Trivyという脆弱性スキャナをCentOSにインストールして、スキャンしてみました。
TrivyはOSやコンテナイメージの脆弱性(CVE)をスキャンして表示してくれます。
CentOS 7.9
CentOSにはリポジトリを作成してインストールするか、rpmをダウンロードしてインストールします。リポジトリを作成する方が簡単なので、そちらで行きます。
sudo cat << 'EOS' > /etc/yum.repos.d/trivy.repo [trivy] name=Trivy repository baseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$releasever/$basearch/ gpgcheck=0 enabled=1 EOS sudo yum -y install trivy
ノートPCのディスクの空きが足りなくなってきたので、「M.2 SSD」を256GB→1TBへ換装しました。
OS含むデータも移行します。
※M.2 SSDは換装前/換装後共にNVMe対応
※M.2↔USB変換ケースは、NVMeのみ対応(NVMe/SATA両対応のものは無かった)
(NVMeのみ対応が4,000円弱、SATAのみ対応が2,000円弱でした)
性能的に優れているので、特別な理由がなければ「NVMe」を使用するのが一般的
M.2 SSD↔USB変換ケースにSSDを組み入れます。ケースはNVMeとUSB3.1 Gen2を変換します。水色のやつは、振動を軽減する緩衝材でテープで張り付けて使います。
ELUTENGという中国の深センのメーカーの物です。アルミ金属製でカッチリしてて良いですが、付属ドライバーのサイズが合ってなくて空回りしてネジ頭がバカになりやすいです。
Amazonで3,599円でした(200円引きクーポン適用)、SATAのみ対応版だと1,500円位です。
ELUTENG - Hard Drive Accessories / M.2 Enclosures
http://www.eluteng.com/module/hardDrive/m2/details010.html
WD Blueの1TBのものです。
Amazonで12,800円でした。Kakaku.comの最安が12,799円なので価格的にも満足です。
「AcronisTrueImage WDEdition」を使用して移行します。
WDの製品サポートページからダウンロードします。
1. WDの製品サポートページに接続する
ソフトウェアおよびファームウェアのダウンロード | WD サポート
2. ソフトウェアをダウンロードする
3. ダウンロードしたzipを解凍してexeを実行する
※ディスクの空きが少ないとインストールが失敗します。2GB程度の空きでも失敗したので5GB空けて実施しました。
4. インストールが完了したらアプリを起動します。
ツールからディスクのクローンを選択する
1. 「ツール」 > 「クローンディスク」を選択する
2. モードを選択する
※「自動」で実施したんですけど、「手動」だとパーティションサイズなどが設定できるようです。
3. ソースディスクを選択する
4. ターゲットディスクを選択する
5. 実行する
クローンに掛かった時間は10分程度でした。
常時400MB/sの速度が出ていました。
>reagentc /info
Windows 回復環境 (Windows RE) およびシステム リセット構成
情報:
Windows RE の状態: Enabled
Windows RE の場所: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
ブート構成データ (BCD) ID: 8341862b-6691-11ea-a7ac-cc78be3bc177
回復イメージの場所:
回復イメージ インデックス: 0
カスタム イメージの場所:
カスタム イメージ インデックス: 0
>diskpart
DISKPART> select disk 0
DISKPART> list partition
Partition ### Type Size Offset
------------- ------------------ ------- -------
Partition 1 予約 128 MB 17 KB
Partition 2 システム 260 MB 129 MB
Partition 3 プライマリ 930 GB 389 MB
Partition 4 回復 1001 MB 930 GB
Acronisをインストールしたことで不具合がいくつか発生したので、移行完了後削除しました。
Boujourもインストールされているので、合わせて削除します。削除完了後はPCの動作も元に戻りました。
Capcomがランサムウェアの被害にあったとニュースがありました。
犯人は「Team of Ragnar Locker」と自称していて、使用されたランサムウェアも「Ragnar Locker」と呼ばれているようです。
そして三井物産セキュアディレクションのブログにCapcomで使われたランサムウェアの解析結果が掲載されていて、exeファイルにデジタル署名が付与されていると記載がありました。
署名情報の画像も載っていて、ロシアの有限会社の署名&GlobalSignの正規の証明書でした。
マルウェアにデジタル署名が付与されていることはよくあるそうで、2010年のF-Secureのブログにもデジタル署名されたマルウェアの話が載ってました。
(盗んだ証明書使ったり、署名情報をコピペするらしい(コピペの場合、認証(って言うのか?)は通らない))
ということで、exeファイルのデジタル署名に興味を持ったので、exeファイルと証明書を作成してデジタル署名の付与を試してみた。
exe作成:Visual Studio Community 2019(C++)
証明書作成:OpenSSL1.0.2
署名ツール:SignTool.exe ※Visual Studioに付属
MessageBoxを表示するだけのexeファイルを作成する。
