代理教師、見参
今週の脅威情報ニュースレターは、休みを取っている Jon に代わって私がお届けします。
今日は皆さんをあの楽しかった青春時代に連れ戻すことにしたいと思います。そう、担任が休みで代わりの先生が来るとわかったあの瞬間です。代理教師はテレビを教室に運び込んで、あとは生徒の好きなようにさせてくれるでしょうか?それとも、4 年生の教室にふらりと入って来て、生徒がドストエフスキーをよく知らないことに愕然とするのでしょうか?私はそのどちらでもありません。今日は、神のお告げを伝える老賢者のように、皆さんにアドバイスを授け、講演会でよく尋ねられる質問の 1 つにお答えしようと思います。では皆さん、着席してください。騒がしくしたら、賢者の魔法にかけられるかもしれないのでご注意を。
講演会でスピーチをした後に尋ねられる質問のトップは、「一般向けの情報発信を任されるようになったのはなぜですか?」というものです。正直、私には答えられません。誰も気付かないことを願うばかりです。次の質問は、バリエーションはあってもいつも同じで、「どうやって脅威ハンターになったのですか?」「どうすればサイバーセキュリティの仕事に就けますか?」「どうすれば Talos で働けますか?」といったものです。答えはシンプルです。好奇心を持つことです。知的好奇心がカギとなります。特に、Talos について話す場合、私はさらに一歩踏み込んで(ドラマ『テッド・ラッソ:破天荒コーチがゆく』から)ウォルト・ホイットマンの言葉を引用し、「批判する心ではなく、好奇心を持ちなさい」とアドバイスします。文化に溶け込みポジティブな考え方をすることは、Talos の門をくぐるのに必要な難解な知識やスキルを習得することと同じくらい重要だからです。
セキュリティの分野には多くの道があり、進む道によってスキルセットは異なりますが、好奇心があれば、どの道であっても進むことができます。情熱のままに進めばいいと言う人は多いでしょうが、私はその意見には断固として反対です。適性に従ってください。セキュリティ分野で学び、成長するにつれて、簡単に実現できるものもあることに気付くでしょう。その場合は風に逆らうことなく、柳の木のように身を任せましょう。道を歩み始めたばかりなら、助けになってくれる人を探してください。スキルを身に付けるのを大いに助けてくれる人、非常に役に立つサイトやリソースは数え切れないほど存在します。好奇心があれば、すぐに見つけられるでしょう。BSides
や地元のセキュリティグループ(AHA など)に参加してみてください。Snort をインストールしてネットワーク上のトラフィックがどのように見えるかを学び、カスタムシグネチャを作成してみましょう。ご自分の環境に Kali をインストールし、失敗しながら何かを学んでみてください。このうちの 2 つを組み合わせたらどうなるのか体験してみましょう。さらに歩みを進め、アナリストからマルウェア研究やリバースエンジニアリングといった次のステップを目指すことに興味がある場合は、まず『hasherezade’s 1001 nights』に目を通して、その道を進む適性が自分に備わっているかどうか確かめてみることをお勧めします。何かにチャレンジして失敗することを恐れないでください。最初からすべてうまくいくとは思わないことです。質問することを恐れず、知らないことがあるという事実を認めましょう。私がこれまで習得してきた最も重要な知識は、たいてい、「わからないので教えてもらえますか?」と尋ねることで得られたものです。
結局のところ、仕事をしている人の数だけ道は存在します。Talos のメンバーの経歴は驚くほど多種多様ですが、全員、好奇心は旺盛です。
重要な情報
重要なのは、明らかに私は代役を務めていて、セキュリティの世界ではすべてがいつも通りだということです。脆弱性の悪用も、セキュリティベンダーの統合も続いています。世界はこれまでと何も変わっていません。『THIS IS FINE』の犬が言っているように、「それでいい」のです。
注意すべき理由
セキュリティに懸念があると夜眠れなくなるからです。聞えてくるのは『A Cup of Liber-Tea』(ゲーム『Hell Divers 2』のメインテーマ曲)です。
必要な対策
力を合わせて、『Hell Divers 2』の管理民主主義のようにマネージドセキュリティを広めましょう。
今週のセキュリティ関連のトップニュース
Apple 社の M シリーズチップで新たに発見された脆弱性を突いて、Mac で広く使用されている暗号操作を実行する際に秘密鍵を盗み取れることが、大学研究者らが木曜日に発表した論文で明らかになりました。(情報源:Ars Technica、Wired)
Metasploit Framework 6.4 のリリースが発表されました。いくつかの改良が加えられています。正規表現に対応した Windows Meterpreter の新機能も追加されており、プロセス内のメモリを検索してユーザーが指定したパターンを特定できます。(情報源:Rapid 7)
Talos についての関連情報
- シスコ、280 億ドルの Splunk 社買収を完了:AI、セキュリティ、パートナーに関する 5 つの重要事項
- Beers With Talos:長年の研究者のエピソード
- ワープロソフト一太郎の複雑な脆弱性を分析し、任意コードの実行に成功
Talos が参加予定のイベント
Botconf(4 月 23 ~ 26 日)
コート・ダジュール、ニース(フランス)
Chetan Raghuprasad によるこのプレゼンテーションでは、Supershell C2 フレームワークについて詳しく説明します。攻撃者はこのフレームワークを大規模に使用し、Supershell インプラントを用いてボットネットを作成しています。
CARO ワークショップ 2024(5 月 1 ~ 3 日)
バージニア州アーリントン
比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体(CIS)に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5: ff1b6bb151cf9f671c929a4cbdb64d86
一般的なファイル名: endpoint.query
偽装名:Endpoint-Collector
検出名: W32.File.MalParent
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5: bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名:bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:e38c53aedf49017c47725e4912fc7560e1c8ece2633c05057b22fd4a8ed28eb3
MD5: c16df0bfc6fda86dbfa8948a566d32c1
一般的なファイル名: CEPlus.docm
偽装名:なし
検出名:Doc.Downloader.Pwshell::mash.sr.sbx.vioc
本稿は 2024 年 03 月 28 日に Talos Group
Tags:
