FalconNest というツールをご存知でしょうか？

何か厨二病をくすぐるような名前のツール（「ファルコンネスト」と読む）ですがれっきとしたセキュリティのツールです。株式会社ラック様が提供している Web サービスで主に標的型攻撃による侵害痕跡の発見とマルウェアの判定を手軽に行ってくれます。機能としては下記の3つに分類されます。

・侵害判定サービス（Live Investigator：LI）

・マルウェア自動分析サービス（Malware Analyzer：MA）

・メモリ自動分析サービス（Phantom Seeker：PS）

詳細に関してはラック様のサイトに記載されておりますのでご参照下さい。

無料調査ツール「FalconNest（ファルコンネスト）」 | セキュリティ対策のラック

どうやったら使えるの？

FalconNest

利用に際してはユーザ登録が必要です。自前の Gmail アドレスや UCOM アドレスは弾かれました。明らかな個人用はダメっぽいですね。利用可能なアドレスで登録出来ると基本は翌営業日に対象のメールアドレスへ折り返しメールが来るようです。

メールに記載されている情報をベースにログインすると下記のような画面が。

今回は LI の機能を利用してみようと思います。利用するに際して対象のマシンで（膨大な）ログを収集する必要があります。ツールは下記画像の赤枠部分をクリックすることでダウンロードできますのでダウンロードし次第、対象のマシンにコピーし任意の場所に展開して下さい。

対象のマシンで「start.bat」を実行すると処理が開始されます。ところどころ同意を求められるところがありますので定期的にチェックして下さい。ちなみに当ツールは Windows Sysinternals の「Autoruns」（自動起動プログラムのチェック）や「Sigcheck」（署名検証のチェック）を利用しており疑わしき挙動がないかを確認するログを収集しているようです。完了までに20分程度かかりました。

アウトプットされた zip ファイルを FalconNest の LI 機能ページへアップロードしましょう。分析中は「結果」列に「分析中」と表示されますので待ちます。途中途中更新して確認しましたが、15分程度かかったようです。

分析後は疑わしきと思われる項目が表示され、更に詳細を確認することも可能です。スクショは敢えて掲載しませんが、まずはお手軽に調査するという意味でもオススメのツールだと思いました！

今、流行の Emotet とは？

昨年10月後半ころから観測されているマルウェアの1種でここ最近の中では一番よく耳にするマルウェアかと思います。Word ファイルを開いた際にマクロ実行することにより Emotet がダウンロードされ下記のような挙動を引き起こします。

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取したパスワードを悪用され SMB によりネットワーク内に感染が拡散する

・メールアカウントやパスワードが窃取される

等　etc...

Wannacry の際も同様でしたがこの手のマルウェアは 445 ポートを利用する傾向があります。環境にもよりますが、ファイアウォール等でポートブロックの見直しが必要かもしれません。

感染しないために設定の見直しを！

Word ファイルを開いた際のマクロ実行に関しては下記のような設定で挙動が変わります。（参考例は Office 2013 のもの）

当画面は［ファイル］➡［オプション］➡［セキュリティ センター］➡［セキュリティ センターの設定］➡［マクロの設定］で確認可能です。

仮に一番下4つ目の設定になっていた場合はその名の通り危険なので見直しましょう。ちなみにですが、当設定値はレジストリ値でも確認可能です。下記例は 2013（15.0） の場合なので適宜ご自身が利用されているバージョンに置き換えてご確認下さいませ。

コンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Word\Security

「VBAWarnings」の値で判断することが可能で、前述の画像では上から 4 2 3 1 とマッピング可能です。なぜか 4 3 2 1 でないところがミソです。LanScope Cat を導入されている企業様の場合は管理しているクライアントPCのレジストリ値を確認することも可能なのでこの機会に見直してみてはいかがでしょうか？（ただし、一度以上設定を変更しない限りはデフォルトで 2 が設定されているようで当値は一度変更した上で表示されるようになりました。Excel 側も同様の仕組みです。）

