今週気になったIT関連のニュース

2022年1月3日～2022年1月9日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• 自分達のランサムウェアに感染した攻撃者グループ
• 偽のシャットダウンで永続化を図るiOSスパイウェアのテクニック
• Log4jと依存関係の複雑さ
• 2021年のクラウド関連の情報漏えい事例まとめ
• 最後に

自分達のランサムウェアに感染した攻撃者グループ

What

• マルウェアを配布しているグループが自らのマルウェアに感染し、キー入力やデスクトップのスクリーンショットの情報が漏洩した。
• 漏洩した情報から、攻撃者が利用しているPC環境や攻撃被害にあっている組織の情報を読取ることができた。
• マルウェアに感染した事例は多く公開されているが、攻撃者自らが感染し、更に感染によって攻撃者の情報が漏洩してしまうというのは珍しい事例。

関連記事

• BADNEWS! Patchwork APT Hackers Score Own Goal in Recent Malware Attacks
• Patchwork APT caught in its own web | Malwarebytes Labs

偽のシャットダウンで永続化を図るiOSスパイウェアのテクニック

What

• iPhoneをターゲットにした新しいマルウェアの手法が研究者によって発表された。
• マルウェアには端末の再起動後にいかにして自身のプロセスを再度起動するかという問題があった。
  • 今回の手法は、iOS端末のシャットダウンプロセスに介入し、見た目上シャットダウンしたように見えるが、実際にはシャットダウンさせないという手法。
  • これにより、シャットダウンでプロセスが終了しないので、マルウェアはプロセスの有効時間を伸ばすことができる。
  • Springbootのプロセスを操作したりしているので、rootが取れていない環境では動かないと思う。
• 研究者の発表なので、まだIn the wildになっていないと思うが、実際に悪用される日も遠くないんだろうな。

関連記事

• New Trick Could Let Malware Fake iPhone Shutdown to Spy on Users Secretly
• Apple iPhone Malware Tactic Causes Fake Shutdowns to Enable Spying | Threatpost

Log4jと依存関係の複雑さ

What

• Log4jの対策がとても大変という話。依存関係としてLog4jが組み込まれている場合だけではなく、Classがそのまま埋め込まれている場合もあるらしい。
  • これは先日見かけたgoogleのLog4j scannerでいくらか見つけることができるのかもしれない。このツールでは、yaraのパターンとしてローカルのクラスファイルも全てscanしているっぽい。ただ、パターンとして登録されていないものは当然見つけることができない。
  • 今週気になったIT関連のニュース > Log4j scanner

関連記事

• Log4j flaw hunt shows how complicated the software supply chain really is | ZDNet

2021年のクラウド関連の情報漏えい事例まとめ

What

• 2021年のクラウドに関係する情報漏えい事例のまとめ
• 多い事例として挙げられていたもの
  • 静的なクレデンシャルが不正アクセスの初期ベクトル
  • 公開されたS3からの情報漏えい
  • SSRFによってインスタンスの資格情報が盗まれる
• 静的なクレデンシャルは、GitHubへの公開やandroidアプリデータ内への埋め込みなど
  • androidアプリからawsのアクセスキーを取得した研究者は、S3から様々な機密情報を取得することができることを確認した。
  • 公開されているS3に重要な情報を置いていた。
  • ApacheAirflowインスタンスを認証なしで公開していた。
  • マルウェアを使って静的なクレデンシャルを盗む（log4jの脆弱性を使う事例も確認されている）。
  • などなど。
• これらの事例を防ぐための対策として、下記が挙げられている。
  • IAMユーザは最低限に絞る。人間はAWS SSOかIdentity providers and federationを使う。
    • Identity providers and federation - AWS Identity and Access Management (amazon.com)
    • 可能であればAWSにアクセスするアプリケーションはAWSの環境で動かし、AWS Lambda execution roleのような機能を使ってアクセス許可を制限する。
  • あるべきでは無い場所にデータが存在しないか、Scanをする。
    • ツールがいくつか公開されている。
    • ローカル環境はDocker ImageのScanができる。
• 他にも、S3環境をHardeningする方法などが紹介されている。

関連記事

• GitHub - SummitRoute/csp_security_mistakes: Cloud service provider security mistakes
• Cloud Security Breaches and Vulnerabilities: 2021 in Review

最後に

2022年もクラウドに関わる情報漏えいや侵害の事例が多くでてくるんだろうな。

幸いなことに、攻撃の起点になる内容は激しく変化していないようなので、今のうちにクラウド環境を安全に使うための方法を復習しておこうと思った。