UJP - 技術情報2 : RecentChanges Last 60

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  1. UiPath編集​/5.0編集​/install​/Extention編集​/Edge (1145d)
    • 2021-01-28 (木) 23:34:42 by ujpblog 差分

      ※現在(2021/01/28)は提供されてないようです.

  2. logmonInstall (1292d)
    • 2020-09-04 (金) 00:52:14 by nobuaki 差分
  3. MacOSX編集​/HigiSierra編集​/OSXserverHttpChangePort (1308d)
    • 2020-08-19 (水) 00:16:55 by nobuaki 差分

      http://localhost/ #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7465&macOSServer1.jpg,center)

      gaia:~ ujpadmin$
      gaia:~ ujpadmin$

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7466&macOSServer2.jpg,center)

       変更後のポートに接続できました.

  4. MacOS X編集​/ElCapitan編集​/OSXserverHttpChangePort (1310d)
    • 2020-08-17 (月) 17:17:49 by nobuaki 差分
      > /Library/Server/Web/Config/Proxy/apache_serviceproxy.conf.20160718🆑
      kairos:~ ujpadmin$ diff /Library/Server/Web/Config/Proxy/apache_serviceproxy.conf.20160718 \
      > /Library/Server/Web/Config/Proxy/apache_serviceproxy.conf🆑
      kairos:~ ujpadmin$ sudo killall httpd🆑
      kairos:~ ujpadmin$ !ps🆑
           0 34001     1   0 10:33PM ??         0:00.19 /usr/sbin/httpd -D FOREGROUND -f /Library/Server/Web/Config/Proxy/
      apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log
      apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log
      apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log
      apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log
      apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log
      apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log

      http://192.168.20.27:8081

  5. MacOSX編集​/HigiSierra編集​/snmpd (1311d)
    • 2020-08-16 (日) 02:12:00 by nobuaki 差分

       Disabledになっているので,起動してないのかな.

  6. Hardware編集​/Network編集​/NetgearWA510編集​/Hardware編集​/Network編集​/NetgearWA510編集​/1編集​/Insight (1311d)
    • 2020-08-16 (日) 01:55:35 by nobuaki 差分

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7426&Netgear_Insight-03.jpg,center)

  7. Hardware編集​/Network編集​/NetgearWA510編集​/Hardware編集​/Network編集​/NetgearWA510編集​/0編集​/OpenPackage (1311d)
    • 2020-08-16 (日) 00:28:48 by nobuaki 差分

       このルータはPoEに対応しているので,デフォルトではACアダプタが付いてないから,買うときに一緒に注文することを忘れないように.

  8. MacOSX編集​/HigiSierra編集​/mrtg (1316d)
    • 2020-08-11 (火) 01:14:11 by nobuaki 差分

      番外 anchor.png Edit

       こんなエラーがでるとき.

      $ mrtg mrtg.cfg
      Subroutine SNMP_Session::pack_sockaddr_in6 redefined at /System/Library/Perl/5.18/Exporter.pm line 66.
       at /usr/local/bin/../lib/mrtg2/SNMP_Session.pm line 149.
      Subroutine SNMPv1_Session::pack_sockaddr_in6 redefined at /System/Library/Perl/5.18/Exporter.pm line 66.
       at /usr/local/bin/../lib/mrtg2/SNMP_Session.pm line 604.
      2020-08-11 00:55:54, Rateup WARNING: /usr/local/bin/rateup could not read the primary log file for gaia_lan
      2020-08-11 00:55:54, Rateup WARNING: /usr/local/bin/rateup The backup log file for gaia_lan was invalid as well
      2020-08-11 00:55:54, Rateup WARNING: /usr/local/bin/rateup Can't rename gaia_lan.log to gaia_lan.old updating log file
      $

       vi /usr/bin/mrtgで開いて,次のように書き換える.

      変更前:import Socket6
      変更後:Socket6->import(qw(inet_pton getaddrinfo));

       次に,vi /usr/local/bin/../lib/mrtg2/SNMP_Session.pm で

      変更前:if (eval {local $SIG{__DIE__};require Socket6;} &&
      変更後:if (eval {local $SIG{__DIE__};Socket6->import(qw(inet_pton getaddrinfo));} &&

       原因は,Perlのバージョンアップとのこと.

  9. Windows10編集​/NetworkMonitor3.4 (1322d)
    • 2020-08-05 (水) 00:56:58 by nobuaki 差分
  10. Maltego編集​/4.2.9編集​/01編集​/Maltegoで迷惑メールを可視化してみる2020.06.19版 (1365d)
    • 2020-06-23 (火) 01:23:38 by nobuaki 差分

      読み取れる情報の確認 anchor.png Edit

       今回来たフィッシングメール.  楽天市場カスタマーを騙っているが,返信先のinforというのは正当なメールアドレスなのだろうか.  日本語もおかしい.「これは、カードが期限切れになったか。請求先住所が変更されたなど」とある.句読点に違和感があるので,わかりやすい.

       そして電話番号も記載されている点が,最近受け取ったフィッシングメールの中にない特徴.

       まずメールヘッダを確認.ご丁寧に,該当のメールアドレスはmyspaceから流出したものなので,それが記載されている.  そのほかは,メールサーバのIPアドレスなどが見て取れる.  本文には,フィッシング先のURLが記載.  楽天のURLに見せかけて,結局.xyzになっているよくあるパターン.スマホのブラウザでみると,先頭の文字しか表示されなかったりすることを利用した詐欺.

