Date

Education and Professional Services

Displaying 1 to 30 of 4433

Elements of Security Operations

The Elements of SecOps book outlines the fundamental strategies, tools, and processes for building a modern security operations team that is effective, efficient, scalable, and able to meet the needs of the business.
  • 0

パケット解析講座 5: Trickbot感染の調査

概要 ホストが感染した、または侵害されたとき、セキュリティ専門家は、ネットワークトラフィックのパケットキャプチャ(pcaps)にアクセスして、活動の内容を理解し、それがどのような種類の感染であるかを特定しなければなりません。 本チュートリアルでは、Trickbotを特定する方法についてのヒントを提供します。Trickbotは情報窃取を行うバンキングマルウェアで、2016年以降、感染被害が確認されています。Trickbotは悪意のあるスパム(マルスパム)を介して、またはEmotet、IcedID、Ursnifなどのマルウェアによって配信されます。 Trickbotには明確なトラフィックパターンがあります。本チュートリアルでは、2つの異なる経路で起こったTrickbot感染pcapsを確認していきます。1つめはマルスパム経由でのTrickbot感染、2つめはほかのマルウェア経由で配信されたTrickbot感染です。 注意: 本チュートリアルの解説は、この回で行ったカスタマイズ済みWireshark列表示を前提としています。またこの回で解説したWiresharkディスプレイフィルタもすでに実装されているものとしています。まだ完了していない場合はこれらの内容を完了してから読み進めてください。 マルスパム経由のTrickbot Trickbotは多くの場合マルスパム経由で配信されます。マルスパムには、請求書や文書を偽装したリンクが含まれていて、そのリンクから悪意のあるファイルをダウンロードさせようとします。ダウンロードされるファイルは、TrickbotのWindows実行可能ファイルの場合もあれば、Trickbot実行可能ファイルのためのダウンローダーである場合もあります。あるいは、電子メール内のリンクを使い、Trickbotの実行可能ファイルや、ダウンローダーを含むzipアーカイブを返してくる場合もあります。 図1は、2019年9月に発生した感染事例のフローチャートです。この事例では、メールにリンクが含まれていて、クリックするとzipアーカイブを返すようになっていました。このzipアーカイブには、Windowsショートカットファイルが含まれていて、そのショートカットファイルがTrickbot実行可能ファイルをダウンロードします。このTrickbot感染に関連するpcapは、こちらに保存してあります。 対応するpcapはこちらのページからをダウンロードしてください。このpcapは、パスワードで保護されたzipアーカイブファイル「2019-09-25-Trickbot-gtag-ono19-infection-traffic.pcap.zip」内に入っています。パスワードには「infected」と入力し、zipアーカイブからpcapを抽出したらWiresharkで開いてください。開いたら、前回までの講座で作成したディスプレイフィルタ、「basic」を適用して、Webベースの感染トラフィックを確認してください(図2参照)。 このトラフィックからは、最近のTrickbot感染でよく見られる次の活動が確認できます。 感染したWindowsホストがIPアドレスの確認をしている 447/tcp、449/tcp経由でHTTPS/SSL/TLSのトラフィックが発生している 8082/tcp経由でHTTPのトラフィックが発生している 「.png」で終わるHTTPリクエストがあり、Windows実行可能ファイルを返している このTrickbot感染に特有なのは、www.dchristjan[.]comに対するHTTPリクエストがzipアーカイブを返していること、そして144.91.69[.]195に対するHTTPリクエストがWindows実行可能ファイルを返していることでしょう。 ではここで、次の図3に示す手順でwww.dchristjan[.]comあてのリクエストを確認してみましょう。パケットを右クリックしてコンテキストメニューを開き、[Follow(追跡)]、[HTTP Stream(HTTPストリーム)]の順に選択してトラフィックを確認します。表示されたHTTPストリームから、zipアーカイブが返されている痕跡を確認できます(図4参照)。 図4からは、zipアーカイブに含まれるファイル名が「InvoiceAndStatement.lnk」であることも確認できます。 Wiresharkでは、トラフィックからzipアーカイブをエクスポートすることができます(図5、図6参照)。Wiresharkのメニューから、図5、図6に示した手順でエクスポートしてください。  [File(ファイル)]、[Export Objects(オブジェクトをエクスポート)]、[HTTP]を選択 HTTPオブジェクトのリストからContent Typeがapplication/zipの行を選んで[Save(保存)]をクリック お使いの環境がBSD系、Linux系、Mac OS X 環境であれば、続けてコマンドラインから、エクスポートしたファイルがzipアーカイブであることを簡単に確認し、ファイルのSHA256ハッシュ値を確認し、アーカイブ内容を展開することができます。この事例のアーカイブ内容はWindowsショートカットファイル(InvoiceAndStatement.lnk)なので、図7に示すようにSHA256ハッシュを確認して取得することもできます。 ファイルの種類を識別するコマンドは file [ファイル名] です。また、このファイルに対応するSHA256ハッシュ値は、shasum -a 256 [ファイル名] コマンドで得られます。 さて、144.91.69[.]195へのHTTPリクエストはWindows実行可能ファイルを返していました。これはTrickbotが初期に利用するWindows実行可能ファイルです。このHTTPリクエストのHTTPストリームを追跡すると、これが実行可能ファイルであることを示す痕跡を見つけることができます(図8、図9参照)。またpcapからは、この実行可能ファイルを抽出することができます(図10参照)。 初期感染トラフィックに見られるのは、443/tcp、447/tcp、449/tcp経由のHTTPS/SSL/TLSトラフィックと、感染WindowsホストからのIPアドレス確認です。この例での感染の場合、Trickbot実行可能ファイルのHTTPリクエストの直後に443/tcp経由で複数のIPアドレスに対してTCP接続が試行され、その後449/tcp経由で187.58.56[.]26へのTCP接続が成功している様子が確認できます。 以前の講座で作成したディスプレイフィルタ「basic+」を使うと、これらのTCP接続試行を確認できます(図11、図12参照)。 447/tcp、449/tcp経由で行われたさまざまなIPアドレスへのHTTPS/SSL/TLSトラフィックからは、まともなものではない証明書のデータが見つかります。 証明書の発行者を確認するには、Wireshark 2.xでは「ssl.handshake.type == 11」でフィルタリングします。Wireshark 3.xを使っている場合は、「tls.handshake.type == 11」でフィルタリングします。次に、フレームの詳細セクションに移動して情報を展開し、図13、図14に示した手順に従って証明書発行者データを見つけます。 図14からは、以下の証明書発行者データが、449/tcpを介した187.58.56[.]26へのHTTPS/SSL/TLSトラフィックで使用されていることがわかります。 id-at-countryName=AU id-at-stateOrProvinceName=Some-State id-at-organizationName=Internet Widgits Pty Ltd まともなHTTPS/SSL/TLSトラフィックであれば、州や県の名前が「Some-State」であったり、組織名が「Internet Widgits...
Brad Duncan,
  • 0