#include <windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpszCmdLine, int nCmdShow) { MessageBox(NULL, TEXT("Hello, world!"), TEXT("Hello"), MB_OK | MB_ICONINFORMATION); return 0; }
作成したexeの実行結果
OpenSSLで証明書を作る。自己署名証明書にしました。
証明書を作成したら、PKCS#12(pfx)に変換する。
openssl genrsa 2048 > server.key openssl req -new -key server.key > server.csr openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crt openssl pkcs12 -export -inkey server.key -in server.crt -out server.pfx
作成した証明書(Subject名は適当)
「SignTool.exe」でexeに署名を付与する。
「SignTool.exe」はVisual Studioに付属のものを使います。
signtool.exe sign /f server.pfx /t http://timestamp.digicert.com msgbox.exe Done Adding Additional Store Successfully signed: msgbox.exe
「/t <URL>」オプションを付けると署名時刻が付くようです。
署名者の情報の「電子メール」欄は、証明書のサブジェクト情報となりました。(CSR作成時に設定したもの)
「/t <URL>」オプションを付けない場合、署名時刻はなし(利用不可と表示)となりました。
ファイルサイズは下記の通りでした。
「署名なし」 <「 署名あり(timestampなし) < 「署名あり(timestampあり)」
| exeタイプ | ファイルサイズ(Byte) | サイズ増(Byte) |
|---|---|---|
| 署名なし.exe | 9,216 | - |
| 署名あり(timestampなし).exe | 10,736 | +1,520 |
| 署名あり(timestampあり).exe | 14,656 | +3,920 |
証明書、署名情報は「Attribute Certificate Table」に格納されるようです。
「Attribute Certificate Table」はセクションの後ろに付くようです。
PE Format
PE Format - Win32 apps | Microsoft Docs
Windows Authenticode Portable Executable Signature Format
https://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx
2020/11/1? or 2?に発生した『サーバ管理会社が契約更新ミス 「ふくいナビ」全データがクラウドから消失、復旧不能に』というネットニュースを見て、何か悲しい気持ちになったので「ふくいナビ」とサイトを運営する「公益財団法人ふくい産業支援センター」について調べてみた。
NECキャピタルソリューションの社内手続きのミスで更新の手続きがされておらず、貸与期間が終了したとして全データが削除された。
ふくいナビは「公益財団法人ふくい産業支援センター」が運営する「福井の企業支援施策を見つけるためのポータルサイト」
facebook:https://www.facebook.com/fukuinavi/
URL:https://fukui-navi.gr.jp/https://www.fukui-navi.gr.jp/https://fnavi.fukui-navi.gr.jp
DNSレコードの内容は下記の通り(2020/11/09時点)。
| Host | Type | Value | Remarks |
|---|---|---|---|
| fukui-navi.gr.jp | SOA | primary name server = dns.fisc.jp responsible mail addr = postmaster.fisc.jp serial = 2016051000 refresh = 10800 (3 hours) retry = 1800 (30 mins) expire = 2592000 (30 days) default TTL = 10800 (3 hours) |
|
| NS | dns.fisc.jp | ミテネインターネット | |
| NS | nsx2.mitene.ad.jp | ミテネインターネット | |
| MX | fnavi.fukui-navi.gr.jp ← 消失 | [組織名]NEC/サービスデリバリ事業部 | |
| A | 202.225.138.47 ← 消失 | [組織名]NEC/サービスデリバリ事業部 | |
| www | A | 202.225.138.47 ← 消失 | [組織名]NEC/サービスデリバリ事業部 |
| fnavi | A | 202.225.138.47 ← 消失 | [組織名]NEC/サービスデリバリ事業部 |
Shodanで見るとTCP80,443,25が開いていたので、Webサーバとメールサーバ(兼MLサーバ?)が消失したと思われる。WebサーバはApacheだったもよう。
WebArchiveには2020/9/23のものが残っていて、PHPを使用したサイトでした。
→https://web.archive.org/web/20200923180350/https://fukui-navi.gr.jp/
「公益財団法人ふくい産業支援センター」は福井県の産業、個人/中小企業の企業家を支援する公益法人。
URLは「https://www.fisc.jp/」
DNSレコードの内容は下記の通り。
「ふくいナビ」とは異なり、NEC関連ではなく「ミテネインターネット」のサービスを使っている。
