マカフィー、2018 年度脅威予測レポート発表

securingtomorrow.mcafee.com

• 「機会学習が防御・攻撃の双方に利用されるだろう」
• 「サーバーレスアプリの利用シーン拡大で攻撃面が広がるだろう」
  • 特権昇格問題、アプリの依存関係の問題、ネットワーク間を移動中のデータに対する攻撃など
• 「つながる機器が家庭にあふれ、意図した以上の情報が共有されてしまうだろう」
  • 家庭内でのプライバシーを侵害する機器が増え、そうしたデータを悪用する企業が増える
  • 制裁金や訴訟費用などの対策費が製品に上乗せされる
• 「子供とデジタル機器の関わりによりいっそう注意が必要になるだろう」
  • 小さな頃から様々なつながるデジタル機器に触れる機会をもつ子どもたち
  • インターネットという公共の場での発言にどう気をつけるべきか学習させる場が必要
  • ほんの出来心の不用意な発言がその後長きにわたり人生を狂わせることも

カスペルスキーの AV 製品を無効化して海賊版の MS オフィス製品を利用したことが原因でマルウェアに感染、結果 The Shadow Brokers に情報を漏えいさせた NSA 職員が誰かが有罪を認めて司法取引に応じる

Former NSA Employee Pleads Guilty to Taking Classified Data — Krebs on Security

• Krebs On Security では以前の別のエントリでロシア系アメリカ人の NSA の契約社員を犯人ではないかと指摘していた が司法取引に応じた人はこれとは別人だったため、本エントリの最後に以前のエントリを取り下げたというコメントがある。 ed3159.hatenablog.com

pastebin.com に公開されているデータを防御にも使おう

isc.sans.edu

• pastebin.com に公開されているデータは攻撃者が常に悪用しているが、このデータが防御にも使える
  • たとえば hxxps://pastebin.com/ABZ8Z8zy とか hxxps://pastebin.com/Tdvi8vgK とか
  • 公開すべきでない情報が公開されていないかどうか、すでに自社のインフラが攻撃を受けていないかどうかを調べてみよう
• pastebin.com のデータを CSV に保存して Splunk に処理させてみてはどうか
• 例 sourcetype=access_combined [|inputlookup dorks.csv | eval uri="*".dork."*" | fields uri]

エンドポイント AV 製品が検疫したファイルを管理者権限がないユーザーが解放し実行できるようにさせる AVGater の攻撃手法は現実的か?

• McAfee のブログポスト securingtomorrow.mcafee.com

• AVGater の攻撃手法について(英語) #AVGater: Getting Local Admin by Abusing the Anti-Virus Quarantine » #bogner.sh

  • 管理者権限のないユーザがログオンしている Windows 環境で、エンドポイントセキュリティ製品に故意にマルウェアを検疫させた後、ローカルの攻撃者が NTFS ファイルシステムのディレクトリジャンクション機能を悪用して任意の場所に検疫された同マルウェアを解放させ、別のプログラムに同マルウェアをロードさせることで実行させるというかなり複雑な手順を踏む必要がある
• McAfee 製品については、ユーザ権限でログインしている場合、そもそもマルウェアを検疫から解放できないので影響は受けない
• AVGater の攻撃手法考案者による攻撃手順は、ユーザ権限でログインしていても検疫からファイルを解放できる場合ありえないわけではない
  • ただし人による介入が必要で攻撃も順序を踏んで行う必要があるので、より単純な人の介入のいらない攻撃手法に比較すると実行に手間がかかる