Wireshark Tutorial: Examining Trickbot Infections

A tutorial offering tips on how to identify Trickbot, an information stealer and banking malware that has been infecting victims since 2016.
Brad Duncan,
  • 0

URL Filtering Best Practices Webinar - On-demand

URL filtering is a critical component of a strong web security strategy. However, many URL filtering tools weren't originally designed to use firewall policies to block access or enable other security functions. As attackers continue to evolve, you need flexibility beyond traditional binary categorization and policies for URLs.
  • 0

ESDS Secures Virtualized Multi-Tenant Infrastructure with Palo Alto Networks VM-Series Firewall and Threat Prevention

ESDS Software Solution Pvt. Ltd. is one of India’s leading managed data center service and auto-scalable cloud solution providers. Founded in 2005 by first-generation entrepreneur Piyush Somani, ESDS began as an outsourced web hosting support provider that supported companies in the US and UK.
  • 0

What Is SASE?

Secure Access Service Edge or SASE (pronounced sassy), is an emerging concept that Gartner recently described in their The Future of Network Security in the Cloud report, released in August 2019.
  • 1
  • 205

Kerry Logistics Network Limited Secures Supply Chains with Palo Alto Networks

Kerry Logistics is an Asia-based, global third-party logistics (3PL) provider with the strongest network in Asia. Its core competency is providing highly customized solutions to multinational corporations and international brands to enhance their supply chain efficiency, reduce overall costs, and improve response time to market.
  • 0
  • 95

What Is Container Security?

