OSINTの可視化ツールのMaltegoを使って，迷惑メールを可視化してみる．

　迷惑メールの中にある，メールヘッダにあるドメインやIPアドレス，メール本文にある誘導先サイトのドメイン名などを登録し，情報を可視化する．

Linkはこちら

　OSINT用のフォレンジックツールの1つである，MaltegoのWindows版をインストールする．MaltegoはJavaベースで構築されているようで，今回はJRE付きのインストーラを利用してインストールします．

Linkはこちら

　Microsoftのエンジニアが運営しているHave I Been Pwnedで，管理しているドメインに属するメールアドレスが流出していないか確認してみる．

　なお，検索する際には，そのドメインの管理者とわかるようにするために，検証用コードがpostmasterに届くので，それをみる権限が必要となる．

Linkはこちら

　可視化ツールのMaltegoにあるトランスフォームに，BlockChainがあった．BitCoinの情報を調べられるというので，迷惑メールにある「BitCoinに送金しろ」に書かれているアドレスについて，調べてみる．

[url=http://www.ujp.jp/modules/tech_registINSERT INTO UJP2DB__d3blog1_entry(cid,title,excerpt,publis/url]

　SHODANとは，IoTデバイス（PCだけでなくルータ，Webカメラなども含む）を検索できるシステム．

　HTTP/HTTPS - ポート80，808080、443，8443），FTP（ポート21），SSH（ポート22），Telnet（ポート23），SNMP（ポート161），IMAP（ポート143，または（暗号化された）993），SMTP（ポート25），SIP（ポート5060）[2]，Real Time Streaming Protocol（RTSP，ポート554）のデータを収集している．

　ルータの脆弱性などがあった場合，該当のデバイスを探し出したり，自分ん管理しているデバイスが何か不用意に露出していないかを調査するために利用する．　悪いことに使おうとすれば，それも可能．

　今回は，Maltegoで利用するために，SHODANのアカウントを取得する．

Linkはこちら

　いつも可視化の訓練のために使っている迷惑メールだけれど，今回はこれまでと違い次のような要素が．

・楽天を騙るメール
・迷惑メールが到着して５分程度で気づいた

　過去の体験から，迷惑メール発見から数時間程度するとフィッシング先のサイトは閉じられていることが多いけれど，今回はサンプリングできるのかな？と期待してみる．

Linkはこちら

　最近は，Amazonをかたる迷惑メールばかりで，面白くないのだけれど，なんだかわからないメールが来たので，可視化してみた．

　まぁ，これもちょっと気づくのが遅かったので，フィッシングサイトか偽ブランドショッピングサイトと思われるものは，既に無くなっていた．

　やはり調査もスピード命だね．

　逆にいうと，怪しいメールが来たら，数日寝かせておくと，本当に怪しいサイトだったら潰されているし，その逆もあるということじゃないかな．

Linkはこちら

　先日と同じ，ルイ・ヴィトンの安売りの迷惑メールが来た．前回はメール到着後，半日程度経って気づいていたので，分析を始めたらサイトが止められていて，そこまでだったので，今回はもっと速く分析してみようとチャレンジしてみた．

Linkはこちら

　MySpaceで使っていたメールアドレスが流出したのだけれど，しばらくアカウントをオフにしておいたが，アカウントをオンにした途端に迷惑メールが到着したので，どういうものか調べてみる．

　明らかにするために，Maltegoを使って，色々なトランスフォームを使ってみる．（ほぼ練習）

Linkはこちら

　可視化ツールのMaltegoを使って，Have I been Pwned?のトランスフォームハブから迷惑メールのくるメールアドレスの漏洩状況を確認してみる．

　Have I been Pwned?は，インターネットユーザーが個人データがデータ漏洩によって侵害されていないかどうかを確認できるウェブサイトである．

Linkはこちら

　Maltegoはセキュリティツールの中でも可視化ツールと言われていて，攻撃者が残した足跡，例えばログの中にあるIPアドレスだとか誘導サイトのURL，送り込んできたファイルのハッシュ値などを元に，その情報から関連情報を簡単に取り出し，危険かそうでないか判断するために用いるツール．

