セキュリティ・キャンプWS - The Anatomy of Malware 完全版

3月23日に「セキュリティ・キャンプWS - The Anatomy of Malware 完全版」に行ってきました。
この講習に参加して感じたことについてメモを残しておきます。
公開する情報については注意を払っているつもりですが、公開してはいけない情報が含まれていればご指摘ください。

続きを読む

アセンブリで書かれたRC4は見た瞬間分かるか

先日、Japan Security Analyst Conference 2018に行ってきました。中津留さんの講演が終わってからの質疑応答で次のようなやり取りがありました。

Q: どうやって解析の効率化をしていますか?
A: pythonスクリプトを書いたり、あとは経験でRC4とかぱっと見で分かります

一方、twitterでは@ykameさんが次のような発言をされていました。

https://twitter.com/YuhoKameda/status/956340441917501441

ということで、改めてRC4を読んでみました。

続きを読む

.gitディレクトリをwebサーバの公開ディレクトリに保存することについて

webサーバに.gitディレクトリが公開されている状態でどういったリスクがあるのかについてメモしておきます。

webサーバ

[root@localhost html]# cat /etc/redhat-release
CentOS release 6.7 (Final)

webサーバにアクセスしてみた結果

% curl http://target/.git/
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /.git/
on this server.</p>
<hr>
<address>Apache/2.2.15 (CentOS) Server at target Port 80</address>
</body></html>

403の応答が返ってきているのでディレクトリが存在することがわかります。*1

*1:ディレクトリリスティングが有効な場合は200

続きを読む

フルポートスキャンから開放ポートを隠す方法

フルポートスキャンされた場合でも、全ての開放ポートを特定されない方法とその原理のメモです。
※今回はTCPに限定しています。

続きを読む

heartbleedをiptablesで止めることについて

前書き

OpenSSLの脆弱性(CVE-2014-0160)が公開されました。
詳細はpiyokangoさんの素晴らしいまとめを参照してください。
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog

エフセキュアブログにて、トーマツの岩井さんが書いた興味深い記事がありました。
エフセキュアブログ : Openssl Heartbleed 攻撃の検知について

#根本的な対策ではなく、あくまで攻撃検知という意味で。
iptables log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Full Disclosureなど色々な場所で同じフィルタを見かけていたので実際にこのフィルタを検証してみました。(Full Disclosure: Re: heartbleed OpenSSL bug CVE-2014-0160SecurityFocus

続きを読む