*白百合めも*

セキュリティ中心に毎日の勉強の記録を書くよ*

読書メモ*実践サイバーセキュリティモニタリング~P40

みなさんこんにちは!
ちょっとバタバタしていて一週間ぶりのブログになってしまいました><

最近セキュリティ系の本を色々読んでいたのですが、
なんとなく読んでいただけだと私の場合全然頭に残らないので、
読んで、Evernoteとかに各章の大事な部分とか覚えておいた方が良い部分とかをまとめたりしてます🌺

このブログではそういったまとめとは別に、読書メモとして、
だいたいこんな感じのこと書いてあったよ〜とかこんなことにビックリした〜とか
本に載ってたこの用語調べてみた〜とかをゆるい感じで書いていこうと思います🍰

今回読んだ本はこれ!

www.amazon.co.jp

配属されたその日に(3ヶ月前くらい?)会社の本棚から借りてきたものなのですが、
当時はちらっと見ても何がなんやら状態だった(仮想化って何?レベルだった笑)ので、
今まで家に放置されていました! 笑

しかしやっと雀の涙程の知識がついた今!
そのページをめくってみると、欲しかった情報が宝のようにザクザク載っていて感動したのでした!

...というわけで!(?)感想とか書いていこうと思います〜🍊

1章 サイバー攻撃におけるマルウェア感染

この章では、サイバー攻撃の代表例とそれによってどんな被害が出るのかだったり、
サイバー攻撃におけるマルウェアの重要性とその対策、攻撃やマルウェアの観測方法などが書かれていました⚡️

感想とか思ったこととか
  • 普段全くセキュリティに携わっていない方々だと、マルウェアっていったら、
    コンピュータ内のデータが消去される!OS起動しなくなる!情報漏れる!
    っていうイメージが強くて、
    マルウェアによっては)感染することで他のホストへの攻撃に利用されるっていうのを認識している人って意外と少ないんじゃないか?と思ったりした🤔 (3ヶ月前くらいの私がそうだった)

    「うちのパソコンの中なんも大事な情報ないから別に感染してもいいわ〜🍭」

    みたいな言葉を聞くことが時々あるので、
    自分が被害にあうだけじゃなくて知らずのうちに攻撃に加担してしまうかもしれないんだよってことをもっと周知したらいいんじゃないかと思ったり🍧

    ↑これ書いてて、
    「あなたのコンピュータ、ボットネットに組み込まれていませんか...?」
    みたいなポスターを想像した笑
    少なくとも別に感染してもいいわ〜みたいに言ってる人には、それは違うよ!って注意喚起していきたいですね。


  • 攻撃やマルウェアを収集して解析する方法はハニーポットマルウェア解析、ダークネット監視、スパムトラップ・・・・ん!?
    ダークネットは過去3回くらい聞いたことあったけど何なのか理解してなくて、スパムトラップは初耳!❄️
    せっかくなのでこの2つについて調べてみました✨

    ❤️ダークネット
    名前からいかにもアンダーグラウンドな香りがプンプンしますが、ダークネット自体は普通なもの!(ダークウェブではない)
    特定のホストが割り当てられていないIPアドレス空間のことなんです。
    要するに誰も使っていないIPアドレスの集合ってことですね!⭐️
    ここに届くパケットは不正(か設定ミス)なものほとんどだから、
    その送信元アドレスは攻撃者だったりマルウェア感染したボットだったりすることが多いです!⚡️
    DoS攻撃とか、ネットワークスキャンとかしてきたりね...!


    ❤️スパムトラップ
    スパムメールを収集する技術のことで、
    存在しない宛先へのメールや、スパム判定されたメール等を解析することで、メールに記載されたURLや添付ファイルを収集できます🌹
    それによって、スパムメール送ってきてる奴のIPアドレスだったり、記載URLからフィッシングサイトを特定したりします!
    10年前の話だけど、こういう取り組み聞くとワクワクする↓
    最新Windowsセキュリティ事情 - スパム送信者を攻撃する,ちょっと変わったハニーポット:ITpro



2章 ハニーポットでのデータ収集

最初はサイバー攻撃の形態の話から、脆弱性にはどんなものがあるのかに説明した後、
ハニーポットの説明(分類・オープンソースの種類・評価指標・配置場所)などでがっつりハニーポット脳になったところで、
実際にMetasploitにてドライブバイダウンロードでバックドアとして動作するマルウェア(Meterpreter)を標的ホストに感染させ、
好きな動作を行う という、なかなかに刺激的な内容でした!w✨

特にハニーポットのあたりはハニーポットっていう単語を見すぎて若干洗脳されてきた感が!笑(「いいからハニーポットだ!」みたいな)
ここまででも既にハニーポットっていう単語8個ぐらい書いてますし🍯🍯🍯

感想とか思ったこととか
  • エクスプロイトの種類で詰まりました☔️


    本書の説明では、ローカルエクスプロイトは、ローカルホスト上に存在する攻撃者を想定した攻撃で、ローカルホストに対しての権限昇格(ルート権限を得たり)などを行うって感じ。
    リモートエクスプロイトは、標的ホストに対して遠隔から侵入を試みる攻撃(Webサーバーに対してとか)。
    エクスプロイト系の知識が乏しい私はどうもよくわからないのです... ☹️
    攻撃する時って、Webサーバーとかブラウザの脆弱性を狙って攻撃して、ローカルホスト上に侵入して、権限昇格したりして色々悪さするって感じですよね...?

    リモートエクスプロイトで侵入してからローカルエクスプロイトでローカルホスト上で悪さするってイメージなんでしょうか?
    どなたかご存知の方いらっしゃいましたらDMででもこっそり教えてくれると嬉しいです...🙏

    セキュリティ用語ってほんと難しいですね...!
    PoCも、ポックって読むのかピーオーシーって読むのか未だにわからないですしw(周りの人も両方使ってる)


  • ハニーポットは半端な知識で運用しない方が良いなということを思いました。
    私みたいな超初心者が安全性を何も考えず、よし!観測するぞー!ってハニーポットを運用してしまうと、
    うわこいつザコだ!ってハニーポット自体が乗っ取られ、攻撃の踏み台にされてしまいます🌀

    運用する場合はきちんと、
    ホスト上での対策(システム制御を完全に奪われないように・奪われてもクリーンな状態にロールバックするようにする)や
    ネットワーク上での対策(外部ネットワークへの攻撃通信の遮断-パケットフィルタリング、iptables)などを
    しっっかりと行わないといけませんね🌈


  • 2章の後半はMetasploitで実際にドライブバイダウンロードを体験してみよう!というものでした。
    ちょっとややこしいことをやりますが、書き方がとってもわかりやすいので安心しました🎀
    詳しいやり方は是非書籍を見てやっていただけたらと思います🌹
    今までエクスプロイトや脆弱性のこととか調べたことがあまりなかったのですが、
    ソフトウェアごとの脆弱性を調査するのに便利なCVE Details(http://www.cvedetails.com/)と、 MetasploitやMeterpreterの詳細が載っているOffensive Security社(https://www.offensive-security.com/)は
    ざっと見ていこうと思います♪


今日はここまで!P40までの感想でした!
この本読み進めながら実践Metasploitとかサイバーセキュリティプログラミングのコード読んだりしていくぞ〜!
この辺りは完全に趣味!って感じでワクワクやっております☺️
趣味でも仕事でもやってて楽しいしセキュリティ業界入ってほんとよかった〜!❤️

サムネがないので今日食べた蕎麦を貼っておきます(ここの店員さん皆接客神だった)

f:id:white-lily6u6:20171016000818j:plain