       もう1つURLが存在しているが,これはユーザ識別のためと思われるパラメータがついているので,メール配信サービスを利用しているのかと想像.

      Page Top

      調査 anchor.png Edit

       まずは仕入れたIPアドレスからAbuseIPDBで確認.

       半数以上は,問題のあるIPアドレスだとされている.  メールを配信したサーバにアクセスして見たけれど,ここは404で何も用意されてない模様.  今回はRobotexというサイトを使ってFQDNを調査.実際に割り当てられているIPアドレスが確認できた.  また,これも今回初めてaguseというサイトを利用.  ドメインがまだ取得されてから1ヶ月程度であることがわかるけれど,それ以上の情報は今回は取れなかった.

       Maltegoを使って,VirusTotalでチェックを実行すると,IPアドレスに対して複数のハッシュ値が.  それらを展開すると,見るも無残に...  そして電話番号をGoogleで検索すると,なりすまし詐欺メールという情報が次々と出てきます.この電話番号は使われてないのだろうなぁ.

  11. Maltego編集​/4.2.9編集​/01編集​/Maltegoで迷惑メールを可視化してみる2020.06.18版 (1370d)
    • 2020-06-18 (木) 01:47:50 by nobuaki 差分

       今回の最初の調査対象は,誘導先のメールアドレスと,メールアドレス. このメールアドレスの途中に+があるのは,特徴出来だな.(Googleのサブメールアドレス取得の手法)  そしてこのメールの文章は,何を示しているのかDeepLで翻訳.ちょっと何言っているのか,わかりません.  まずは,メールの返信先のMXレコードを調査.Google[.]comなのでGmailを使っている模様.  誘導先のWebサイト.該当のIPアドレスには,複数のドメインが割り当てられていて,その一部にマルウェアがあると表示されている.  ハッシュ値を調べると,いくつかのセキュリティベンダでの評価が.  詳細を確認するために,VirusTotalのサイトを確認したが,73分の5なので,悪いと言い切れないか.  通信先(C2サーバか,リフレクション攻撃先か)にあたるIPアドレスが出ていたので,調査.  これもGoogleでした.172で始まるのでついつい,プライベートアドレスかな?って誤認識してしまう.  次にメールヘッダを確認してみたが,これもGmailで利用されているメールサーバなので,怪しいわけではない.  そして誘導先のサイトに行ってみた.  フランス語で,ノーコメントと書かれているけれど,すぐ転送されちゃうね.Googleの検索ページに.これは封鎖されているからと考えている.

  12. WireShark編集​/3.2.4編集​/install編集​/windows10 (1371d)
    • 2020-06-17 (水) 00:23:41 by nobuaki 差分
      ページ内コンテンツ
      • Windows 10にWireshark 3.2.4をインストールする
        • 入手
        • インストール手順
        • インストール確認

      Windows 10にWireshark 3.2.4をインストールする anchor.png Edit

       ネットワークアナライザーツールといえば最近はこのWiresharkを使うことが多い模様.昔は,Snifferやtcpdumpを使っていたけれど,このWiresharkはGUI部分で,データのキャプチャはその他のツールを使う.  このドキュメントを作っている時点で,このツールについては詳しくないのだけれど,Wiresharkだけではデータの取りこぼしもあるので,ネットワークキャプチャは,それぞれまた別のツールを選択することもある模様.  今回の手順では,NpcapとUSBPcapのインストールも行う.

      Page Top

      入手 anchor.png Edit

       アプリは,公式サイトからダウンロードできる.

       WindowsやmacOSも選べる. インストールしたい対象のOSをクリックするとダウンロードできる.

      Page Top

      インストール手順 anchor.png Edit

       入手したインストーラを実行するだけでよい.

       TSharkというのは,コマンドライン版だということ.  Plugins & Extensionsに何があるか確認する.  Toolsの中身を確認.  AndroiddumpとかSshdumpなどはちょっと興味があるが,今回は気にしない.  Npcapはインストールする.  USBPcapもインストールする.  ファイルのコピーが始まる.  まずは,Npcapのライセンスの確認.  WiFiのキャプチャをしたいので,これを選択.  成功.  Npcapのインストールは完了.  次は,USBPcapのインストール.  USBPcapのインストールも完了.  Wiresharkのインストールは完了.  OSのリブートが必要.

      Page Top

      インストール確認 anchor.png Edit

       OSを再起動後,Wiresharkがインストールされて正常に動作するか確認.

       スタートメニューにアイコンの追加を確認.  問題なく起動した.

  13. Maltego編集​/4.2.9編集​/01編集​/Maltegoで迷惑メールを可視化してみる2020.06.06版 (1381d)
    • 2020-06-06 (土) 21:08:52 by nobuaki 差分

       数あるドメインのうちで,1つを適当にピックアップしてWebサイトがあることを確認.

       検出されたFQDNは,ベトナムのセキュリティベンチャー会社CyRadarから疑わしいサイトとして評価されている模様.

      フィッシングサイトにアクセスしてみる anchor.png Edit

       迷惑メール到着ほやほやなので,フィッシングサイトにアクセスしてみた.  よくある典型的なログインサイトを模したものになっている.

       存在しなさそうな適当なメールアドレスを入力.  パスワードも適当に入力.  ログインできました.

