技術新着情報 - 最新エントリー
このドキュメントでは,tcpdumpコマンドを使って,Mac上で行われているDNSリクエストを調査する.
tcpdumpは,最初から入っているかな?
利用したのは,macOS Mojave.
リンクはこちら
tcpdumpは,最初から入っているかな?
利用したのは,macOS Mojave.
リンクはこちら
このドキュメントでは,macOS Mojave に,bloodhoundをインストールする.
パッケージをHomeBrewを使ってインストールしていく.
BloodHoundを動かすためには,グラフデータベースのneo4jが必要.neo4jを動かすにはJDKが必要なので,順次それらをインストールしていく.
また,BloodHoundの動作確認用のデータ生成プログラムのneo4j-driverもいれてみるが,うまく動作しない...
リンクはこちら
パッケージをHomeBrewを使ってインストールしていく.
BloodHoundを動かすためには,グラフデータベースのneo4jが必要.neo4jを動かすにはJDKが必要なので,順次それらをインストールしていく.
また,BloodHoundの動作確認用のデータ生成プログラムのneo4j-driverもいれてみるが,うまく動作しない...
リンクはこちら
このドキュメントでは, Windows 10にて,Microsoft Safety Scanner 1.0.3001.0を実行してみた記録を残す.
Microsoft Safety Scannerとは公式サイト上には次のように記載されている.
Microsoft Safety Scannerは、Windowsコンピュータからマルウェアを検出して削除するために設計されたスキャンツールです。ダウンロードしてスキャンを実行す るだけで、マルウェアを検出し、識別された脅威によって行われた変更を逆にしようとします。
脆弱性のあるソフトウェアを利用しているかどうかを,インストール不要で確認できる点は手軽で良い.
リンクはこちら
Microsoft Safety Scannerとは公式サイト上には次のように記載されている.
Microsoft Safety Scannerは、Windowsコンピュータからマルウェアを検出して削除するために設計されたスキャンツールです。ダウンロードしてスキャンを実行す るだけで、マルウェアを検出し、識別された脅威によって行われた変更を逆にしようとします。
脆弱性のあるソフトウェアを利用しているかどうかを,インストール不要で確認できる点は手軽で良い.
リンクはこちら
このドキュメントでは,Windows 10に,git for windowsを入れてみる.そしてて動作確認のために,Microsoft Visual Codeをcloneしてみる.cloneするだけ.
githubに公式ツールみたいなのがあるのかと思ったけれど,このGNUライセンスで提供されているgit for windowsがスタンダードな模様.他のSVNなどのリポジトリなどと統合するためには別のツールがあるようだが.
リンクはこちら
githubに公式ツールみたいなのがあるのかと思ったけれど,このGNUライセンスで提供されているgit for windowsがスタンダードな模様.他のSVNなどのリポジトリなどと統合するためには別のツールがあるようだが.
リンクはこちら
このドキュメントでは, ネットワーク内のアクセス可能なSMB共有の一覧を取得したりアクセスするツール,SMBMapをインストールして使ってみる.
利用したのは,macOS Mojave.
SMBMap
リンクはこちら
利用したのは,macOS Mojave.
SMBMap
リンクはこちら
このドキュメントでは,Microsoft Office文書ファイルを分析する,oletoolsをインストールして,マルウェアを入りのExcelマクロファイルを分析してみる.
なお,oletoolsはPythonで作られているので,Python環境とpipが準備されている必要がある.
リンクはこちら
なお,oletoolsはPythonで作られているので,Python環境とpipが準備されている必要がある.
リンクはこちら
例えば,PGAの物理メモリ内でソートができなかったりしたら,TEMP表領域を使ってソートをおこなう.この時に自動的に拡張される.
「自動的に拡張する」というのは拡張された時に少し処理が(何もしないよりは)重たくなるので,オンライン処理中に「自動的に増える」というイベントが発生しないようにしたい.
自動的に増えないようにするということは,十分なサイズのTEMP表領域を準備しておくということになるので,今回,それを増やしてみる.);
Linkはこちら
「自動的に拡張する」というのは拡張された時に少し処理が(何もしないよりは)重たくなるので,オンライン処理中に「自動的に増える」というイベントが発生しないようにしたい.
