UJP - 技術情報1

Life is fun and easy!
不正IP報告数

Okan Sensor
Home Information Service Tech(Free) Tech(Member) Blog FAQ
 
メイン
ログイン

ユーザー名:


パスワード:





パスワード再発行手続き  |無料会員入会手続へ...
ブログ カテゴリ一覧
Trend Micro Log4Shell診断ツールを試してみる

Trend Micro Log4Shell診断ツールを試してみる

更新履歴

  • 2022.01.03

はじめに

  Apache Log4jの脆弱性スキャンを行うトレンドマイクロのツールを使って,どのような動きをするか確認してみる.なお,利用したのはmacOS BigSur.
 なお,Safariは対応ブラウザに無いので,Google ChromeかFirefox,Microsoft Edgeを利用する.

流れ

  • 全体の流れとしては,次のようになる.
  • サイトでユーザ登録する.
  • ユーザ事に生成されたツールをダウンロードする.
  • インストールする.
  • バックグラウンドアプリで自動的にスキャンされ,トレンドマイクロのサイトに情報がアップロードされる.
  • トレンドマイクロのサイトで,アップロードされた情報からレポートを確認する.

ユーザ登録

  • 下記URLにアクセス
    • https://resources.trendmicro.com/Log4Shell-Vulnerability-Assessment_jp.html
  • ユーザ登録すると,メールが来るので,素早く確認コードを入力.


  • UTC時間で示されても困ってしまうのだけれど,5分以内程度じゃないと無効になる.
  • しばらくすると,このようなメールが来るので,ログインとパスワードの設定を行う.

インストールとスキャンと結果確認


  • しばらくすると次のような画面になる.

  • CISAのアドバイザリへのリンクはこれ.
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/10/apache-releases-log4j-version-2150-address-critical-rce
  • 次のような画面になる.

  • 対象となるOS用の診断ツールをダウンロードする.

  • 今回試したのはmacOS用.

  • ツールは小さい.
  • ZIPを展開して,pkgインストーラを実行する.





  • インストール完了したら,プロセスを確認.

$ ps -ef|grep trend🆑
    0 14164     1   0  8:26PM ??         0:01.19 /Library/Application Support/com.trendmicro.endpointbasecamp/XBCAgent.app/Contents/MacOS/XBCAgent
    0 14173     1   0  8:26PM ??         0:00.29 /Library/Application Support/com.trendmicro.endpointbasecamp/modules/wsc/ws_communicator.app/Contents/MacOS/ws_communicator --act=normal
    0 14190     1   0  8:28PM ??         0:41.96 /Library/Application Support/com.trendmicro.endpointbasecamp/download/SecurityAssessmentService/SecurityAssessmentService.app/Contents/MacOS/Security Assessment Service --company-id XXXXX --assess-id YYYYY --device-id ZZZZZZ
  501 14209  6708   0  8:29PM ttys000    0:00.00 grep trend
$

  • ツールはバックグラウンドで自動実行されるので,Webサイトを確認.

  • しばらくすると診断ステータスが「完了」になるので,「レポートの作成」をクリック.
  • 次のように結果が表示される.

  • スキャン完了.

アンインストール(macOS版)

  • アンインストールは,次のURLにあるツールをコピペして実行する.
https://docs.trendmicro.com/en-us/enterprise/trend-micro-xdr-online-help/assessment-part/security-assessment/deploying-the-assess_001/removing-the-assessm.aspx


$ sudo sh RemoveTrendMicro.sh🆑
Password:
/Library/LaunchDaemons/com.trendmicro.icore.xdr.sa.plist: No such file or directory
Unload failed: 2: No such file or directory
uninstall icore
uninstall EDRAgent
/Library/LaunchDaemons/com.trendmicro.EDRAgent.plist: No such file or directory
Unload failed: 2: No such file or directory
stat: cannot read file system information for '%Su': No such file or directory
id: ‘  File: "/dev/console"\n    ID: 28ff2ff00000013 Namelen: ?       Type: devfs\nBlock size: 512        Fundamental block size: 512\nBlocks: Total: 381        Free: 0          Available: 0\nInodes: Total: 660        Free: 0’: no such user: Invalid argument
current USER   File: "/dev/console"
    ID: 28ff2ff00000013 Namelen: ?       Type: devfs
Block size: 512        Fundamental block size: 512
Blocks: Total: 381        Free: 0          Available: 0
Inodes: Total: 660        Free: 0 uid
/Library/LaunchAgents/com.trendmicro.EDRMainUI.plist: No such file or directory
Unload failed: 2: No such file or directory
2022-01-03 02:43:58.645 defaults[18320:1326450]
Domain (com.trendmicro.EDRAgent) not found.
Defaults have not been changed.
uninstall XBCAgent
$

  • unload failedが出る場合,trendでgrepできるプロセスをkillして,再度実行すれば良い.
広告スペース
Google