Demisto DBot

Demisto の説明を受けたので、早速無料で利用可能なDemisto DBotを使ってみた。
DBotはSlack上からURL/IPアドレスのレピュテーションチェックが行えるbotである。

www.demisto.com


使い方はConfigureのページにあるとおりで、大まかに次の5つを行えばよい。

 1. VirusTotalからAPI key取得
 2. IBM X-Force XchangeでAPI key取得
 3. Slack上でVirusTotalIBM X-Force XchangeのAPI Keyをセット
 4. DBotを動作させるSlackチャンネルを指定
 5. Slackチャンネル上でレピュテーションチェックしたいURL/IPアドレスを入力


f:id:hs_work:20170120011038p:plain

VxStream Sandbox

インテリジェンスサービス調査を継続している。
"VxStream Sandbox" はPayload Securityが提供する無料マルウェア解析サービスであり、無料ID作成することで利用可能。
無料IDは機能制限があり、有償版との比較はこちらwww.hybrid-analysis.com
ポータルサイトに対してファイル(PE、Office、PDF等)をアップロードするかURLを指定する形式だった。
f:id:hs_work:20170118004226p:plain

また、API経由で直接データフィードも取得可能だった。
VxStream Sandbox Public API v1.0が公開されており、以下はCLIからハッシュ値で検索した例である。

# curl -X GET 'https://www.reverse.it/api/scan/040c0111aef474d8b7bfa9a7caa0e06b4f1049c7ae8c66611a53fc2599f0b90f' -A 'VxStream' -u <API Key:API Password>
{
    "response_code": 0,
    "response": [
        {
            "environmentId": "100",
            "sha256": "040c0111aef474d8b7bfa9a7caa0e06b4f1049c7ae8c66611a53fc2599f0b90f",
            "submitname": "3257422871.js",
            "environmentDescription": "Windows 7 32 bit",
            "size": 4714,
            "type": "ASCII text",
            "targeturl": "",
            "md5": "70a2b7c2b2f9c1abe65baae5f34c9f69",
            "sha1": "f5308a8730bb8c4972b4240c8379ed8954e7a45e",
            "multiscan_detectrate_pcnt": 16,
            "virustotal_familyname": "Nemucod.BB1",
            "virustotal_detectrate_pcnt": 16,
            "isurlanalysis": false,
            "analysis_start_time": "2016-06-14 11:35:07",
            "threatscore": 100,
            "isinteresting": false,
            "threatlevel": 2,
            "compromised_hosts": [
                "166.62.109.86",
                "193.23.244.244"
            ],
            "domains": [
                "osogeq.goldvredy.org",
                "zafronrestaurant.com",
                "ojuhjrykij.goldvredy.org"
            ],
            "hosts": [
                "166.62.109.86",
                "193.23.244.244",
                "212.92.97.33"
            ]
        }
    ]
}


以下の使い方のとおり、ユーザーエージェントを "VxStream" として指定する必要があり、少し嵌った。

How do I authenticate on the HTTP requests?
Currently, there is two ways to authenticate a HTTP request towards the server. Either pass the URL query parameters apikey and secret or use 'Basic Auth' with the >API key and secret as the username and password (recommended). Also, in order to bypass the internal User-Agent blacklist checks, a browser typical User-Agent >string or e.g. 'VxStream' has to be provided.