「ミテネインターネット」は福井市に本社を置く株式会社で、三谷商事・福井ケーブルテレビの子会社らしい。
→https://ja.wikipedia.org/wiki/ミテネインターネット
| Host | Type | Value | Remarks |
|---|---|---|---|
| fisc.jp | SOA | responsible mail addr = postmaster.fisc.jp serial = 2020030401 refresh = 10800 (3 hours) retry = 1800 (30 mins) expire = 2592000 (30 days) default TTL = 86400 (1 day) |
|
| NS | dns.fisc.jp | ミテネインターネット | |
| NS | nsx2.mitene.ad.jp | ミテネインターネット | |
| MX | mx.cloudz.jp | ミテネインターネット | |
| MX | mx-0.cloudz.jp | ミテネインターネット | |
| MX | mx-1.cloudz.jp | ミテネインターネット | |
| www | A | 202.238.60.11 | ミテネインターネット |
| dns | A | 202.238.60.12 | ミテネインターネット |
Windowsでプロセスの親子関係を確認する方法になります。
Linuxの場合「pstree」「ps f」で確認できます。
Microsoftが公開する「pslist」を使用します。
Windowsの仕様で、親プロセスが先に終了した場合、子プロセスは左寄せとなりツリー表示にはなりません。
例えば、コマンドプロンプト(cmd.exe)からメモ帳(notepad.exe)を開き、コマンドプロンプト(cmd.exe)を閉じると、メモ帳(notepad.exe)は左寄せとなります。
PowerShellでファイルをHTTP POSTしたかったので調べてみました。
サーバ側のコードもPHPで作成して、動作確認もしてみます。
クライアント: PowerShell v5.1
サーバ: CentOS7.6+Apache2.4.6+PHP5.4.16
「192.168.1.1」はWebサーバのIPアドレスです。
###########
# パラメータ
###########
$uri = "http://192.168.1.1"
$filePath = "C:\Users\test\test.txt"
###########
# Body
###########
$fileName = [System.IO.Path]::GetFileName($filePath)
$boundary = '----Boundary'
$tempFile = './tempfile'
$UTF8woBOM = New-Object "System.Text.UTF8Encoding" -ArgumentList @($false)
$sw = New-Object System.IO.StreamWriter($tempFile, $false, $UTF8woBOM)
$sw.Write("--$boundary`nContent-Disposition: form-data; name=`"up_file`"; filename=`"$fileName`"`n")
$sw.Write("Content-Type: application/octet-stream`n`n")
$sw.Close()
$fs = New-Object System.IO.FileStream($tempFile, [System.IO.FileMode]::Append)
$bw = New-Object System.IO.BinaryWriter($fs)
$fileBinary = [System.IO.File]::ReadAllBytes($filePath)
$bw.Write($fileBinary)
$bw.Close()
$sw = New-Object System.IO.StreamWriter($tempFile, $true, $UTF8woBOM)
$sw.Write("`n--$boundary--`n")
$sw.Close()
###########
# Post
###########
Invoke-RestMethod -Method POST -Uri $uri -ContentType "multipart/form-data; boundary=$boundary" -InFile $tempFile
Remove-Item $tempFile
動作確認のためのサーバ側のコードとなります。言語はPHPです。
簡易的なアップローダーとなります。
<?php $tempfile = $_FILES['up_file']['tmp_name']; $filename = './up_file/' . $_FILES['up_file']['name']; if (is_uploaded_file($tempfile)) { move_uploaded_file($tempfile, $filename); } ?>
「/var/www/html」配下に上記のPHPを「index.php」として配置し、「up_file」フォルダも作成します。
# ls -lR /var/www/html /var/www/html: 合計 4 -rw-r--r-- 1 apache apache 191 11月 7 23:35 index.php drwxr-xr-x. 2 apache apache 22 11月 7 23:38 up_file
クライアント側でPowerShellを実行したところ、ファイル「test.txt」を無事アップロードできました
/var/www/html/up_file: 合計 4 -rw-r--r-- 1 apache apache 30 11月 7 23:38 test.txt # cat /var/www/html/up_file/test.txt テストファイルです。