       そして個人情報を投入しろという画面になる.

       よくみると,お届け先がアメリカになっている...  今回はChromiumを使っているのだけれど,サイトのソースコードを表示. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7260&MeiwakuMail20200606_13.png,center)  アマゾンのロゴのファイルが登録されている.これは本物を登用したに違いない.

       back.pngという画像を確認.

       ログイン画面の後ろに表示されているものが1枚の画像になっている.

       この画像も日本向け.   気になったのがこのURL.  このs.amazon-adsystem.comを調査すると,アマゾンの正式な広告サイトの模様.

       この広告IDを調査すれば,犯人のたどり着けるかもしれない...ただの偽装かもしれないが,つまりフィッシングサイトを見るだけで犯人に広告収入が入る可能性があるのかと.

  14. Maltego編集​/4.2.9編集​/01編集​/20200603編集​/VirusTotal (1384d)
    • 2020-06-04 (木) 01:05:56 by nobuaki 差分

        試しに,VirusTotalのサイトでハッシュ値を検索.  該当の危ないサイトを確認してみる. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7245&MaltegoVirustotal12.png,center,mw:600,mh:600)  よくある,目的が微妙な比較サイト.

       少し不自然なのは,AdSenseなどの広告などがついていなかったり,プライバシーポリシー等の記載もない.

       改めて,ドメインからわかる情報を可視化.

       GMOインターネットでドメインを取得したことはわかる.  2019年12月3日には,このIPアドレスを使っていることもわかる. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7244&MaltegoVirustotal15.png,center,mw:600,mh:600)  IPアドレスから調べると,アメリカのさくらインターネットのような格安ホスティング業者のlinodeが出てきた.

      総評 anchor.png Edit

       表面上,問題ないサイトに見えて,そのサイトはもしかして重要なものを隠蔽して飄々としている仮面サイトかもしれないし,普通に脆弱性の問題によって乗っ取られているだけかもしれない.

       今回の場合,Webで見ることのできる情報にあるべきものが一つもなくて何のために構築されたサイトかもわからないので,裏で何か不穏なものが稼働している気配があるので,これは悪性サイトなのだろうと判断できる.

       ということで,初めてアクセスするサイトは,VirusTotalでチェックすべき.できないか.

  15. Maltego編集​/4.2.9編集​/01編集​/Maltegoで迷惑メールを可視化してみる2020.05.31版 (1387d)
    • 2020-06-01 (月) 01:49:23 by nobuaki 差分

       先日と同じ,ルイ・ヴィトンの安売りの迷惑メールが来た.前回はメール到着後,半日程度経って気づいていたので,分析を始めたらサイトが止められていて,そこまでだったので,今回はもっと速く分析してみようとチャレンジしてみた.

      迷惑メールの中身 anchor.png Edit

       こんなメール.

       以前分析したものと文面も商品も同じ.  サブジェクトとメアドと誘導されるメールアドレスも同じ.DKIMとDomainKeyが設定されていることも確認.

       商品の価格も一緒だったけれど,リンク先のドメインが異なることを確認.ちなみに,前回とは違うメアドに来たのだけれど,URLパラメータは一部異なっていた.個体判定なのかもしれない.

      Page Top

      分析してみる anchor.png Edit

       まず,メールを送信して来たメアドについて流出したものかどうかを確認.

       流出の事実はないので,乗っ取られたことでもないようだ.     その他の属性を確認.蹴っ翌サイトは404エラーになっているし,数値で適当に取られたドメインで,GoDaddyやdomainbyorixyなど,同じ手口であることが判明.

       扱っている素材がルイ・ヴィトンだからか,ロックダウンまでの時間がとても短く素早く対応されていることがわかる.

  16. Maltego編集​/4.2.9編集​/01編集​/Maltegoで迷惑メールを可視化してみる2020.05.30版〜Myspaceから流出したメアドに来た迷惑メールを追跡する〜 (1387d)
    • 2020-05-31 (日) 21:37:31 by nobuaki 差分

      Maltegoで迷惑メールを可視化してみる2020.05.30版〜Myspaceから流出したメアドに来た迷惑メールを追跡する〜 anchor.png Edit

       どのようなメールがきたか確認.

  17. macOS編集​/Gatekeeper (1390d)
    • 2020-05-29 (金) 16:39:32 by nobuaki 差分

      インストールしたMac Appの開発元を確認する anchor.png Edit

       すでにインストールされているアプリが,Appleに証明されているか確認する.

       調べたいアプリを,codesignコマンドで指定する.

       まずは,App Storeからインストールした,Monosnapを.

      $ codesign --display -vvv /Applications/Monosnap.app🆑
      Executable=/Applications/Monosnap.app/Contents/MacOS/Monosnap
      Identifier=com.monosnap.monosnap
      Format=app bundle with Mach-O thin (x86_64)
      CodeDirectory v=20200 size=58133 flags=0x200(kill) hashes=1809+5 location=embedded
      Hash type=sha256 size=32
      CandidateCDHash sha256=03bb860ec5dfca4c5b75e649edf9554c60587adc
      Hash choices=sha256
      CDHash=03bb860ec5dfca4c5b75e649edf9554c60587adc
      Signature size=4617
      Authority=Apple Mac OS Application Signing🈁
      Authority=Apple Worldwide Developer Relations Certification Authority
      Authority=Apple Root CA
      Info.plist entries=36
      TeamIdentifier=8DEE75ARD7
      Sealed Resources version=2 rules=13 files=427
      Internal requirements count=1 size=224
      $

       次に,pkgファイルをダウンロードしてインストールしたMicrosoft Teamsを確認.