自動的に増えないようにするということは,十分なサイズのTEMP表領域を準備しておくということになるので,今回,それを増やしてみる.);
Linkはこちら
OSINTの可視化ツールのMaltegoを使って,迷惑メールを可視化してみる.
迷惑メールの中にある,メールヘッダにあるドメインやIPアドレス,メール本文にある誘導先サイトのドメイン名などを登録し,情報を可視化する.
Linkはこちら
迷惑メールの中にある,メールヘッダにあるドメインやIPアドレス,メール本文にある誘導先サイトのドメイン名などを登録し,情報を可視化する.
Linkはこちら
OSINT用のフォレンジックツールの1つである,MaltegoのWindows版をインストールする.MaltegoはJavaベースで構築されているようで,今回はJRE付きのインストーラを利用してインストールします.
Linkはこちら
Linkはこちら
NETGEARのWi-Fi アクセスポイントのWA510の初期設定を,iPhoneアプリのInsightを使って実施した.
Insightを使うということは,NETGEARにアカウントを作る必要がある.また,
Insightアプリはクラウドと接続していて,WAC510とインターネット経由で通信して設定変更や状態把握などを行なっているそうなのだ.
Insightを使わずこのWAC510を設定しようとすると,Web管理画面があるようなのだけれど,これがログインできない.
ログインできない理由は,Insightを使っているからで,これを解除すればWeb管理画面でログインできるそうだ. ただし,その際には設定が全部消えてしまうというので,最初にローカルWeb管理画面を使うか,Insightクラウドにするかを選択する必要がある.
なお,Insightで管理できるのは
Linkはこちら
Insightを使うということは,NETGEARにアカウントを作る必要がある.また,
Insightアプリはクラウドと接続していて,WAC510とインターネット経由で通信して設定変更や状態把握などを行なっているそうなのだ.
Insightを使わずこのWAC510を設定しようとすると,Web管理画面があるようなのだけれど,これがログインできない.
ログインできない理由は,Insightを使っているからで,これを解除すればWeb管理画面でログインできるそうだ. ただし,その際には設定が全部消えてしまうというので,最初にローカルWeb管理画面を使うか,Insightクラウドにするかを選択する必要がある.
なお,Insightで管理できるのは
Linkはこちら
Windowsにはwhoisコマンドがついてないが,Sysinternalsで提供されているのでインストールして使ってみる.
インストール自体には管理者権限は不要だが,今回はSystem32配下にファイルを置くので,その作業時には管理者権限が必要.
Linkはこちら
インストール自体には管理者権限は不要だが,今回はSystem32配下にファイルを置くので,その作業時には管理者権限が必要.
Linkはこちら
Microsoftのエンジニアが運営しているHave I Been Pwnedで,管理しているドメインに属するメールアドレスが流出していないか確認してみる.
なお,検索する際には,そのドメインの管理者とわかるようにするために,検証用コードがpostmasterに届くので,それをみる権限が必要となる.
Linkはこちら
なお,検索する際には,そのドメインの管理者とわかるようにするために,検証用コードがpostmasterに届くので,それをみる権限が必要となる.
Linkはこちら
この文書では,Windows 10にMicrosoft謹製のネットワークキャプチャソフトのMicrosoft Network Monitor 3.4をインストールして使って見るところまでをまとめる.
Linkはこちら
Linkはこちら
可視化ツールのMaltegoにあるトランスフォームに,BlockChainがあった.BitCoinの情報を調べられるというので,迷惑メールにある「BitCoinに送金しろ」に書かれているアドレスについて,調べてみる.
[url=http://www.ujp.jp/modules/tech_registINSERT INTO UJP2DB__d3blog1_entry(cid,title,excerpt,publis/url]
[url=http://www.ujp.jp/modules/tech_registINSERT INTO UJP2DB__d3blog1_entry(cid,title,excerpt,publis/url]
SHODANとは,IoTデバイス(PCだけでなくルータ,Webカメラなども含む)を検索できるシステム.