　そのMaltegoには，「トランスフォーム」という機能拡張機能があって，情報提供サイトがそれぞれに用意するAPIなどを用いて，多方面から関連情報を表示させるツールがある．

　今回は，MaltegoにVirusTotalのトランスフォームを追加して，怪しいサイトのURLをつかって可視化していく．

Linkはこちら

　刑事ドラマとかで事件現場を鑑識が証拠保全しているけれど，セキュリティの侵害を受けたパソコンの証拠を保全するのがフォレンジック． 　今回は，Mac用のフォレンジックツールのAutoMacTCを使って，何ができるか確認してみる．

Linkはこちら

　可視化ツールのMaltegoに，無料のIPinfoトランスフォームをインストールして，使ってみる．

　今回は，無料アカウントを作成して，アカウントを使っての調査を行なっている．

Linkはこちら

　Maltegoはセキュリティ用の可視化ツールと紹介されているけれど，使い方がよくわからない．過去の記事を検索する

　MaltegoはドイツのミュンヘンにあるPaterva社が開発したソフトウェアで，インテリジェンスやフォレンジックに利用されるツール．Community Editionというフリー版があるので，インストールしてみる．

Linkはこちら

　Windows10では，ダウンロードしたファイルを実行しようとしても，保護されているから実行できないということがある．これはゾーン識別子情報(Zone Identifer)が付加されているから． 　この文書では，ゾーン情報が付加れている状態の動作確認から，実際に許可を行うまでの手順を確認していく．

Linkはこちら

　マルウェアを分析するにあたり，.NETアプリケーションの場合はdnSpyを使うことでデコンパイル，つまり実行形式・ライブラリ形式のバイナリになったファイルから，ソースコードに戻す作業が簡単にできるというので，使ってみた． 　今回は適当な解析対象がなかったので，dnSpy自身を読み込ませてみる．

Linkはこちら

　IoTなどもあるので自分のネットワーク上に何が存在しているかわからない今日この頃．ネットワークスキャンのMasscanを使って，「ネットワーク上に存在している何か」を探してみようと思う．

　MasscanはIPv4の指定したアドレス空間を高速にスキャンするために作成されたツールの１つで，調査目的で使えるということで攻撃者も使うツールとして知られる． 　つまり，使い方を間違えれば，自分自身が攻撃者として扱われる可能性もあるので，慎重に使わなければならないツールであることに注意する

Linkはこちら

　Splunkには検索時にマスターファイルを参照（ルックアップ）して結果を表示する機能がある．そのlookupで使われるファイルは，Splunk管理者がアップロードすることになるのだけれど，たびたぶLookupファイルが変更されると管理者の負担が大きい．

　それを解決するために，Splunkの拡張機能である，Splunk Appで提供されているLookupFile Editorを入れてみる．

Linkはこちら

　Splunkが動作するサーバ以外のサーバから，データを転送する場合に利用するSplunkの周辺機能．入手は公式サイトから（無料）

Linkはこちら

　Splunk 7.3.1.1をmacOS High Sierraのマシンにインストールする．
　書き残しておくほどのことでは無いけれど，どこまでやったかメモのため．

Linkはこちら

　Oracle XEでは無償版ということで制限があって，決まったインスタンスが構築される．
　rpmでOracle XEのパッケージをインストールした際に，最後にYou must run /etc/init.d/oracle-xe configure as the root user to configure the database.と表示されるので，そのまま実行する．

Linkはこちら

　node.jsはサーバサイドのJavaScriptの開発と実行支援環境だと理解しているけれど，これのnode 6をインストールする．2015年11月ごろまでバージョンが0.12とかだったけれど，急にVer6に上がった模様．nodeから枝分かれ(fork)したものが再統合されてforkがVer3だったからVer4から開始したけれど最近の流行りでスクラム開発でもしているのか，どんどんバージョンがアップしている模様． 　今回は，MacOS X環境へインストールするので苦労のないHomeBrewを使っている．事前にHomeBrewはセットアップしてもらうとして，これによって依存関係にあるnpm(Node.js用パッケージマネージャ)も一緒にインストールされる．