      $ codesign --display -vvv /Applications/Microsoft\ Teams.app🆑
      Executable=/Applications/Microsoft Teams.app/Contents/MacOS/Teams
      Identifier=com.microsoft.teams
      Format=app bundle with Mach-O thin (x86_64)
      CodeDirectory v=20500 size=383 flags=0x10000(runtime) hashes=3+5 location=embedded
      Hash type=sha256 size=32
      CandidateCDHash sha1=de20994eafa3411c1c5e35679925ca09ec1a94c7
      CandidateCDHash sha256=ef8f97a75abc383dff7936fdd5d8e395aefbf3a8
      Hash choices=sha1,sha256
      CDHash=ef8f97a75abc383dff7936fdd5d8e395aefbf3a8
      Signature size=9061
      Authority=Developer ID Application: Microsoft Corporation (UBF8T346G9)🈁
      Authority=Developer ID Certification Authority
      Authority=Apple Root CA
      Timestamp=2020/04/02 7:48:09
      Info.plist entries=18
      TeamIdentifier=UBF8T346G9
      Runtime Version=10.12.0
      Sealed Resources version=2 rules=13 files=129
      Internal requirements count=1 size=180
      $

       次に,OSに付属しているSafariを確認.

      $ codesign --display -vvv /Applications/Safari.app🆑
      Executable=/Applications/Safari.app/Contents/MacOS/Safari
      Identifier=com.apple.Safari
      Format=app bundle with Mach-O thin (x86_64)
      CodeDirectory v=20100 size=321 flags=0x2000(library-validation) hashes=3+5 location=embedded
      Hash type=sha256 size=32
      CandidateCDHash sha256=ab20751f33bbb1371b91a81ea316e297901bcc3e
      Hash choices=sha256
      CDHash=ab20751f33bbb1371b91a81ea316e297901bcc3e
      Signature size=4485
      Authority=Software Signing
      Authority=Apple Code Signing Certification Authority🈁
      Authority=Apple Root CA
      Info.plist entries=40
      TeamIdentifier=not set
      Sealed Resources version=2 rules=13 files=1932
      Internal requirements count=1 size=64
      $

       んー.どこ見れば良いのかよくわからん.今日はここまで.

  18. Windows10編集​/Sysinternals編集​/Autorun (1390d)
    • 2020-05-29 (金) 01:29:55 by nobuaki 差分

       今回利用したのは,このバージョン.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7178&autorunsVersion.png,center)

       2019年リリースのv13.96.

      ページ内コンテンツ
        • Everythingタブを確認
        • 差分比較
        • VirusTotalとの連携
        • Process Explorerとの連携

      Everythingタブを確認 anchor.png Edit

       Autorunsには多くの情報が表示されているが,デフォルトで表示されているEverythingタブを確認してみる.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7078&autoruns04.png,center,mw:600,mh:600)  たとえば,タスクスケジューラで何が登録されているか確認できる.

      Page Top

      差分比較 anchor.png Edit

       autorunsを実行すると,現在の構成情報を収集しているが,この時の情報を保存する.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7177&autoruns05.png,center)  FileメニューのSaveを選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7176&autoruns06.png,center,mw:600,mh:600)  現在の状態をBefore.arnとしてとして保存する.

       このあと,プログラムをインストールしたりOSアップデートを行いシステム構成に変化をつける.

       その状態から,以前保存したbefore.arnファイルと比較を行う.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7175&autoruns07.png,center)  Compareを選択.  #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7174&Autoruns08.png,center)  変化点がないというエラーになる.

       autorunsは,実行する都度,情報を収集するので,情報が更新されてない.

       今回の場合,再度autorunsを実行する.autorunsを再起動すると,構成情報が再度収集される.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7173&autoruns09.png,center,mw:600,mh:600)  変化のあったファイルが確認できた.

       この場合,Windowsの起動の際に自動的にプログラムが起動するよう設定してあることが確認できた.

      Page Top

      VirusTotalとの連携 anchor.png Edit

       変化のあったファイルを,マルウェアかどうかチェックをする.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7172&autoruns10.png,center,mw:600,mh:600)  ファイルを選択し,Check VirusToitalを選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7171&autoruns11virustotal.png,center)     #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7170&autoruns12resumeVireusTotal.png,center,mw:600,mh:600)   #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7169&autoruns13ViruslTotalScore.png,center,mw:600,mh:600)   #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7168&autoruns14VirusTotalSite.png,center,mw:600,mh:600)  Webブラウザが開き,VirusTotalのサイトにアクセスされる.

      Page Top

      Process Explorerとの連携 anchor.png Edit

       同じSysinternalsで提供されている,Process Explorerと連携させることができる.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7167&autoruns15ProcessExplorer.png,center)  ただし,Process Explorerを予め起動しておく必要がある.   #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7166&autoruns16processExplorer.png,center,mw:600,mh:600)  起動した状態. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7165&autoruns17ProcessExplorerMenu.png,center,mw:600,mh:600)  メニューからProcessExplorerを選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7164&autoruns18.png,center,mw:600,mh:600)  今回の場合,Runsに登録されているプログラムが起動していたので,プロセスの詳細情報を取得することができた.