感染しているか確認できないの？

少なくとも（怪しいなりすましの）添付の Word 文書でおかしなマクロを実行した覚えが無い限りは大丈夫だと思いますが不安な方は下記のツールをダウンロードしてチェックすることをオススメします。

github.com

実行して下記のメッセージが出力された画面が表示されれば問題ありません。

最近、マルウェアもこれだけ話題なのでそろそろアンチマルウェア対策しないとなぁ、、と。

先日の Microsoft Ignite にて

当ブログでも取り上げましたが、アメリカのオーランドで開催された Microsoft Ignite にて Azure Arc というサービスが紹介されていました。「コレなんぞや？」というところに関してはサービス紹介記事を別途あげているのでご覧下さいませ。

btsn.hatenablog.com

Azure Arc (Preview) を試してみる

現状はまだGAされておらず、Preview 状態です。ただ、試すことは出来るので概要を知るために下記サイトを参考にして。

クイック スタート - サーバー向け Azure Arc を使用してマシンを Azure に接続する - ポータル | Microsoft Docs

対象となるOSとして

・Windows Server 2012 R2 以降

・Ubuntu 16.04 および 18.04

が挙げられており、今回は前者の Windows Server 環境で試してみます。

まずは、https://aka.ms/hybridmachineportal にアクセス。未だこの時点では Azure Arc のターゲットとなるマシンは存在しない為、「追加」を押下します。

続いての画面に関しては「大規模に～～」というのが今回の趣旨ではなさそうなので「対話型スクリプトを使用したマシンの追加」を選択します。スクリプトの生成に関しては下記の形で作成しております。「地域」に関してはメタデータの格納場所になりますが、本日時点では「西ヨーロッパ」・「東南アジア」・「米国西部 2」の3カ所のみです。

その後の確認画面ではサブスクリプションの登録の為に「登録」を押下、その間にスクリプトを対象の Windows Server 側で PowerShell で実行しましょう。ちなみにファイルをダウンロードするのでカレントパスは適宜移動しておいて下さいませ。（スクリプトの3つ目に関しては自環境の情報が含まれるので意図的に隠しております。笑）

3つ目のスクリプト実行を行った際に URL と コードが表示されるので（別マシンのブラウザでもOKなので）URL 入力してコードも入力しましょう。

この通りに進行すると PowerShell（Windows Server 側）の画面では数十秒後にレスポンスが戻ってきます。

level=info msg="Successfully Onboarded Resource to Azure" VM Id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

 完了し次第、Azure Arc のホーム画面に戻ると・・・・？

無事追加されていました！Azure の Portal 上に自マシンがあると変な感じですね。笑

今後の動向も含めてチェックしていこうと思います！

追記（Appendix）

2020/02/05

死活監視としてオフラインになるまで20分弱かかったような。ドキュメント上では「5分以内」との記述があったのですが環境のせいなのか。。

ターゲットに対するポリシー（準拠しているかどうか）の適用ができますが、下記のような画面になります。印象としては「オンプレ ＜ クラウド」寄りのポリシーが多い？感じです。

ちょっとした Tips です

以前よりプリザンターに関する記事を数記事上げておりますが、最近はどっぷりとプリザンターに触れることがあるため少しずつ Tips を上げていこうと思います。

 サイト更新後に別サイトも更新したい場合の Tips

早速サンプルスクリプトですが下記を参照下さい。処理内容に関しては一通りコメントに記載しております。

$p.events.after_send_Update = function (args) {
    // 対象となるサイトのID
    var hogeId = "(siteId)";

