2012年11月12日月曜日
調査用のマルウェアを収集するためのサイト
調査のためにマルウェアを収集しなくてはならない。
だけど、ハニーポットを設置するのはめんどくさいし、目的のマルウェアが手に入るとも限らない。
そんなときに研究用でマルウェアサンプルを手に入れられるサイトを利用する。
アナライジングマルウェアの著書の中では下記のサイトが登録されている。2012年11月時点で実際に使うにはGoogleのアカウントが必要になる。本人確認のためらしい。
http://www.offensivecomputing.net/
そのほかにもいくつかあるが、このサイトにまとまっていたので参考。
http://zeltser.com/combating-malicious-software/malware-sample-sources.html
以下サイト名を抜粋
Contagio Malware Dump: Free; password required
KernelMode.info: Free; registration required
MalwareBlacklist: Free; registration required
MalwareBytes Forum: Newest Malware Threats: Free
MalwareBytes Forum: Newest Rogue Threats: Free
MD:Pro: Commercial
NovCon Twitter EXE Parsing: Free; provides links to live sites; may include benign files
NovCon Twitter EXE Parsing: Free; provides links to potentially-malicious executables shared on Twitter
Offensive Computing: Free
SecuBox Labs: Free
VirusShare: Free
ダウンロードおよび実行については自己責任で。
感染しても他人に迷惑をかけないようなクローズな環境を準備して実行してください。
2012年11月10日土曜日
DHCPv6 サーバの構築
IPv6 のアドレスを配布する方法には RA と DHCPv6 がある。
現状 RA についてはゲートウェイ、ネットワークプレフィックスしか配布できないため、アドレスを固定したい場合や DNS のアドレスを配布したい場合には DHCPv6 サーバを準備する必要がある。
DHCPv6 として使えそうなものはいくつかあるが、今回は ISC DHCP を使用。
基本的な設定方法は下記に記載がある。
http://tldp.org/HOWTO/Linux+IPv6-HOWTO/hints-daemons-isc-dhcp.html
以下、抜粋して日本語コメント。
そのため、DHCPv6 の起動時には -6 オプションをつけて起動
正常に起動すると下記のようなメッセージが出力される。
現状 RA についてはゲートウェイ、ネットワークプレフィックスしか配布できないため、アドレスを固定したい場合や DNS のアドレスを配布したい場合には DHCPv6 サーバを準備する必要がある。
DHCPv6 として使えそうなものはいくつかあるが、今回は ISC DHCP を使用。
基本的な設定方法は下記に記載がある。
http://tldp.org/HOWTO/Linux+IPv6-HOWTO/hints-daemons-isc-dhcp.html
以下、抜粋して日本語コメント。
起動スクリプトは IPv4 の DHCP も DHCPv6 も同じ dhcpd を使用する。
# 該当するするプレフィックス subnet6 2001:db8:0:1::/64 { # クライアントに配布するアドレスレンジ range6 2001:db8:0:1::129 2001:db8:0:1::254; # 配布するDNSサーバのアドレス option dhcp6.name-servers fec0:0:0:1::1; # ルータに権限委譲して配布させる場合に使用 prefix6 2001:db8:0:100:: 2001:db8:0:f00:: /56; # ここで端末のDUIDと固定アドレスをマッチさせる host specialclient { host-identifier option dhcp6.client-id 00:01:00:01:4a:1f:ba:e3:60:b9:1f:01:23:45; fixed-address6 2001:db8:0:1::127; } }
そのため、DHCPv6 の起動時には -6 オプションをつけて起動
コマンドの最後にインターフェースを指定する。これを省略する場合は
# /usr/sbin/dhcpd -6 -f -cf /etc/dhcp/dhcpd.conf eth1
/etc/sysconfig/dhcpd6にDHCPDARGS=""と言う箇所があるので、そこでインターフェースを設定する方法もある。正常に起動すると下記のようなメッセージが出力される。
正常に起動してもアドレスが取得できない場合は ip6tables や selinux を確認。
Internet Systems Consortium DHCP Server 4.1.0 Copyright 2004-2008 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/ Not searching LDAP since ldap-server, ldap-port and ldap-base-dn were not specified in the config file Wrote 0 leases to leases file. Bound to *:547 Listening on Socket/5/eth1/2001:db8:0:1::/64 Sending on Socket/5/eth1/2001:db8:0:1::/64
IPv6 の利用状況
APNIC の資料から上位20位まで抜粋。
http://labs.apnic.net/dists/v6dcc.html
こちらが8月に更新された情報。
日本の利用状況は2%程度。
次は11月に更新された情報。
日本が2.4%とじわりと上昇。
http://labs.apnic.net/dists/v6dcc.html
こちらが8月に更新された情報。
日本の利用状況は2%程度。
| Index | ISO-3166 Code | Internet Users | V6 Use ratio | V6 Users (Est) | Population | Country | |
|---|---|---|---|---|---|---|---|
| 1 | RO | 8664915 | 9.63% | 834431 | 22104376 | Romania | |
| 2 | EU | 0 | 4.62% | 0 | 0 | European Union | |
| 3 | FR | 50020615 | 4.44% | 2220915 | 64793544 | France | |
| 4 | LU | 466181 | 3.15% | 14684 | 510045 | Luxembourg | |
| 5 | JP | 100915928 | 2.08% | 2099051 | 126144911 | Japan | |
| 6 | US | 248018615 | 1.59% | 3943495 | 316754298 | United States of America | |
| 7 | CH | 6449538 | 0.95% | 61270 | 7659784 | Switzerland | |
| 8 | HR | 2652779 | 0.82% | 21752 | 4481047 | Croatia | |
| 9 | SK | 4344687 | 0.79% | 34323 | 5485717 | Slovakia | |
| 10 | NO | 4577875 | 0.68% | 31129 | 4709748 | Norway | |