  19. Maltego編集​/4.2.9編集​/Shodan (1391d)
    • 2020-05-28 (木) 01:02:18 by nobuaki 差分

       某サイトのメールサーバに不正にログインを繰り返して来るIPアドレスがあるので,それがどう行ったものか,調査する.

       まずは,こんなエラーレポート.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7157&UseShodan_SASL_LOGIN_authentication1.png,center,mw:600,mh:600)  SASL LOGIN authentication failedがたくさん記録されており,怪しいのでこのIPアドレスを調査することとする.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7158&UseShodan_SASL_LOGIN_authentication2.png,center,mw:600,mh:600)  最初に,IPv4 Addressパレットをグラフにドラッグし,IPアドレスを設定する.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7159&UseShodan_SASL_LOGIN_authentication3.png,center,mw:600,mh:600)  右クリックで,To All Details[Shodan]を選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7160&UseShodan_SASL_LOGIN_authentication4.png,center)  ShodanのAPIキーの入力が必要と表示されるので,Shodanにログインしてキーを入手する.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7161&UseShodan_SASL_LOGIN_authentication5.png,center)  チェックボックスを選択すると,API Keyを覚えてくれる.(今後も,都度表示されるが・・・)

       RUNボタンを押下する. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7162&UseShodan_SASL_LOGIN_authentication6.png,center,mw:600,mh:600)  調査した結果.Viewボタンを押す. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7163&UseShodan_SASL_LOGIN_authentication7.png,center,mw:600,mh:600)  今回調査したIPアドレスの機器は,ドイツのInternet Hosting LTDを使っている模様.

       OpenSSH 7.4を利用しているので,CVEコードで指定されている脆弱性に対応できてない可能性が高い.

       これは攻撃手法を暴露してしまうということか...

  20. Maltego編集​/4.2.9編集​/ShodanCreateAccount (1391d)
    • 2020-05-28 (木) 00:19:30 by nobuaki 差分
  21. SecurityTool編集​/HIBPdomainSearch (1391d)
    • 2020-05-27 (水) 23:14:00 by nobuaki 差分
  22. Safari編集​/History (1393d)
    • 2020-05-26 (火) 00:59:50 by nobuaki 差分

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7112&SafariHistory4.png,center,mw:600,mh:600)

       ターミナルから,確認する.

       出力結果を,CSVファイルに出力する設定とする.

       次のSQL文を実行する.

       このSQLにある978307200は,1970年1月1日0時から2001年1月1日0時までの差.2001年1月1日0時というのは,Mac Absoulte timeという,この瞬間から刻んでいる絶対時間.macOSやiOSなどだけに流用できる.

       実行した後は,Control+DでSQLite3のモニターモードを抜ける.

       取り出したCSVファイルを確認.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7111&SafariHistory5.png,center,mw:600,mh:600)  CSVファイルに,Safariの履歴が保存されていることが確認できる.

  23. Windows10編集​/pktmon (1394d)
    • 2020-05-25 (月) 00:56:40 by nobuaki 差分

       このログファイルは,Microsoft Network Monitorを利用することで,読みやすくできる模様.

  24. MacOS X編集​/Software編集​/Brave (1396d)
    • 2020-05-23 (土) 01:59:31 by nobuaki 差分
  25. ForensicCollector編集​/AutoMacTC (1399d)
    • 2020-05-19 (火) 23:52:40 by nobuaki 差分
      bashコマンドヒストリを実行日時ごとに取得.
      browser_chrome_downloadsGoogle Chromeのダウンロードリスト.
      browser_chrome_historyGoogle Chromeの訪問履歴.
      browser_chrome_profilesGoogle Chromeのプロファイル.
      browser_firefox_downloadsMozilla Firefoxのダウンロードリスト.
      browser_firefox_historyMozilla Firefoxの訪問履歴.
      browser_safari_downloadsSafariのダウンロード履歴.
      browser_safari_historySafariの訪問履歴
      coreanalyticsApple診断プログラムの実行内容
      dirlistディスク全体のファイルとディレクトリリスト.
      installhistoryプログラムのインストール履歴.
      lsofコマンド実行時のファイルオープンリスト.
      mruSFLとMRUのplistを解析.SFLはSharedFileList.MRUは,Most Recentry Usedのことで,最近のアプリ実行履歴.
      netstatネットワーク情報
      pslistプロパティリスト.
      quarantinesダウンロードしたファイルの状態.一部は,WindowsのZoneInfoに近い感じ.
      quicklookQuicklooksのデータベース.
      runtime.logAutoMacTCの実行ログ?
      spotlightmacOSに付いている全文検索エンジンのSpotLightのトップ検索.
      ssh各ユーザーのknown_hostsおよびauthorized_keysファイルの解析
      syslogmacosの場合,syslog.logファイルの解析.
      systeminfo現在のIPアドレスやMacのシリアルNo.やホスト名など.
      terminalstateTerminalの保存状態のファイル.
      usersシステム上の現在のユーザーと削除されたユーザーのリスト
      utmpx端末上のユーザーセッションのリスト)
  26. Maltego編集​/4.2.9編集​/00編集​/IPinfo (1404d)
    • 2020-05-15 (金) 00:43:05 by nobuaki 差分
  27. Maltego編集​/4.2.9編集​/01編集​/20200514meiwakumail (1404d)
    • 2020-05-14 (木) 23:33:11 by nobuaki 差分