A container environment, in general, encompasses your images, containers, hosts, container runtime (Docker, runC, cri-o, containerd), registries, and orchestrator. Understanding potential risks and how to protect your environment against them is essential.
  • 0

Gafgyt: 小規模オフィス/ホーム無線LANルーターに感染しゲームサーバーを攻撃するボットネット

Unit 42 researchers discovered an updated Gafgy variant that looks to infect home and small office WiFi routers of known commercial brands, like Zyxel, Huawei, and Realtek to attack gaming servers. More than 32,000 WiFi routers are potentially vulnerable to these exploits around the world.
Asher Davila,
  • 0

webベースの脅威: 2019年上半期の振り返り

The 5th installment in a series of posts tracking web-based threats over time from our Email Link Analysis (ELINK) system., specifically, statistics pertaining to malicious URLs, domains, exploit kits, vulnerabilities, and phishing scams.
Fang LiuTao YanJin ChenRongbo ShaoZhanglin HeBo Qu,
  • 0

Driving Zero Trust from the Top Down 5 Tips to Enable Zero Trust as a Leader

Zero Trust has become a strategic initiative for preventing successful cyberattacks, often driven from the top down. With so much buzz around Zero Trust, organizations still struggle to tactically implement a Zero Trust architecture. Join this session where John Kindervag, founder of Zero Trust, and Chase Cunningham, Principal Analyst for Zero Trust, give five tips on how, as a leader in your organization, you can empower your team to successfully deploy Zero Trust.
  • 0

Palo Alto Networks to Announce Fiscal First Quarter 2020 Financial Results on Monday, November 25, 2019

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, announced today that it will release the financial results for its fiscal first quarter 2020, ended October 31, 2019, after U.S....
Santa Clara, CA
  • 0

What is an EDR Platform?

In a SaaS model—where a company’s applications and data reside on third-party infrastructure, and the company’s employees can access those apps anywhere, from any device— taking a traditional approach to security is not enough.
  • 1
  • 304

Palo Alto Network’s Demisto SOAR platform gets major visualization, scalability boosts

In March, Palo Alto Networks completed their acquisition of a SOAR [Security Orchestration, Automation, and Response] platform with their acquisition of Demisto.
  • 0
  • 65

Web-Based Threats: First Half 2019

The 5th installment in a series of posts tracking web-based threats over time from our Email Link Analysis (ELINK) system., specifically, statistics pertaining to malicious URLs, domains, exploit kits, vulnerabilities, and phishing scams.
Fang LiuTao YanJin ChenRongbo ShaoZhanglin HeBo Qu,
  • 0

Legacy Networks: What Was There Before Zero Trust

To shift how we think about security design and deploying Zero Trust, it’s important to understand security as it predates the introduction of Zero Trust.
  • 2
  • 293

32,000+ WiFi Routers Potentially Exposed to New Gafgyt Variant

Researchers detect an updated Gafgyt variant that targets flaws in small office and home wireless routers from Zyxel, Huawei, and Realtek.
  • 0
  • 64

This aggressive IoT malware is forcing Wi-Fi routers to join its botnet army

Gafgyt has been updated with new capabilities, and it spreads by killing rival malware.
  • 0
  • 61

Home & Small Office Wireless Routers Exploited to Attack Gaming Servers

Unit 42 researchers discovered an updated Gafgy variant that looks to infect home and small office WiFi routers of known commercial brands, like Zyxel, Huawei, and Realtek to attack gaming servers. More than 32,000 WiFi routers are potentially vulnerable to these exploits around the world.
Asher Davila,
  • 0

MARS-E Executive Briefing

Making sense of MARS-E is geared towards State CIOs, Enterprise Architects, global system integrators (GSIs), and all Administering Entities (AEs) involved in the modernizing of state Medicaid, Integrated Eligibility, or Children’s Health Insurance Program (CHIP) systems
  • 0