HTTP/HTTPS - ポート80,808080、443,8443),FTP(ポート21),SSH(ポート22),Telnet(ポート23),SNMP(ポート161),IMAP(ポート143,または(暗号化された)993),SMTP(ポート25),SIP(ポート5060)[2],Real Time Streaming Protocol(RTSP,ポート554)のデータを収集している.
ルータの脆弱性などがあった場合,該当のデバイスを探し出したり,自分ん管理しているデバイスが何か不用意に露出していないかを調査するために利用する. 悪いことに使おうとすれば,それも可能.
今回は,Maltegoで利用するために,SHODANのアカウントを取得する.
Linkはこちら
HTTP/HTTPS - ポート80,808080、443,8443),FTP(ポート21),SSH(ポート22),Telnet(ポート23),SNMP(ポート161),IMAP(ポート143,または(暗号化された)993),SMTP(ポート25),SIP(ポート5060)[2],Real Time Streaming Protocol(RTSP,ポート554)のデータを収集している.
ルータの脆弱性などがあった場合,該当のデバイスを探し出したり,自分ん管理しているデバイスが何か不用意に露出していないかを調査するために利用する. 悪いことに使おうとすれば,それも可能.
今回は,Maltegoで利用するために,SHODANのアカウントを取得する.
Linkはこちら
いつも可視化の訓練のために使っている迷惑メールだけれど,今回はこれまでと違い次のような要素が.
・楽天を騙るメール
・迷惑メールが到着して5分程度で気づいた
過去の体験から,迷惑メール発見から数時間程度するとフィッシング先のサイトは閉じられていることが多いけれど,今回はサンプリングできるのかな?と期待してみる.
Linkはこちら
最近は,Amazonをかたる迷惑メールばかりで,面白くないのだけれど,なんだかわからないメールが来たので,可視化してみた.
まぁ,これもちょっと気づくのが遅かったので,フィッシングサイトか偽ブランドショッピングサイトと思われるものは,既に無くなっていた.
やはり調査もスピード命だね.
逆にいうと,怪しいメールが来たら,数日寝かせておくと,本当に怪しいサイトだったら潰されているし,その逆もあるということじゃないかな.
Linkはこちら
まぁ,これもちょっと気づくのが遅かったので,フィッシングサイトか偽ブランドショッピングサイトと思われるものは,既に無くなっていた.
やはり調査もスピード命だね.
逆にいうと,怪しいメールが来たら,数日寝かせておくと,本当に怪しいサイトだったら潰されているし,その逆もあるということじゃないかな.
Linkはこちら
macosで利用していたハードディスクが,マウントできなくなったので,データのサルベージを試みる.
今回利用したのは,TestDiskという無料ツールで,HomeBrew経由でインストールしているようしてみた.
Linkはこちら
今回利用したのは,TestDiskという無料ツールで,HomeBrew経由でインストールしているようしてみた.
Linkはこちら
ネットワークアナライザーツールといえば最近はこのWiresharkを使うことが多い模様.昔は,Snifferやtcpdumpを使っていたけれど,このWiresharkはGUI部分で,データのキャプチャはその他のツールを使う.
このドキュメントを作っている時点で,このツールについては詳しくないのだけれど,Wiresharkだけではデータの取りこぼしもあるので,ネットワークキャプチャは,それぞれまた別のツールを選択することもある模様. 今回の手順では,NpcapとUSBPcapのインストールも行う.
Linkはこちら
このドキュメントを作っている時点で,このツールについては詳しくないのだけれど,Wiresharkだけではデータの取りこぼしもあるので,ネットワークキャプチャは,それぞれまた別のツールを選択することもある模様. 今回の手順では,NpcapとUSBPcapのインストールも行う.
Linkはこちら
先日と同じ,ルイ・ヴィトンの安売りの迷惑メールが来た.前回はメール到着後,半日程度経って気づいていたので,分析を始めたらサイトが止められていて,そこまでだったので,今回はもっと速く分析してみようとチャレンジしてみた.
Linkはこちら
Linkはこちら
MySpaceで使っていたメールアドレスが流出したのだけれど,しばらくアカウントをオフにしておいたが,アカウントをオンにした途端に迷惑メールが到着したので,どういうものか調べてみる.