    // 対象となるレコードを全て取得し update する
    var getJson =
    {
        'id' : hogeId,
        'data' : {
            // 対象のテーブルに対して更新する権限を持つ APIKEY を利用する
            "ApiKey": "(APIKEY)",
            "View": {
                "ColumnFilterHash": {
                        // 「$p.id()」は現状更新しているレコードの ID を指す
                        // （レコードの ID はキーとなるものを指す）
                        "ClassY": $p.id(),
                    }
                }
            },
        'done' : function(data) {
            if (data.StatusCode == 200 && data.Response.Data.length > 0) {
                for(var i in data.Response.Data) {
                    // ColumnFilterHash 対策（部分一致のみな為）
                    if($p.id() == data.Response.Data[i].ClassY) {
                        var updateJson =
                        {
                            'id' : data.Response.Data[i].ResultId,
                            'data' : {
                                    "ClassS": $("#Results_ClassA").val(),   // 更新したいデータ1（一例）
                                    "ClassT": $("#Results_Title").val(),    // 更新したいデータ2（一例）
                            },
                            'done' : function(data){
                                if (data.StatusCode == 200){
                                    // 処理なし
                                }
                            },
                            'fail' : function(){
                                alert("API Failed : hogehoge（update）");
                            }
                        }
                        $p.apiUpdate(updateJson);
                    }
                }
            }
        },
        'fail' : function(){
            $("body").css({ visibility: "visible" });
            alert("API Failed : hogehoge（select）");
        }
    }
    $p.apiGet(getJson);
}

スクリプト内での注意点は以下の通りです。

・「更新」ボタンを押下した後の後処理として「$p.events.after_send_Update」を利用します

Pleasanter ユーザーマニュアル - 開発者向け機能：スクリプト機能：$p.events.after_send

・現状のプリザンターの仕様では API 経由の一括データ更新ができないため、（単一または）複数の取得したレコードを1件1件更新する形となります。

➡API 実行のオーバーヘッドは詳しく分からないですが早く一括更新に対応してほしいところ。。

・「ColumnFilterHash」に関しては現状の仕様で部分一致のみの為、SQL の where にあたるキーが完全に一意でない場合、取得した値はスクリプト側（JavaScript）にて完全に一致しているもののみ処理対象としております。

➡早く完全一致に対応してほしい。。（デフォルトが完全一致でオプションで部分一致にするとか）

追記（Appendix）

2020/02/05

「ColumnFilterHash」に関しては解釈の違いがありました、スミマセン。対象の項目が数値の場合は完全一致になるようなのでID系のように定めているフィールドに対しての検索は問題ないようです。

Edge が Chronium ベースに！

昨年12月の Microsoft Ignite The Tour でこれに関するセッションを拝聴していたのですが、予定通り日本時間では本日2時頃？に無事リリースされていたようです。

Microsoft Ignite The Tour Tokyo に参加しました Day 1 - SE（しがないエンジニア）のブログ

ちなみに、現状のダウンロード先はこちらから。

https://support.microsoft.com/ja-jp/help/4501095/download-the-new-microsoft-edge-based-on-chromium

ダウンロード・インストールは特段迷う事はなさそうなのでスクリーンショットは割愛致します。（最近のインストーラはサイズ自体が小さくて残りはインストーラ立ち上げ後のダウンローダ、というのがメインなようですね。Chromeもそう。）

触ってみた所感（随時追記）

Ignite The Tour の内容をベースに所感をまとめようと思いますが、間違い等がありましたらご指摘お願い致します。

・「e」という形は維持されている感じもあるのですが「e」感がなくなりましたよね

・赤枠で囲んでいる部分はオンプレ AD のログイン名が出ている感じでした。ただ、設定を見る限りではこの職場アカウントは同期が取れないようです。しょんぼり。

・Google Chrome から情報をインポートしてみましたがお気に入りはインポートされたもののログイン情報は一部？インポートが失敗したようです。

・左が Edge で右が Chrome のバージョン情報、79のメジャーバージョンは一緒なのですが以降のバージョンは若干のズレがあるんですね。ちなみに Apache のアクセスログで抽出した結果の UA は下記のようでした。（一部抜粋）

"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36 Edg/79.0.309.65"

・Ignite The Tour の際にも取り上げた話ですが、Edge 関連の GPO に関しては下記のページよりテンプレートがダウンロードできるようです。組織内で Edge の設定等で制御したい場合は是非。

https://www.microsoft.com/en-us/edge/business/download

・「F12」キーで開発者モード？が出るのは一緒なのですが、試しに同条件（タブ数1）で「Network」タブの Finish 時間を見てみました。「https://www.btsn.xyz/」で描画したところ気持ち Edge の方が早かったのですが飛びぬけた差はありませんでした。