Suche senden
Hochladen
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event Secretariat
•
1 gefällt mir
•
371 views
Typhon 666
Folgen
Security-JAWS#19 で発表した「AWSイベント事務局からのなりすましメール送信に対するJAWS-UGのインシデントレスポンス」の内容です。
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 17
Empfohlen
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
Weitere ähnliche Inhalte
Was ist angesagt?
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
とある診断員とAWS
とある診断員とAWS
zaki4649
20181222 Talk about Security of Pairs without Their Permission
20181222 Talk about Security of Pairs without Their Permission
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
Was ist angesagt?
(20)
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
とある診断員とAWS
とある診断員とAWS
20181222 Talk about Security of Pairs without Their Permission
20181222 Talk about Security of Pairs without Their Permission
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
最近のやられアプリを試してみた
最近のやられアプリを試してみた
Owasp top10 HandsOn
Owasp top10 HandsOn
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
The Shift Left Path and OWASP
The Shift Left Path and OWASP
第8回脆弱性診断入門
第8回脆弱性診断入門
Mehr von Typhon 666
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
Typhon 666
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
Typhon 666
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
Typhon 666
20230718 Community support and awards from AWS are full of benefits
20230718 Community support and awards from AWS are full of benefits
Typhon 666
20230518_The results of the digital business card Prairie Card unveiled at th...
20230518_The results of the digital business card Prairie Card unveiled at th...
Typhon 666
Continuous Community Management and Output ~What We Cherished, Successes, and...
Continuous Community Management and Output ~What We Cherished, Successes, and...
Typhon 666
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
Typhon 666
Security-JAWS activity results for 2022 and activity goals for 2023
Security-JAWS activity results for 2022 and activity goals for 2023
Typhon 666
20221222 Looking back at my JAWS-UG output in 2022
20221222 Looking back at my JAWS-UG output in 2022
Typhon 666
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Typhon 666
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Typhon 666
20220121 JAWS PANKRATION 2021 re:Trospective
20220121 JAWS PANKRATION 2021 re:Trospective
Typhon 666
20211223 Intellectual Constipation, To the World!
20211223 Intellectual Constipation, To the World!
Typhon 666
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
Typhon 666
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
Typhon 666
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
Typhon 666
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
Typhon 666
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
Typhon 666
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
Typhon 666
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Typhon 666
Mehr von Typhon 666
(20)
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
20230718 Community support and awards from AWS are full of benefits
20230718 Community support and awards from AWS are full of benefits
20230518_The results of the digital business card Prairie Card unveiled at th...
20230518_The results of the digital business card Prairie Card unveiled at th...
Continuous Community Management and Output ~What We Cherished, Successes, and...
Continuous Community Management and Output ~What We Cherished, Successes, and...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
Security-JAWS activity results for 2022 and activity goals for 2023
Security-JAWS activity results for 2022 and activity goals for 2023
20221222 Looking back at my JAWS-UG output in 2022
20221222 Looking back at my JAWS-UG output in 2022
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
20220121 JAWS PANKRATION 2021 re:Trospective
20220121 JAWS PANKRATION 2021 re:Trospective
20211223 Intellectual Constipation, To the World!
20211223 Intellectual Constipation, To the World!
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event Secretariat
1.
Security-JAWS#19 2020/11/24 Shun Yoshie AWSイベント事務局からの なりすましメール送信に対する JAWS-UGのインシデントレスポンス
2.
自己紹介 • 吉江 瞬(@Typhon666_death) •
仕事:某セキュリティ企業でセキュリティコンサルタント • 主な活動コミュニティ: •OWASP Japan Promotion Teamメンバー •Security-JAWS 運営メンバー •X-Tech JAWS 運営メンバー •レトロゲーム勉強会運営メンバー •過去の発表資料など https://www.slideshare.net/Typhon666_death
3.
11/20(金) 早朝の出来事 AWSイベント事務局から早朝(私の場合、5:35)のメール ZIPファイル解凍用パスワードが記載されている ZIPファイル名は「request.zip」 何が起きたのか?
4.