      Maltegoで迷惑メールを可視化してみる2020.05.14版 anchor.png Edit

  28. MacOS X編集​/daily.out (1405d)
    • 2020-05-14 (木) 15:32:59 by nobuaki 差分

      関連情報 anchor.png Edit

      daily.outのファイルサイズが大きいから,syslogコマンドを止めてみた http://www.ujp.jp/modules/d3blog/details.php?bid=3236

  29. Maltego編集​/4.2.9編集​/windows編集​/01編集​/install( (1405d)
    • 2020-05-13 (水) 23:49:01 by nobuaki 差分

       SHA256の場合,最後のMD5をSHA256にすればOKです.  ダウンロードしたファイルを実行する.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7026&Maltego03.png,center)  Java 1.8か.  Javaのライセンス問題で色々とあるけれど,インストールしようとしているバージョンには影響しませんとのこと.  JREも色々とあるけれど,結局Oracle版なのかな.  ローカルマシン上の他のユーザでも利用できるようにする.  スタートメニューに登録する階層なので,メーカ名のPatervaは削っても良いかもしれない.  MaltegoのMじゃなくて,PatervaのPなのでお間違えなく.  Javaのメモリ設定を最適化してくれる模様.

       そのためには,Maltegoの再起動が必要.  再起動されると,利用するライセンスを選ぶモードになる.

       今回は,Maltego CE(Free)を選択.  ライセンスを確認.  Malegoでアカウントを取得する.

       今回の手順書では,アカウント取得は省略.  既に取得済のアカウントでログイン.  エラーレポートを送付するかどうかは,お好きなように...  プライバシーモードは,Normalのママで.  ブランクのページが開きます.  正常に開けば,OK.

  30. Windows10編集​/Sysinternals編集​/whois (1406d)
    • 2020-05-13 (水) 11:53:00 by nobuaki 差分

      所感 anchor.png Edit

       最小限の機能になっているので,whoisサイトを使ったほうが良いでしょう.

       想定される利用方法は,どうしてもバッチ処理などで利用したいときに使う程度かな.

  31. Stellar (1407d)
    • 2020-05-12 (火) 00:31:45 by nobuaki 差分
  32. TestDisk編集​/7.1編集​/macos (1411d)
    • 2020-05-08 (金) 14:49:12 by nobuaki 差分

       今回利用したのは,TestDiskという無料ツールで,HomeBrew経由でインストールしているようしてみた.

  33. Maltego編集​/4.2.9編集​/00編集​/BlockChainInfo (1412d)
    • 2020-05-07 (木) 02:01:44 by nobuaki 差分
  34. Maltego編集​/4.2.9編集​/00編集​/HaveIbeenPwned (1412d)
    • 2020-05-07 (木) 00:22:30 by nobuaki 差分
  35. ThinTeleworkSystem編集​/Client (1417d)
    • 2020-05-02 (土) 15:24:20 by nobuaki 差分
  36. ThinTeleworkSystem編集​/Server (1417d)
    • 2020-05-02 (土) 14:57:42 by nobuaki 差分

      NTT東日本-IPA「シン・テレワークシステム」を使ってみる〜サーバ編〜 anchor.png Edit

       今回は,まずはサーバ(コントロールされる側),つまり職場で自分が使っているパソコンに設置する.

  37. Windows10編集​/AirMacUtility (1422d)
    • 2020-04-27 (月) 19:21:31 by nobuaki 差分

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6867&AirMacScan5.png,center,mw:600,mh:600)  Time Capsuleに接続できた.

      Time CapsuleのHDDをマウントする anchor.png Edit

       Time Casuleに接続が確認できたので,ネットワークドライブとして接続を行う.  [ネットワークドライブの割り当て]を選択.  ドライブレターをTとして,Time CasuleのIPアドレスと共有ドライブ名(ここではRAID3tb)を入力する.  ユーザIDとパスワードを入力とあるが,ユーザIDは必要ないはず...  認証を進めると,次のようにエラーが表示される.  「この共有には最新でないSMB1プロトコルが必要です」とある.

       SMB V1を有効にする.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6861&AirMacScan12SMBv1.png,center,mw:600,mh:600)  [設定]から[プログラムと機能]を選択し,[Windows 機能の有効化または無効化]を選択する. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6860&AirMacScan13SMBv1.png,center)  「SMB 1.0/CIFSファイル共有のサポート」にチェックを入れて,Windows 10を再起動し,再度接続すればネットワークドライブに接続することができる. 

  38. Windows10編集​/BluetoothLEexplorer (1422d)
    • 2020-04-27 (月) 00:54:44 by nobuaki 差分
  39. Windows10編集​/WindowsTerminal0.11 (1422d)
    • 2020-04-26 (日) 22:47:13 by nobuaki 差分

      設定 anchor.png Edit

       ▽をクリックして[設定]を選択.

       JSONファイルが開いた...settings.json.  中身を見ると,こんな感じ.

       メニューの設定は,このように追加すればよい模様.  そして,ALTキーを押しながら,[設定]メニューを押すと,default.jsonがが開く.

       まだ,タブになっているということと,PowerShellとコマンドプロンプトが同じ画面で切り替えられるという以外のメリットは無い模様...

