サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

Windowsのイベントログ(Security)を見る③ ~セキュリティIDの見方~

イベントログ

先日公開したイベントログの記事へのアクセスの多さに驚いております…。

メインコンテンツはハニーポットの観測だったつもりですが…。

イベントログの見方で困っているのは、私だけではなかったんですね!

これからも、少しでも、イベントログの解析に役立つ情報を発信していけたらなと思います!

今日は、いろいろなところで出てくるセキュリティID(S-1-5といった記号のようなもの)の見方について、ご紹介します。

 

  • セキュリティID(SID)とは
  •  
  • セキュリティID(SID)の法則
    • Universal Well Known SID
      • S-1-1-0 Everyone
      • S-1-2-0 Local
      • S-1-2-1 Console Logon
      • S-1-3-0 Creator Owner
      • S-1-3-1 Creator Group
    • Well Known SID
      • S-1-5-1 Dialup
      • S-1-5-2 Network
      • S-1-5-3 Batch
      • S-1-5-4 Interactive
      • S-1-5-5-x-y Logon Session
      • S-1-5-6 Service
      • S-1-5-7 Anonymous Logon
      • S-1-5-9 Enterprise Domain Controllers
      • S-1-5-11  Authenticated Users
      • S-1-5-13  Terminal Server Users
      • S-1-5-15  This Organization
      • S-1-5-18 Local System
    • ローカルグループ SID
      • S-1-5-32-544 Administrator
      • S-1-5-32-545 User
      • S-1-5-32-546 Guest
      • S-1-5-32-547 Power User
      • S-1-5-32-548 Operator
      • S-1-5-32-549 Server Operator
      • S-1-5-32-550 Print Operator
      • S-1-5-32-551 Backup Operator
      • S-1-5-32-552 Replicator
    • ドメイン SID
      • S-1-5-21-(ドメインごとに設定された数値)-500 Administrator
      • S-1-5-21-(ドメインごとに設定された数値)-501 Guest
      • S-1-5-21-(ドメインごとに設定された数値)-512 Domain Admins
      • S-1-5-21-(ドメインごとに設定された数値)-513 Domain Users
      • S-1-5-21-(ドメインごとに設定された数値)-514 Domain Guest
      • S-1-5-21-(ドメインごとに設定された数値)-515 Domain Computer
      • S-1-5-21-(ドメインごとに設定された数値)-516 Domain Controller
      • S-1-5-21-(ドメインごとに設定された数値)-1000~
  • まとめ

 

続きを読む

【ハニーポットの検証】ハニーポット設置182日目 ~6月の危険なユーザ名、パスワード上位50位~

ハニーポット(T-POT)

先日、イベントログの記事を書いたところ、普段50~よくて100程度のPVしかない、このブログが、1日で1,300弱のPVを記録するという、奇跡のような1日がありました。

これからも、皆様に見ていただけるような記事を頑張って書いていければいいなと思います!

 

今日は、毎月、月の頭には恒例にしつつある危険なユーザIDとパスワードをご紹介します。

 

  •  
  • 6月の危険なユーザ名・パスワード上位50
    • 危険なユーザ名 TOP50
    • 危険なパスワード TOP50

 

続きを読む

Windowsのイベントログ(Security)を見る② ~ログオン成功とログオン失敗~

イベントログ

今日は少し時間が空いたので、モチベーションのあるうちにもう1記事…。

今回は、ログオン成功とログオン失敗のログで、私が見ているポイントについてご紹介します。

 

  • イベントID:4624 アカウントが正常にログオンしました。
    • サブジェクト
    • ログオン情報
      • ログオンタイプ
    • 新しいログオン
    • プロセス情報
    • ネットワーク情報
  • イベントID:4625 アカウントのログオンに失敗しました
    • サブジェクト
    • ログオンタイプ
    • ログオンを失敗したアカウント
    • エラー情報
    • プロセス情報
    • ネットワーク情報
  • ログをみていてちょっと分かったこと
    • anonymous logonの正体
    • ログオン関係のログの確認方法
      • ログイン成功
      • ログイン失敗

 

続きを読む

Windowsのイベントログ(Security)を見る① ~Microsoft Message Analyzerのススメ~

イベントログ

先日、にゃん☆たくさん(@taku888infinity)のブログでWindowsイベントログの見方について記載がありました。 

mkt-eva.hateblo.jp

私もたまにWindowsのイベントログを見ることがありますが、「イベントログの見方」について紹介されているサイトが非常に少ないため、とても助かりました。

で、私も公開しておいたほうが、誰かしらの役に立つのではないかと言うことで、記事にしてみることにしました。

 

続きを読む

【ハニーポットの検証】ハニーポット設置175日目 ~W杯は続く 攻撃は続く?~

ハニーポット(T-POT)

今週も1週間、様々な出来事がありました。

サイバーセキュリティに従事する岡本氏の刺殺事件は非常にショッキングな出来事でした。直接関わったことはありませんが、同じサイバーセキュリティに関係する者として、ご冥福をお祈りします。

 

また、プリンスホテルを含め、非常に多くのホテルを巻き込んだファストブッキングの情報漏洩もありました。

これは、いつものごとく、ものすごい情報収集力でpiyokangoさんがまとめられています。

d.hatena.ne.jp

 

そして、今日は初めてMacを使って記事を更新しています。

ノートなのでどこでも記事がかけるのがいいですね。ただ、マルチモニタなしはきついので、HDMIポートを取り付けいないと…。

 

 

続きを読む

【ハニーポットの検証】ハニーポット設置169日目 ~攻撃増加は地震の影響か、W杯の影響か~

ハニーポット(T-POT)

 

この1週間、いろいろなことがありましたね。

 

今は異動で別の場所にいますが、出身が大阪でしたので、大阪の地震は本当に驚きました。被災地の方々には、1日でも早い復興をお祈りしています。 

大阪の地震に便乗して、フィッシングメール等を送り付けてくるやつがいるようです。災害に便乗する最低なメールに怒りを覚えます。

 

また、他人のPCを使用して仮想通貨のマイニングを行っていた人が逮捕されたというニュースもありました。賛否両論、様々な意見がありますが、個人的には逮捕には賛成です。

tk-secu.hateblo.jp

こちらの記事にも書きましたが、もともと私は他人のPCのマシンパワーを使用してマイニングするという行為には批判的でした。

このブログで最も閲覧回数が多いのもこちらの記事ですので、やはり皆様、興味はあるんだなと感じていましたが、ぜひcoinhive等のマイニングを好意的に捉えている方と議論してみたいですね。

 

続きを読む

【ハニーポットの検証】ハニーポット設置163日目 ~port80にmiraiは来ているか?~

ハニーポット(T-POT)

本日、職場で仕事終わりに有志のメンバーで「セキュリティ専門家人狼」をやってみました。

www.jnsa.org

内容は普通の人狼ですが、名称がセキュリティ専門家になっているだけで、聞きなれない人からは難しさ倍増だったようですが、終わるころにはみんな言葉に慣れているようでしたね。

セキュリティ専門家の仕事のさわりを知るには、ちょうどいいかもしれません。

 

最近、マルウェア付きのバラマキメールを収集したいと考えているのですが、なかなかいい方法が思いつきません。

そこで、このブログのどこかにハニーポットとしてメールアドレスを記載することにしました。ロボット収集で集められることを意識し、ブログ内に隠していますので、ご興味のある方は、ぜひ見つけてみてください…簡単ですが笑

 

 

続きを読む