal

CEH

VirusTotal(ういるすとーたる)について CEHのテキストでも紹介されていたVirusTotal。 https://www.virustotal.com/gui/home/upload ファイルをアップロードしたり、URLやIPを入力すれば、70を超えるベンダのチェックの結果を教えてくれたりします。 2004年6…

フィッシングサイトのデータセット

フィッシングサイトの見分け方 今さらではあるが、フィッシングサイトの見分け方について。 2015年にフィッシングサイトに関するデータセットが提供されている。 archive.ics.uci.edu 30個の特徴量からフィッシングサイトを判定した2456件のデータとなってい…

IDSやIPS(ネットワーク型)

CEH

侵入検知や防御 CEHのテキスト12章は、IDSについて。 IDSの一般論から、製品紹介。その後は、IDSをかいくぐるテクニックの紹介。 製品としては、SnortやSuricataが紹介されており、Snortに関しては、Snort Ruleというパケットフィルタリングルールの記述につ…

YARA

CEH

マルウェア解析・検知ツール YARAは、マルウェア解析・検知ツールで、Virustotalの開発者Victor Alvarezによって開発された、とWikiに記載がある。 ja.wikipedia.org たまに見かけるので、気になっていた。 YARAという単語自体は、 "YARA: Another Recursive…

IoC(Indicator of Compromise)

CEH

IoCってなんだ IoC(Indicator of Compromise)は、侵害の痕跡、侵害指標、痕跡情報などと訳されることが多い。 サイバー攻撃の痕跡をデータベース化して技術仕様として活用することで、攻撃を受けていることを素早く察知し、その影響範囲の最小化を目指すの…

情報セキュリティマネジメントシステム(ISMS)

CEH

ISMS IPAの情報処理技術者試験でISO関係の問題が出題されて、テストの知識として暗記した記憶だけはある。実際、どんなものか改めて確認。 ISMS自体は、直訳すれば、「情報セキュリティマネジメントシステム」で、ちゃんとセキュリティが機能する仕組み、の…

Local Administrator Password Solution (LAPS)

アカウント管理 悩ましいアカウント管理。 MITREのテクニックで、「Valid Account」がある。 attack.mitre.org 以下の4つについて、具体的な防止策、検知、具体例が挙げられている。 Default Accounts Domain Accounts Local Accounts Cloud Accounts Defau…

Githubの情報検索

Githubからの情報漏洩 Githubはソースコード管理サービスで、公開・非公開の設定ができる。非公開であれば、問題は無いはず。 公開設定をした際に、間違えて、シークレットが含まれる情報をアップしてしまうことが問題となる。 それらの情報を見つけるツール…

マルウェアの検体

マルウェアの取得方法 マルウェアに感染したい人はいないと思うが、ウイルス対策ソフトの感度の測定やインシデント訓練などで、安全なマルウェアを使いたいことがある。 こちらの書籍で、取得方法が紹介されていた。 「セキュリティエンジニアのための機械学…

Certified Cybersecurity Technician

CEH

EC-Councilの新しい資格 久しぶりにEC-councilのホームページを見たら、新しい資格が追加されていた。 Certified Cybersecurity Technician(CCT)と呼ばれるもの。 www.eccouncil.org エントリーレベル、ということで、CEHの前提知識のような位置づけになっ…

セキュリティエンジニアのための機械学習

セキュリティと機械学習 セキュリティ分野において、機械学習が使用されているであろうことは想像できる。 ウイルス対策ソフトのAIによる判定、などと目にするようになった。 その恩恵を受けているものの、機械学習の性質上、詳細はブラックボックス化されて…