  40. Maltego編集​/4.2.9編集​/00編集​/MovieDatabase (1425d)
    • 2020-04-24 (金) 00:53:55 by nobuaki 差分
  41. Maltego編集​/4.2.9編集​/mac編集​/01編集​/install (1427d)
    • 2020-04-22 (水) 18:10:23 by nobuaki 差分
  42. PowerShell編集​/tnc (1429d)
    • 2020-04-20 (月) 10:26:24 by nobuaki 差分
  43. Splunk編集​/7.3.1.1編集​/license (1461d)
    • 2020-03-19 (木) 19:42:53 by nobuaki 差分
  44. PowerShell編集​/ConstrainedLanguage (1498d)
    • 2020-02-11 (火) 00:03:27 by nobuaki 差分

      何が制限されるのか anchor.png Edit

       何が許されて何が制限されるのか,よくわからないので,以下のドキュメントを簡単に和訳しながら,理解していこうと思う.

      PowerShell Constrained Language Mode https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/

      • PowerShell module script files must explicitly export functions by name without the use of wildcard characters.
        • PowerShellモジュールスクリプトファイルは、ワイルドカード文字を使用せずに関数を名前で明示的にエクスポートする必要があります。
        • This is to prevent inadvertently exposing powerful helper function not meant to be used publicly.
          • これは、公的に使用されることを意図していない強力なヘルパー機能を誤って公開することを防ぐためです。
      • PowerShell module manifest files must explicitly export functions by name without the use of wildcards.
        • PowerShellモジュールマニフェストファイルは、ワイルドカードを使用せずに関数を名前で明示的にエクスポートする必要があります。
        • Again, to prevent inadvertent exposure of functions.
          • 繰り返しますが、機能の不注意な露出を防ぐためです。
      • COM objects are blocked.
        • COMオブジェクトはブロックされます。
        • They can expose Win32 APIs that have likely never been rigorously hardened as part of an attack surface.
          • 攻撃対象の一部として厳密に強化されたことのないWin32 APIを公開できます。
      • Only approved .NET types are allowed.
        • 承認された.NETタイプだけは許されます。
        • Many .NET types can be used to invoke arbitrary Win32 APIs. As a result only specific whitelisted types are allowed.
          • 多くの.NETタイプは、任意のWin32 APIを呼び出すのに用いられることができます。その結果、特定のホワイトリストされたタイプだけは許されます。
      • Add-Type is blocked.
        • Add-Typeは妨げられます。
        • It allows the creation of arbitrary types defined in different languages.
          • それは、任意のタイプの作成が異なる言語で定められるのを許します。
      • The use of PowerShell classes are disallowed.
        • PowerShellクラスの使用は、認められません。
        • PowerShell classes are just arbitrary C# type definitions.
          • PowerShellクラスは、ただ任意のC#タイプ定義です。
      • PowerShell type conversion is not allowed.
        • PowerShell型変換は、許されません。
        • Type conversion implicitly creates types and runs type constructors.
          • 型変換は、暗黙のうちにタイプを構築して、タイプ建造者を立候補させます。
      • Dot sourcing across language modes is disallowed.
        • 言語全体でモードを供給している点は、認められません。
        • Dot sourcing a script file brings all functions, variables, aliases from that script into the current scope.
          • スクリプト・ファイルを供給している点は、現在の範囲にそのスクリプトからすべての機能、変数、別名を持ってきます。
        • So this blocks a trusted script from being dot sourced into an untrusted script and exposing all of its internal functions.
          • それで、これは、信頼できないスクリプトに供給されて、その内部の機能の全てを露出させている点であることから、信頼されたスクリプトをブロックします。
        • Similarly, an untrusted script is prevented from being dot sourced into a trusted script so that it cannot pollute the trusted scope.
          • 同様に、それが信頼された範囲を汚染することができないように、信頼できないスクリプトは信頼されたスクリプトに供給される点であるのを防がれます。
      • Command resolution automatically hides commands you cannot run.
        • 司令部決定は、あなたが経営することができない司令部を自動的に隠します。
        • For example, a function created in Constrained Language mode is not visible to script running in Full Language mode.
          • たとえば、圧迫された言語モードで作成される機能は、完全な言語モードで動作しているスクリプトに見えません。
      • XAML based workflows are blocked since they cannot be constrained by PowerShell.
        • 彼らがPowerShellによって束縛されることができないので、XAMLに拠点を置くワークフローは妨げられます。
        • But script based workflows and trusted XAML based workflows shipped in-box are allowed.
          • スクリプト・ベースのワークフローと信頼されたXAMLに拠点を置くワークフローがイン・ボックスを出荷したことは、許されます。
      • The SupportedCommand parameter for Import-LocalizedData is disabled.
        • 輸入LocalizedDataのSupportedCommandパラメータは、使用不能です。
        • It allows additional commands prevented by Constrained Language.
          • それは、さらなる命令が圧迫された言語によって防がれるのを許します。
      • Invoke-Expression cmdlet always runs in Constrained Language.
        • Invoke-Expression cmdletは、常に圧迫された言語で動作します。
        • Invoke-Expression cannot validate input as trusted.
          • Invoke-Expressionは、信頼される入力を確認することができません。
      • Set-PSBreakpoint command is blocked unless there is a system-wide lockdown through UMCI.
        • システムに広がる監禁がUMCIを通してない限り、セットされたPSBreakpoint命令はブロックされます。
      • Command completers are always run in Constrained Language.
        • completersが常に代々起こられるという命令は、言語を束縛しました。
        • Command completers are not validated as trustworthy.
          • 命令completersは、信頼できるように、確認されません。
      • Commands and script run within the script debugger will always be run in Constrained Language if there is a system-wide lockdown.
        • システムに広がる監禁があるならば、スクリプト・デバッガーの範囲内で動く命令とスクリプトは常に圧迫された言語で動きます。
      • The DSC Configuration keyword is disabled.
        • DSC構成キーワードは使用不能です。
      • Supported commands and Statements are not allowed in script DATA sections.
        • サポートされたコマンドと声明は、スクリプトDATA部で許されません。
      • Start-Job is unavailable if the system is not locked-down.
        • システムがロックされないで下でないならば、スタート-の仕事は利用できません。
        • Start-Job starts PowerShell in a new process and if the system is not locked-down the new process runs in Full Language mode.
          • スタート-の仕事は新しいプロセスにPowerShellを始めます、そして、システムがロックされないで下でないならば、新しいプロセスは完全な言語モードで動作します。