Simplifying Security Across Cisco ACI

Christer Swartz explains how Palo Alto Networks Next-Generation Firewalls integration with Cisco ACI® enables you to apply a uniform security policy and posture across your physical and virtualized firewalls.
  • 0

Securing the 5G-Ready Telco Cloud

Watch this webcast and learn how to build a proactive defense around your telco cloud environments, enable cloud-agnostic security across distributed cloud architectures, and automate dynamic security policies in lockstep with workload creation and movement.
  • 0

Automating Security for Dynamic Workloads

Christer Swartz explains how you can protect your dynamic workloads by abstracting security from the IP address.
  • 0

Walking The Walk: Deploying Cortex in Our SOC

Watch it today and find out how to strengthen your SOC.
  • 0

Simplifying Security Across VMware NSX

Christer Swartz explains how you can protect your applications and data in the virtualized data center using the automated provisioning and deployment of Palo Alto Networks Next Generation Firewalls with VMware NSX.
  • 0

Building Secure Smart Cities in the Age of 5G and IoT

Smart cities are the next big thing and they’re going to take urban living to the next level. However, the interconnectivity in smart cities is not only their greatest strength but also their greatest weakness.
  • 0
  • 57

Palo Alto Networks Positioned as a Leader in Zero Trust Report

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, announced today it has been positioned as a leader in "The Forrester Wave™: Zero Trust eXtended Ecosystem Providers, Q4 2019," a...
Santa Clara, CA
  • 2
  • 87

静的分析によるPowerShellスクリプトの実用的振る舞いプロファイリング (3)

概要 3部構成となる本シリーズでは、PowerShellスクリプトの静的分析に対する実用的アプローチと、この静的分析実行のためのプラットフォーム非依存型Pythonスクリプト開発に焦点を当てています。本稿は第3回です。第1回はこちらで、第2回はこちらで確認してください。 シリーズ最後となる本稿では、サンプルにプロファイリング用スクリプトを実行し、出力された内容を解釈する方法を説明します。また、今回静的分析用スクリプトを作成して得られた全般的な知見について解説し、皆さんの組織でこのスクリプトをどんなふうに活用できそうかについて考察し、最後に本シリーズを通してこれまで説明してきたPowerShellProfiler.pyスクリプトを提供して内容をまとめたいと思います。 はじめに テストでは、手で分類した約5,000個のPowerShellスクリプトサンプルセットを使用しました。その内訳は、約3,000個の良性スクリプトと2,000個の悪意のあるPowerShellスクリプトです。筆者は次に、これらに含まれる振る舞いをプロファイリング用に分類していきました。そのさい、振る舞いのスコアリングをする上での調整役となりうるような、スクリプトの特徴その他の機能についても特定していきました。 まずはこの方法でベースラインを確立することで、多用される手法や結果の出やすい手法に慣れ親しみつつ、そこから得られた結果をプロファイリング用スクリプトに落とし込みました。これにより、残りの分析時間の大半を、目標値であるスコアリングしきい値6.0を下回った悪意のあるスクリプトサンプルの分析にあてることができました。そうしたサンプルからは、プロファイリングのプロセスをさらに強化できそうなポイントを見つけ出していくよう努めました。 PowerShellProfiler.pyの使いかた 本稿のプロファイリング用スクリプトは、Unit42 GitHubから取得できます。この中にPowerShellProfiler.pyというスクリプトがあります。使いかたは、入力用ファイルを -f フラグに続けて指定するだけです。これにより以下のような出力が生成されます。 $ python PowerShellProfiler.py -f 1 b987ba4983d98a4c2776c8afb5aebbe418cdea1a7d4960c548fb947d404e4b2 .MLWR 1b987ba4983d98a4c2776c8afb5aebbe418cdea1a7d4960c548fb947d404e4b2 .MLWR , 18.5 , Elevated Risk , 0:00:00.028457 , [Downloader - 1.5 | Starts Process - 1.5 | Script Execution - 1.5 | Compression - 1.5 | Enumeration - 0.5 | One Liner - 2.0 |...
Jeff White,
  • 0

How to negotiate with hackers

When your files are held to ransom, there are ways to get them back safely and securely
  • 0
  • 54
Displaying 1 to 30 of 4433