Trend Micro Log4Shell診断ツールを試してみる
更新履歴
- 2022.01.03
はじめに
Apache Log4jの脆弱性スキャンを行うトレンドマイクロのツールを使って,どのような動きをするか確認してみる.なお,利用したのはmacOS BigSur.なお,Safariは対応ブラウザに無いので,Google ChromeかFirefox,Microsoft Edgeを利用する.
流れ
- 全体の流れとしては,次のようになる.
- サイトでユーザ登録する.
- ユーザ事に生成されたツールをダウンロードする.
- インストールする.
- バックグラウンドアプリで自動的にスキャンされ,トレンドマイクロのサイトに情報がアップロードされる.
- トレンドマイクロのサイトで,アップロードされた情報からレポートを確認する.
ユーザ登録
- 下記URLにアクセス
- https://resources.trendmicro.com/Log4Shell-Vulnerability-Assessment_jp.html
- ユーザ登録すると,メールが来るので,素早く確認コードを入力.
- UTC時間で示されても困ってしまうのだけれど,5分以内程度じゃないと無効になる.
- しばらくすると,このようなメールが来るので,ログインとパスワードの設定を行う.
インストールとスキャンと結果確認
- しばらくすると次のような画面になる.
- CISAのアドバイザリへのリンクはこれ.
- 次のような画面になる.
- 対象となるOS用の診断ツールをダウンロードする.
- 今回試したのはmacOS用.
- ツールは小さい.
- ZIPを展開して,pkgインストーラを実行する.
- インストール完了したら,プロセスを確認.
$ ps -ef|grep trend🆑
0 14164 1
0 8:26PM ??
0:01.19 /Library/Application
Support/com.trendmicro.endpointbasecamp/XBCAgent.app/Contents/MacOS/XBCAgent
0 14173 1
0 8:26PM ??
0:00.29 /Library/Application
Support/com.trendmicro.endpointbasecamp/modules/wsc/ws_communicator.app/Contents/MacOS/ws_communicator
--act=normal
0 14190 1
0 8:28PM ??
0:41.96 /Library/Application
Support/com.trendmicro.endpointbasecamp/download/SecurityAssessmentService/SecurityAssessmentService.app/Contents/MacOS/Security
Assessment
Service --company-id XXXXX --assess-id YYYYY --device-id ZZZZZZ
501 14209 6708 0 8:29PM
ttys000 0:00.00 grep trend
$
- ツールはバックグラウンドで自動実行されるので,Webサイトを確認.
- しばらくすると診断ステータスが「完了」になるので,「レポートの作成」をクリック.
- 次のように結果が表示される.
- スキャン完了.
アンインストール(macOS版)
- アンインストールは,次のURLにあるツールをコピペして実行する.
$ sudo sh RemoveTrendMicro.sh🆑
Password:
/Library/LaunchDaemons/com.trendmicro.icore.xdr.sa.plist: No such
file or directory
Unload failed: 2: No such file or directory
uninstall icore
uninstall EDRAgent
/Library/LaunchDaemons/com.trendmicro.EDRAgent.plist: No such file
or directory
Unload failed: 2: No such file or directory
stat: cannot read file system information for '%Su': No such file
or directory
id: ‘ File: "/dev/console"\n ID:
28ff2ff00000013 Namelen: ?
Type: devfs\nBlock size:
512 Fundamental block
size: 512\nBlocks: Total:
381 Free:
0 Available:
0\nInodes: Total: 660
Free: 0’: no such user: Invalid argument
current USER File: "/dev/console"
ID: 28ff2ff00000013 Namelen:
? Type: devfs
Block size: 512
Fundamental block size: 512
Blocks: Total: 381 Free:
0 Available:
0
Inodes: Total: 660 Free:
0 uid
/Library/LaunchAgents/com.trendmicro.EDRMainUI.plist: No such file
or directory
Unload failed: 2: No such file or directory
2022-01-03 02:43:58.645 defaults[18320:1326450]
Domain (com.trendmicro.EDRAgent) not found.
Defaults have not been changed.
uninstall XBCAgent
$
- unload failedが出る場合,trendでgrepできるプロセスをkillして,再度実行すれば良い.