大陽日酸への不正アクセス

大陽日酸への不正アクセスが報道された。(2017年1月1日現在でIR公開はまだない)


この報道では「重要インフラ事業者っぽいのに公開(報道)されるまでの期間が長かったのは何故か」という点が気になった。
METI平成27年度都市ガス製造・供給システムのサイバーセキュリティ対策に関する調査事業報告書(PDF)を見てみるとガス分野の事務局は日本ガス協会技術部になっている。


f:id:hs_work:20170101235053p:plain


ただ、日本ガス協会は都市ガス事業を営む事業会社(東京ガスとか)を対象としており、産業ガス事業を営む大陽日酸とは対象範囲が異なる。そのため、産業ガス事業者は重要インフラ事業者の範囲には入っておらず、セプターカウンシル等の対応を行っていない可能性がある。
この件はIRの公開を待ってインシデント内容や公開までに時間が掛かったことに関する経営の判断等の情報を追っておきたい。

-----追記-----
1月5日に「弊社へのサイバー攻撃に関するお知らせ」が公開されていた。

IBM X-Force Xchange

インテリジェンスサービス調査の一環で "IBM X-Force Xchange" を調査している。
"IBM X-Force Xchange" はIBMが提供する脅威情報プラットフォームであり、ゲストユーザーでも利用可能。
ただ、IBM IDが無料で作成できたので、IBM IDを作成して利用してみた。 exchange.xforce.ibmcloud.com

ポータルサイトからレピュテーションの低いドメインを検索すると、リスク値とwhois情報が検索結果として返ってくる。
以下の他社サービスとも連携可能であり、IBMのインテリジェンス情報と併せて調査できる仕様になっていた。 画像は "PhishTank" と "VirusTotal" を連携させた状態。

  • BotScout
  • PhishTank
  • Recorded Future
  • ReversingLabs
  • RiskIQ
  • VirusTotal

f:id:hs_work:20161230021847p:plain f:id:hs_work:20161230022250p:plain

また、API経由で直接データフィードも取得可能だった。
IBM X-Force Exchange API Documentationが公開されており、以下はCLIからレピュテーションの低いドメインを検索した例である。

# curl -X GET --header 'Accept: application/json' 'https://api.xforce.ibmcloud.com/url/ashpeptide.com' -u <API Key:API Password>
{"result":{"url":"ashpeptide.com","cats":{"Malware":true},"score":10,"categoryDescriptions":{"Malware":"This category contains Web sites that install data transmitting programs without the user's knowledge."}}}

ただし、API経由でのデータフィード取得は5000回までの回数制限があり、超過する場合はIBM Marketplaceでライセンス購入が必要になる。
ポータルサイトのリンクは404だったが、USのサイトにある "IBM X-Force Exchange Commercial API" が対象と思われる) www.ibm.com

LOCKYの進化

ForcepointのブログでLOCKYの進化がまとめられていた。 blogs.forcepoint.com


ふと「LOCKYのデクリプターってあったんだっけ?」と考えたが、TESLACRYPT DECRYPTION TOOL(CiscoESET TeslaCrypt decrypter(ESET)RANSOMWARE DECRYPTOR(Kasperskyランサムウェアファイル復号ツール(TrendMicro)ではLOCKYが対象外となっているので、感染後の対応はバックアップから戻す方法が無難そう。(2016年12月23日時点)


ランサムウェアファイル復号ツール(TrendMicro)は ".locky" は対応済みなようであるが、".zzzzz" や ".osiris" のデクリプトは未対応っぽい。惜しい...

※3: .Locky(検出名:Ransom_LOCKY)の復号には対応しておりません。対応しているのは、AutoLocky(検出名:Ransom_AUTOLOCKY)です。

サイバーセキュリティ経営ガイドライン v1.1

サイバーセキュリティ経営ガイドラインの改訂版(v1.1)が2016年12月8日付けで公開された。


v1.0とv1.1の最大の違いは "2 サイバーセキュリティ経営の3原則" でセキュリティ投資が必要不可欠かつ経営者の責務として明記された点にあると考える。

  • v1.0

    セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。

  • v1.1

    ビジネス展開や企業内の生産性の向上のために IT サービス等の提供や ITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクと なっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。

担当者から経営層に対して「国がこう言っているんだからやりませう」的なことを言いやすくするために盛り込んだとかなんとか。
ガイドラインを指標として利用することはできるが、これを会社のルールにどう落とし込むかが難しい。