明らかにするために,Maltegoを使って,色々なトランスフォームを使ってみる.(ほぼ練習)
Linkはこちら
明らかにするために,Maltegoを使って,色々なトランスフォームを使ってみる.(ほぼ練習)
Linkはこちら
可視化ツールのMaltegoを使って,Have I been Pwned?のトランスフォームハブから迷惑メールのくるメールアドレスの漏洩状況を確認してみる.
Have I been Pwned?は,インターネットユーザーが個人データがデータ漏洩によって侵害されていないかどうかを確認できるウェブサイトである.
Linkはこちら
Have I been Pwned?は,インターネットユーザーが個人データがデータ漏洩によって侵害されていないかどうかを確認できるウェブサイトである.
Linkはこちら
Maltegoはセキュリティツールの中でも可視化ツールと言われていて,攻撃者が残した足跡,例えばログの中にあるIPアドレスだとか誘導サイトのURL,送り込んできたファイルのハッシュ値などを元に,その情報から関連情報を簡単に取り出し,危険かそうでないか判断するために用いるツール.
そのMaltegoには,「トランスフォーム」という機能拡張機能があって,情報提供サイトがそれぞれに用意するAPIなどを用いて,多方面から関連情報を表示させるツールがある.
今回は,MaltegoにVirusTotalのトランスフォームを追加して,怪しいサイトのURLをつかって可視化していく.
Linkはこちら
そのMaltegoには,「トランスフォーム」という機能拡張機能があって,情報提供サイトがそれぞれに用意するAPIなどを用いて,多方面から関連情報を表示させるツールがある.
今回は,MaltegoにVirusTotalのトランスフォームを追加して,怪しいサイトのURLをつかって可視化していく.
Linkはこちら
macosで利用していたハードディスクが,マウントできなくなったので,データのサルベージを試みる.
今回利用したのは,TestDiskという無料ツールで,HomeBrew経由でインストールしているようしてみた.
Linkはこちら
今回利用したのは,TestDiskという無料ツールで,HomeBrew経由でインストールしているようしてみた.
Linkはこちら
macOSにて,ダウンロードしたアプリケーションを実行しようとした時に「開発元を確認できないため、開けませんでした。」と表示される.ネットを検索すると,この時の会場方法について指南するサイトは多くあるけれど,仕組みについて説明されたものがなかったので,まとめてみる
Linkはこちら
Linkはこちら
フォレンジックツール?の代表的なものといえる,Autorunsをインストールして,どういう情報を参照できるか把握する.
今回試したバージョンでは,VirusTotalとの連携やProces Explorerとの連携も確認できる.
このツールの利用の醍醐味は,コンペア機能にあるとわかる.
Linkはこちら
今回試したバージョンでは,VirusTotalとの連携やProces Explorerとの連携も確認できる.
このツールの利用の醍醐味は,コンペア機能にあるとわかる.
Linkはこちら
WebブラウザのSafariの履歴をCSVで取り出す.監査目的.
Safariの履歴はSQLite3データベース形式で保存されており,各ユーザのLibraryディレクトリ配下に設置されている.
このディレクトリは,macOS X 10.15(Mojave)以降はコマンドで操作できないので,作業お葉ディレクトリにコピーした上で,実行する.
Linkはこちら
Safariの履歴はSQLite3データベース形式で保存されており,各ユーザのLibraryディレクトリ配下に設置されている.
このディレクトリは,macOS X 10.15(Mojave)以降はコマンドで操作できないので,作業お葉ディレクトリにコピーした上で,実行する.
Linkはこちら
AirPort,日本では商標の関係でAirMacというAppleの無線LANブランドだけれど,その中でTime Capsuleという機械がある.
無線LANルータ兼ハードディスクの装置で,HDDはTime CapsuleというmacOS用のデータバックアップストレージ機能だけれど,簡易的にNASとして利用も可能.
Windows 10からTime Capsuleにアクセスするには,AirMac Utilityをインストールし,SMB V1を利用して接続する必要がある.