Linkはこちら

　このドキュメントでは，フリーのアンチウイルスソフトであるclamXavで，パターンファイルのアップデートを行うfreshclamが動作した際にコンソールや実行ログにエラーがでているが，これの原因を探り，対処を行う手順を説明する．
　このエラーは，実際には発生していても挙動に問題ないが，別のエラーを探す時に無駄なログがでているとノイズになるので，エラーを解消する．

０．改訂履歴
１．はじめに
２．エラーの確認と現象を探る
３．ディレクトリのパーミッションを変更する
４．freshclamを使いエラーが出ないか，確認する

Linkはこちら

　このドキュメントでは，マイクロソフトが無償で提供を開始したMicrosoft Security Essentials(MSE)をWindows XPにインストールする手順を説明する．
　MSEは，ウイルス，スパイウェア，そしてbot等の悪意のあるソフトウェアからリアルタイムでPCを保護するソフトウェアで，マイクロソフトが提供し ていた有償版のOneCareの後継プロダクトとされている．

０．改訂履歴
１．はじめに
２．ソフトウェアの入手とインストール
３．定義ファイルの更新
４．色々な画面を確認する
５．スタートメニュー，コントロールパネル，Windowsセキュリティセンターを確 認する

Linkはこちら

　このドキュメントでは，SpamAssassinのインストールを行う前に，前提となるPerlモジュールをインストールする手順を説明する．　

　SpamAssassion は，次のような，Perlの汎用モジュールを必要としていてる．Digest::SHA1，HTML::Parser，Storable， DB_File，Net::DNS，Net::SMTP，Mail::SPF::Query，IP::Country::Fast，Digest:: HMAC，HTML::Tagset

　この手順書では，これらのモジュールのインストールを行う．

　なお，使用しているOSは，RedHat Linux ES3.0上で稼働している．

Linkはこちら

　このドキュメントでは，Perlで作成されフリーで提供されているSPAMメールフィルタであるSpam Assassinにて，メールアドレスを指定してSPAM判定を手動で登録する方法について説明する．

　Spam Assassinは，ベイジアンフィルタ（Bayesian Filter）によってデータ解析・学習しているが，万能ではない為，
明らかにSPAMメールとして登録するブラックリストへ，非SPAMメールとしてホワイトリストへの登録を行う設定する．

　なお，利用しているのはSpam Assassionのバージョン3.0.1で，MacOS X Server 10.4で確認している．

Linkはこちら

　このドキュメントでは，Spam Assassin3.1.3をインストールする手順を説明する．　RPMを作成してインストールし，自動起動設定やスパム判定のテストも行っている．　なお，使用しているOSは，RedHat Linux ES3.0上で稼働しており，別ドキュメントとなっているインストール前に必要なPerlのモジュールがセットアップされていることを前提とする．

Linkはこちら

　このドキュメントでは，vsFTPdを使って，セキュアなFTPサーバを構築する手順を説明する．　vsFTPdは，それまで使われていたwu- ftpdに変わってRedHatが採用したFTPサーバである．　以前のFTPサーバはセキュリティホールが頻繁に見つかるとして有名であった．

　この資料では，vsFTPサーバの単純な起動から，セキュアに運用するための制限されたディレクトリ以外にアクセスできないように設定する方法などを記述する．

Linkはこちら

　このドキュメントでは，scponlyを導入する手順を説明する． scponlyとは，ログインを許さなずにscpおよびsftpによるアクセスを許可する制限付きシェルである．　また，オプションにより自分のホームディレクトリ以外に移動できないchroot機能を利用する設定も可能である．