| 11 | SI | 1417911 | 0.51% | 7231 | 1997059 | Slovenia | |
| 12 | CN | 516198120 | 0.45% | 2322891 | 1344265938 | China | |
| 13 | FI | 4664062 | 0.43% | 20055 | 5264179 | Finland | |
| 14 | CZ | 7215768 | 0.42% | 30306 | 10177388 | Czech Republic | |
| 15 | RU | 61120908 | 0.41% | 250595 | 137970449 | Russian Federation | |
| 16 | NL | 15147820 | 0.41% | 62106 | 16924939 | Netherlands | |
| 17 | DE | 67959550 | 0.40% | 271838 | 82175998 | Germany | |
| 18 | AU | 19811041 | 0.39% | 77263 | 22061293 | Australia | |
| 19 | MV | 113896 | 0.32% | 364 | 394107 | Maldives | |
| 20 | SE | 8459026 | 0.27% | 22839 | 9105518 | Sweden |
次は11月に更新された情報。
日本が2.4%とじわりと上昇。
| Index | ISO-3166 Code | Internet Users | V6 Use ratio | V6 Users (Est) | Population | Country | |
|---|---|---|---|---|---|---|---|
| 1 | RO | 8662247 | 9.78% | 847167 | 22097569 | Romania | |
| 2 | FR | 50070881 | 4.06% | 2032877 | 64858655 | France | |
| 3 | LU | 467192 | 2.63% | 12287 | 511152 | Luxembourg | |
| 4 | JP | 100869236 | 2.40% | 2420861 | 126086546 | Japan | |
| 5 | US | 248470498 | 1.75% | 4348233 | 317331416 | United States of America | |
| 6 | CZ | 7214242 | 1.35% | 97392 | 10175236 | Czech Republic | |
| 7 | CH | 6452246 | 0.81% | 52263 | 7663001 | Switzerland | |
| 8 | SI | 1417529 | 0.81% | 11481 | 1996521 | Slovenia | |
| 9 | NO | 4580751 | 0.71% | 32523 | 4712707 | Norway | |
| 10 | CN | 516678107 | 0.68% | 3513411 | 1345515906 | China | |
| 11 | SK | 4345768 | 0.68% | 29551 | 5487081 | Slovakia | |
| 12 | DE | 67951719 | 0.57% | 387324 | 82166529 | Germany | |
| 13 | NL | 15159055 | 0.52% | 78827 | 16937492 | Netherlands | |
| 14 | TW | 16197310 | 0.52% | 84226 | 23139015 | Taiwan | |
| 15 | LT | 2095531 | 0.48% | 10058 | 3521902 | Lithuania | |
| 16 | PT | 5473847 | 0.46% | 25179 | 10796544 | Portugal | |
| 17 | AU | 19854394 | 0.40% | 79417 | 22109571 | Australia | |
| 18 | SE | 8461613 | 0.37% | 31307 | 9108303 | Sweden | |
| 19 | FI | 4664776 | 0.36% | 16793 | 5264985 | Finland | |
| 20 | ZA | 6818114 | 0.32% | 21817 | 49051185 | South Africa |
2012年11月9日金曜日
iptables と ip6tables
IPv6 でサーバを構築するときの注意として ip6tables がある。
iptables は IPv4 の通信についての FW 機能を提供し、ip6tables は IPv6 のFW 機能を提供する。
これはインストール時から有効になっており、サーバ構築時には変更が必要になってくる。
そして、IPv6 の場合は複数のアドレスを持つ場合があるので、それらの管理を考える必要もあるので注意が必要。
取り急ぎサーバを構築して機能検証するなら ip6tables を止めるのもあり。
iptables は IPv4 の通信についての FW 機能を提供し、ip6tables は IPv6 のFW 機能を提供する。
これはインストール時から有効になっており、サーバ構築時には変更が必要になってくる。
[root@localhost ~]# chkconfig --list | grep tableコマンドの書式などは基本的に一緒。
ip6tables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
[root@localhost ~]# iptables --help
iptables v1.4.7
Usage: iptables -[AD] chain rule-specification [options]
iptables -I chain [rulenum] rule-specification [options]
iptables -R chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LS] [chain [rulenum]] [options]
iptables -[FZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)
[root@localhost ~]# ip6tables --help一緒で分かれていると言うことは、1台のサーバについて2つのFW機能を管理しないといけなくなる。
ip6tables v1.4.7
Usage: ip6tables -[AD] chain rule-specification [options]
ip6tables -I chain [rulenum] rule-specification [options]
ip6tables -R chain rulenum rule-specification [options]
ip6tables -D chain rulenum [options]
ip6tables -[LS] [chain [rulenum]] [options]
ip6tables -[FZ] [chain] [options]
ip6tables -[NX] chain
ip6tables -E old-chain-name new-chain-name
ip6tables -P chain target [options]
ip6tables -h (print this help information)
そして、IPv6 の場合は複数のアドレスを持つ場合があるので、それらの管理を考える必要もあるので注意が必要。
取り急ぎサーバを構築して機能検証するなら ip6tables を止めるのもあり。
登録:
投稿 (Atom)