Linkはこちら
無線LANルータ兼ハードディスクの装置で,HDDはTime CapsuleというmacOS用のデータバックアップストレージ機能だけれど,簡易的にNASとして利用も可能.
Windows 10からTime Capsuleにアクセスするには,AirMac Utilityをインストールし,SMB V1を利用して接続する必要がある.
Linkはこちら
刑事ドラマとかで事件現場を鑑識が証拠保全しているけれど,セキュリティの侵害を受けたパソコンの証拠を保全するのがフォレンジック. 今回は,Mac用のフォレンジックツールのAutoMacTCを使って,何ができるか確認してみる.
Linkはこちら
Linkはこちら
数日前,Windows Terminal Version 0.11がリリースされた.Microsoft Storeで無料で入手可能.
Windows Terminalは,PowerShellやコマンドプロンプトなど,似て非なるコマンドツールを統合化しようとしているようだ.どんなものか,使ってみる.
Linkはこちら
Windows Terminalは,PowerShellやコマンドプロンプトなど,似て非なるコマンドツールを統合化しようとしているようだ.どんなものか,使ってみる.
Linkはこちら
Maltegoはセキュリティ用の可視化ツールと紹介されているけれど,使い方がよくわからない.過去の記事を検索する
MaltegoはドイツのミュンヘンにあるPaterva社が開発したソフトウェアで,インテリジェンスやフォレンジックに利用されるツール.Community Editionというフリー版があるので,インストールしてみる.
Linkはこちら
Linkはこちら
PowerShellは2006年に発表されたWindows用の言語環境で,バッチファイルなどの旧式のシェルの置き換えとして発展したけれど,マルチプラットフォーム戦略故にmacOSやLinuxでも利用できるように準備されている.
という事で,macOS Higi Sierra 10.13.6の環境にインストールしてみた.
前提として,HomeBrewはセットアップ済み,XcodeやOpenSSLも必要.
Linkはこちら
という事で,macOS Higi Sierra 10.13.6の環境にインストールしてみた.
前提として,HomeBrewはセットアップ済み,XcodeやOpenSSLも必要.
Linkはこちら
プログラムが実行されると,基本的に親子関係が存在する.OSを親として,その子供としてシェル(Explorer)があるのだけれど,物事はもっと複雑.
それをひもとくのが,Process Explorer.
Linkはこちら
それをひもとくのが,Process Explorer.
Linkはこちら
データ量は少ないが,数が4万あるファイルをエクスプローラでコピーするも一晩たっても終わらない.そんな時の対策方法.
[url=http:/INSERT INTO UJP2DB__d3blog1_entry(cid,title,excerpt,published,mod/url]
[url=http:/INSERT INTO UJP2DB__d3blog1_entry(cid,title,excerpt,published,mod/url]
複数台のサーバを管理していると,ある程度の台数を超えたあたりから,どれが何だったか判らなくなる.最初はいい感じのホスト名をつけたり壁紙の色を変えたり.
それでも,急いでいるときに入るサーバを間違えたり,複数リモート接続していると取り違え事件が発生する.これはいつでもどこでも起こる.
UNIXだとpwdとかwhoamiとかifconfigなどのコマンドを打って現在位置を確認するけれど,WindowsだとGUIなので一手間かかる.と言うことで,それを少し楽にするためにデスクトップに情報を表示する機能が,今夏のbginfo.
このツールが素晴らしいのは,アプリを起動して情報をセットしたら,壁紙を生成してアプリは終了するので常駐メモリが不要という点.
Linkはこちら
それでも,急いでいるときに入るサーバを間違えたり,複数リモート接続していると取り違え事件が発生する.これはいつでもどこでも起こる.
UNIXだとpwdとかwhoamiとかifconfigなどのコマンドを打って現在位置を確認するけれど,WindowsだとGUIなので一手間かかる.と言うことで,それを少し楽にするためにデスクトップに情報を表示する機能が,今夏のbginfo.
このツールが素晴らしいのは,アプリを起動して情報をセットしたら,壁紙を生成してアプリは終了するので常駐メモリが不要という点.
Linkはこちら