       んー.直訳してそのまま載せたら,ちょっと意味わからんな.

  45. HomeBrew編集​/PowerShell6.2.4 (1508d)
    • 2020-02-01 (土) 19:22:05 by nobuaki 差分
  46. TrendMicro編集​/OnlineScanForHomeNetwork (1521d)
    • 2020-01-18 (土) 20:34:35 by nobuaki 差分

      test

  47. Windows10編集​/NearShare (1525d)
    • 2020-01-15 (水) 00:24:26 by nobuaki 差分

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6625&NearShare4.png,center,mw:600,mh:600)

  48. Windows10編集​/Sysinternals編集​/ProcessExplorer (1530d)
    • 2020-01-09 (木) 23:28:46 by nobuaki 差分
  49. Windows10編集​/Sysinternals編集​/bginfo (1530d)
    • 2020-01-09 (木) 22:31:01 by nobuaki 差分
  50. Windows10編集​/DeviceGuard_CredentialGuard (1530d)
    • 2020-01-09 (木) 22:04:20 by nobuaki 差分
      PS C:\WINDOWS\system32> cd C:\Users\ujpadmin\Desktop\dgreadiness_v3.6🆑
      PS C:\Users\ujpadmin\Desktop\dgreadiness_v3.6> .\DG_Readiness_Tool_v3.6.ps1 -Ready🆑
  51. Windows10編集​/ZoneInfo (1547d)
    • 2019-12-24 (火) 00:27:21 by nobuaki 差分

      ゾーン識別子情報とNTFS anchor.png Edit

       ファイルシステムがNTFSになって,ファイルストリームという機能がある.複数のファイルを1つのファイルとして扱う.この場合,本体のファイルとZone.Identifierという普段は見えないファイルがセットとなる.

       インターネットからダウンロードしたら,ブラウザによってZone.Identifierファイルにインターネットゾーンを示すZoneId=3をつけられ「危ないかも」というフラグをつけられるけれど,そのファイルを添付メールなどで転送すると,Zone.Identifier情報は消えてしまうそうだ.ファイルシステムに依存した仕組みだから.

  52. Windows10編集​/Environment編集​/drivers (1551d)
    • 2019-12-20 (金) 00:30:06 by nobuaki 差分
  53. PowerShell編集​/01編集​/Get-ExecutionPolicy (1552d)
    • 2019-12-19 (木) 00:45:22 by nobuaki 差分
  54. SecurityTool編集​/decompiler編集​/dnSpyV6.1 (1566d)
    • 2019-12-05 (木) 00:55:44 by nobuaki 差分
  55. SecurityTool編集​/zenmap編集​/mac (1575d)
    • 2019-11-26 (火) 20:16:59 by nobuaki 差分
  56. SecurityTool編集​/nmap編集​/mac (1575d)
    • 2019-11-26 (火) 19:47:56 by nobuaki 差分
  57. SecurityTool編集​/masscan編集​/mac (1575d)
    • 2019-11-25 (月) 23:45:36 by nobuaki 差分
  58. Windows10編集​/EventLog編集​/Audit (1582d)
    • 2019-11-19 (火) 01:21:28 by nobuaki 差分
  59. Splunk編集​/7.3.1.1編集​/mac編集​/07BossOfTheSOCv1Setup (1603d)
    • 2019-10-28 (月) 23:04:25 by nobuaki 差分

       ダウンロードできたら,ファイルを確認.

  60. Splunk編集​/7.3.1.1編集​/mac編集​/06LookupFileEditor (1609d)
    • 2019-10-23 (水) 01:28:10 by nobuaki 差分

       また,今回の手順では,ルックアップファイルの登録も行なっている.

      Lookup File Editorを使ってみる anchor.png Edit

       ルックアップファイルも追加したし,インストールしたLookup File Editorを使ってみる.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6436&SplunkAppLookupFileEditor17.jpg,center)  Splunkの左上のアイコンをクリックすると,ホーム画面に戻り,そこにLookup Fileが追加されている.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6437&SplunkAppLookupFileEditor18.jpg,center)  開いてみると,登録されているルックアップファイル一覧が表示され,今回登録したColdplayの楽曲リストも出て来た.

       Nameの列をクリック.

      #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6438&SplunkAppLookupFileEditor19.jpg,center)  表形式でエディタ画面が表示された.全データが表示されるようなので,非常に大きなルックアップファイルだとWebブラウザのメモリ消費量が大変そうな気がする.


トップ   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom

広告スペース
Google