AWSイベント事務局から早朝(中井の場合、5:38)のメール 同様の内容で、件名だけは違う なんとなく影響範囲は自分がこのイベント会社とやりとりした ことがある”JAWS DAYS”、”JAWS SONIC”、影響範囲が広い と”Amazon
Web Service Japan”にも関係してくると考え、 朝7:30頃からインシデントハンドリング開始 何が起きたのか?
5.
11/20(金)の時系列 5:35 7:32 7:407:22
7:57 8:10 8:26 AWSイベント事務局から なりすましメールを多方面に送信 中井→吉江に情報提供有り IPAへの連絡を依頼した JAWS-UG関西 山下さん→Slackチャンネルに共有有り 吉江→AWS沼口さんに情報共有(既読つかず) 吉江→AWSイベント事務局に調査依頼と IPAへの届け出サイトを共有 個人Facebookにて注意喚起・拡散 吉江→JAWS-UG事務局にWeb掲載依頼 吉江→AWS松本さんに情報共有
6.
11/20(金)の時系列 9:00 Web掲載完了・SNS告知準備 ネットワーク管理会社に調査依頼する連絡有り 9:30 Twitter/Facebookにて共有 9:50 Doorkeeperにて共有 10:00 中井→吉江にIPAが9:57に検体をDLしたとの報告有り 15:25 中井→吉江にIPAより”IcedID”との報告有り ”IcedID”受け取った場合に削除する旨の Facebook、JAWS-UG Slackに掲載 15:45 AWSのHPにて 注意喚起のページ掲載 10:26にSORACOM 社も注意喚起
7.
シェアして拡散してくれるのがとても速かった。 コメント上で、他にも有益情報が集まったりと便利 IPAからの連絡内容を反映させても、シェア先に すべて反映される。 Facebook上で注意喚起
8.
JAWS-UG運営事務局というのが実は正式に今年度からいます。(自分も事務局副長) 運用規則、会計報告、イベント立上げ時の確認などやっていたりします。 まさか、インシデントレスポンスで - Web掲載 - Twitter -
Facebook - Doorkeeper までやる事務局になるとは当初は おもっておらず。 加藤さん、古渡さん感謝! JAWS-UG Slack内で事務局とやりとり
9.
8:10掲載依頼から9:00に掲載完了 コミュニティのこのあたりの連携速度は ほんと速いなぁとおもった。 JAWS-UG公式HP上で注意喚起 https://jaws-ug.jp/
10.
15:45に掲載完了 AWS公式HP上で注意喚起 https://aws.amazon.com/jp/about-aws/whats-new/2020/11/guidance- about-phishing-mails/
11.
JAWS-UG 中井からIPAへの報告をお願い J-CRAT/標的型サイバー攻撃特別相談窓口 IPAに報告 https://www.ipa.go.jp/security/tokubetsu/index.html PPAPじゃないよ
12.
IPAからの報告
13.
IcedID https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/ Hash: b27ea49598e2da9a8c63d6f956da496a147b2b08cdedb06407a9d8af267486e8
14.
Virustotalで検体が検知できていないAV一覧(11/24 12:00時点)。有名どころで BitDefender DrWeb K7 Kingsoft McAfee Sophos Symantec ClamAV など IcedID
15.
今回は「コンテンツの有効化」は押下しておらず そのため、マルウェアのダウンロードは行われていない と考えられる。 ファイルの削除、スキャン対応を依頼。参考URLとして 先程のMAL-EATSのサイトを共有 ちなみに、なぜファイルを開いた かヒアリング ファイルを開いた方への対処
16.
セキュリティインシデントについて緊急で対応を請け負ってくれる企業がJNSAに てまとめられている。 初期相談が無料の企業もある サイバーインシデント緊急対応一覧企業 https://www.jnsa.org/emergency_response/
17.
事務局がどこかは簡単に判明する話なので、間違っても風評被害に合わないよう、 個々に努めてもらいたい。 ばらまきメールを開いた人も不思議に思うことがなくて開いたわけなので、責めら れることのないようにありたい。 改めて、該当メールを受信されてる方はメールおよび受信したファイルの削除をお 願いします。 お願い