今週は、WordPressプラグインの脆弱性、斬新なLinuxのマルウェア、そしてOsqueryというオープンソースのツールについてご紹介します。それでは早速、ご覧ください。
Hide My WP SQL インジェクションの脆弱性 (CVE-2021-36916)
プラグインのウェブページによると、「Hide My WP」は、攻撃者やスパマー、テーマ検出器からウェブサイトを隠すためのWordPressプラグインです。この記事を書いている時点で、26,000人以上のアクティブユーザーがいます。Patchstack の報告書によると、このプラグインの 6.2.3 より前のバージョンには、認証されていないSQL インジェクション攻撃の脆弱性があります。Patchstackは、この脆弱性を軽減するために、このプラグインをバージョン6.2.4にアップデートすることを勧めています。
CronRAT Linuxマルウェア
Sansec社が発見した「CronRAT」は、Eコマースサーバーを標的としたLinuxマルウェアです。多くのRAT(Remote Access Trojan)と同様に、C2(Command and Control)サーバーを使って攻撃者に感染したシステムへのリモートアクセスを提供し、RATのオペレーターが任意のコードを実行できるようにします。
記事によると、その主な功績は、存在しない日にLinuxのカレンダーサブシステム(「cron」としても知られている)に隠れていることです。また、ファイアウォールや侵入検知システムなどの一般的な検知メカニズムによる検出を避けるために、カスタムのバイナリプロトコルを使用して運営者のサーバーと通信します。このマルウェアのIoCに関する情報を収集するために、Sansec社が執筆した記事を確認することができます。
オスクライ&フリートDM
Osqueryは、Facebookが開発したオープンソースプロジェクトで、OSを高性能なリレーショナルデータベースとして公開しています。OSを高性能なリレーショナルデータベースとして公開し、SQLiteのクエリを使って、インストールされたデバイスに関するさまざまな情報を照会することができます。この情報には、実行中のプロセス、ロードされたカーネルモジュール、開いているネットワーク接続、ブラウザプラグイン、ハードウェアイベント、ファイルハッシュなどがあります。当社では、インフラ を監視するために、他のオープンソースツールと一緒にOsqueryを積極的に使用しています。
もうひとつのフリーのオープンソースツールであるFleetDMを使えば、Osqueryエージェントを複数のデバイスに展開し、簡単に管理することができます。FleetDMが提供するWebインターフェイスを使用して、クエリのスケジュール設定、クエリパックの作成、および脅威の探索を行うことができます。事前に書き込まれたクエリパックを提供しているこのリポジトリをチェックすれば、独自のFleetを展開する際に、すぐに使用することができます。
Osqueryの動作
Osqueryの有用性を示すために、CronRATのIoCの1つを見てみましょう。記事によると、1つの指標として、このRATは存在しない日、すなわち2月31日にcronjobとして身を隠しています。次のクエリを使って、この特定の日に実行されるように書かれたcronjobを探すことができます。
SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;このクエリは、Osqueryが管理するcrontabテーブルを使用して、ターゲットデバイスから情報を収集します。異なるオペレーティングシステム上でクエリ可能なテーブルの詳細については、スキーマを確認することができます。
オープンソースツールに貢献し、コミュニティの知識を共有することは、私たち全員がシステムを保護することにつながります。今後のセキュリティダイジェストでは、私たちがインフラ を守るために使用しているツールについて詳しくご紹介する予定です。それまでの間、あなたのお気に入りのオープンソース・セキュリティツールについてお聞かせください。お気軽にコメントをお寄せください。また、最新情報をお届けします。
コメント