Linkはこちら

　このドキュメントでは，ZIPを使って，暗号化ファイルを作成するしたり展開する手順を説明する．　



Linkはこちら

　iptables 1.2.8-12.3を使って，Firewall設定を行う．　設定に際し，基本的な設定はGUI？ツールの，redhat-config-securitylevelを使って行い，RH-Firewall-1INPUTチェーンを作成したあとにルールの追加等カスタマイズしていく手順を説明する．　また，その後のフィルタルールの追加や削除を実行してみたり，DROPとREJECTの違いの動作確認，nmapを使った検証等も行いつつ，自動起動方法についても記載している．

・モジュールの確認
・基本的なルール設定
・カスタマイズ設定
・iptablesを起動する
・設定を確認する方法
・フィルタルールを追加する
・フィルタ設定を削除する
・特定のサーバ，ポーとからの接続を許可する
・ 特定のマシンから接続できないように設定する
・REJECTとDROPの違いを検証する
・iptablesをOS起動時に自動起動する



Linkはこちら

　このドキュメントでは，iptablesとswatchとlogroteteを使って，sshによる不正アクセスの試みを遮断するスクリプトの導入手順を説明する．　いわゆるブルートフォースアタックに対応するための策である．
　なお，使用しているOSは，RedHat Linux ES上で稼働している．

Linkはこちら

　このドキュメントでは，Clam AntiVirus,通称ClamAVというアンチウイルスソフトの導入手順を説明する．

　なお，使用しているOSは，RedHat Linux ES上で稼働している．

Linkはこちら

　このドキュメントでは，Courier Mail Serverのインストール手順を説明する． Courier-imapには，authuerdb,authmysql,authldap,authcram等の認証方法があるが，ここではOSのパスワードファイル(/etc/passwd)による認証を行う方式とする．　また，そのために必要なcourier-authlibのインストール方法も説明してある．

　なお，使用しているOSは，RedHat Linux ES上で稼働している．

Linkはこちら

　このドキュメントでは，Courier Authlibのインストール手順を説明する． Courier-imapを利用する際に必要なものとして，本体をインストールする前にこのcourier-authlibをインストールしておく必要がある．

　なお，使用しているOSは，RedHat Linux ES上で稼働している．

Linkはこちら

　このドキュメントでは，Symantec Antivirus Corporate Editionにて，サーバグループの設定を行う手順を説明する．　サーバグループの設定を行っておくことで，クライアントPCのウイルス定義ファイルの更新頻度と，スキャンスケジュールを自動的に設定させることができる．　まずは初めてサーバグループを作成するので，ベースとなる一次管理サーバを構築する．

Linkはこちら

　このドキュメントでは，Symantec AntiVirus Corporate Editionにて，管理サーバをインストールする手順を説明する．　このインストールを行う前に，SSC(Symantec Systen Center)がインストールされている必要がある．

　なお，このセットアップを行う際にも，Windows上でターミナルサービスが停止している必要がある．

Linkはこちら

　このドキュメントでは，Symantec System Centerのインストール手順を説明する．　Symantec System Center（以降SSCと略）は，Symantec社が提供する各種サーバソフトが稼働する際のベースとなるプログラムである．　よって，管理用サーバにインストールを行い，さらに他のSymantec社サーバソフトよりも先にインストールをする必要がある．　また，インストール後は再起動が必要となる．
　なお，使用しているOSは，Windows2000 Advanced Serverである．

Linkはこちら

このドキュメントでは，Courier Authlibのインストール手順を説明する．　この手順書では，RPMを作成してインストールする手順としている．

　なお，使用しているOSは，RedHat Linux ES3上で稼働している．

Linkはこちら

　このドキュメントでは，ワシントン大学で提供されている，IMAP用のCクライアントライブラリ(c-client)のインストール手順を説明する．　　このライブラリでは，IMAPに関連したのもや，POP3やNNTP等のインタフェイスを提供するものとなる．　以下のようなRFCに準拠しているので，UW-IMAPだけでなく，他のIMAPサーバにも対応できる．
RFC2821: Simple Mail Transfer Protocol (SMTP).
RFC2822: Standard for ARPA internet text messages.
RFC2060: Internet Message Access Protocol (IMAP) Version 4rev1.
RFC1939: Post Office Protocol Version 3 (POP3).
RFC977: Network News Transfer Protocol (NNTP).
RFC2076: Common Internet Message Headers.
RFC2045 , RFC2046 , RFC2047 , RFC2048 & RFC2049: Multipurpose Internet Mail Extensions (MIME).
　なお，使用しているOSは，RedHat Linux ES上で稼働している．

Linkはこちら

　このドキュメントでは，Windows2000 Professionalが稼働しているPCにて，VPNクライアントとしてPPTPで接続するための手順を説明する．　設定の際に，VPNを示す「インターネット経由でプライベートネットワークに接続する」が選べない場合があるが，この資料では対処方法についても説明している．

Linkはこちら

　このドキュメントでは，WindowsMEをクライアントとして，VPNサーバに接続する為の手順を説明する．　WindowsNT4.0以降でPPTPが実装されているが，NT4.0よりも後で発売されているWindowsMEおよびWindows98にもPPTPクライアントが搭載されており，VPN接続ができる．　なお，WindowsMEのVPNクライアントでは，L2TP等の他のプロトコルは選択できない．　また，このセットアップを行う課程でOSの再起動が必要になる．

Linkはこちら

　このドキュメントでは，Windows2000でFAT32でフォーマットされたファイルシステムをNTFSに変換する．　そもそもの発端は，Microsoft Base Security Analyzer(MBSA)にてセキュリティ診断を行った際に，脆弱性の１つとしてリスティングされた為で，危険性のあるFAT32ではなく，NTFSに変更する．
　この作業を行うと，１台のマシンにNTFSと互換性の無いOS(WindowsME等)をインストールしている場合は，変換後のドライブはそれらのOSからはアクセスできなくなるので気をつける．　なお，今回変換対象となるのは起動ドライブのCドライブである．

Linkはこちら

　このドキュメントでは，RestricAnonymousレジストリを設定して，匿名ユーザの接続を制限する手順を説明する．　主目的としては，MBSAにて合格点を貰うための作業となる．　この値は，ドメイン環境を構築しているサーバの場合には，慎重に条件について調査した上で適用が必須となっている．

Linkはこちら

　このドキュメントでは，Micrsoftが無償で提供するMBSA2.0を利用する手順を説明する．
　MBSA2.0とは，Microsoft Baseline Security Analyzer2.0の略で，ネットワーク上にあるWindowsマシンの脆弱性を検査するものです．　具体的には，適切なセキュリティパッチが適用されているか否かを検査する事ができます．
　検査できる対象の概略は次の通り．

・アップデータの未適用の検査
・Windows 2000 SP4以降のOSとそれに関わるコンポーネント
・Microsoft Office XPとそれ以降のバージョン
・Microsoft Exchange Server 2000以降のバージョン
・Microsoft SQL Server 2000 SP4と以降のバージョン
・設定ミスについて
・Windows ファイアウォールは有効か
・自動更新は有効か
・強力なパスワードの使用を強制しているか
・セキュアでないゲスト アカウントが有効になっているか
・MBSAが2.0になった部分での特徴は次の通り．
・深刻度の評価
・Microsoft Office XP のセキュリティ更新プログラムのローカル スキャンおよびリモート スキャン
・更新プログラムのダウンロードや適切な対応を行うためのガイド
・サポートされている更新プログラムの CVE-ID
・ヘルプ コンテンツの強化
・Windows Server Update Services との互換性
・Microsoft Update の自動登録およびエージェントの更新
・Windows XP Embedded および 64 ビット版 Microsoft Windows の更新プログラムの検出

　以前のバージョンでは，SUS(Software Update Service)に対応していた部分が，先頃発表されたMicrosoft Updateに変更されているのが大きな違いだと考えられる．

Linkはこちら