3月2日のtwitterセキュリティクラスタ

雨が降ったり暖かくなったりややこしいですね。

Ghost Domainまだまだ絶賛デモ中なので興味のある人はbeyondDNSのツイートを注視しておきましょう。

beyondDNS:ghost を見たいひと、ghost を感じてみたいひとは ghost2.qmail.jp (A) を適当な時間間隔で検索してみるといいでしょう。NSレコード（特にTTLと名前）に注意すること。

最近は@kitagawa_takujiさんのWindowsに関するつぶやきが非常に勉強になります。LANのセキュリティって大切ですよね。

kitagawa_takuji:パスワード・ネタ　DCC(Domain Cached Credentials)についてドメイン下のWindowsではログオン時にドメイン・コントローラに接続出来ない場合でもログオン出来るように以前のログオン情報がローカルにキャッシュされている（既定で過去１０ユーザを記録）

kitagawa_takuji:レジストリよりDCC(Domain Cached Credentials)を取り出すツールはcachedump、MetasploitのPostモジュール等色々あり、取り出したハッシュはJohn-the-Ripper、Cain&Abel等で解析できる。

kitagawa_takuji:DCCのアルゴリズムはNTLMハッシュを改良したもの。MSCash openwall.info/wiki/john/MSCa…　Vista以降では更にアルゴリズムが強化されている MSCashv2 openwall.info/wiki/john/MSCa… JtR、Cainはどちらにも対応。

kitagawa_takuji:ログオン情報をキャッシュしない様に設定することも可能。technet.microsoft.com/ja-jp/library/…　但しこの設定をするとオフライン時にはドメイン・ユーザー・アカウントではログオン出来なくなる。（ノートPCなどのオフライン時には注意）

kitagawa_takuji:ローカルコンソールからのログインだけでなく、リモートデスクトップによるログインでもログオン情報がキャッシュされる。ドメイン管理者がリモートデスクトップなどで対話的ログインして作業するとDCCが記録され弱いパスワードを使用しているとドメイン管理者のパスワードが解析される危険がある。

kitagawa_takuji:既定では過去１０ユーザまでキャッシュが記録されるので、数年前の管理者ログオンがキャッシュに残っている可能性もある。

kitagawa_takuji:但し、PsExec、WMICなどのネットワークログオンではDCCは記録されないので、運用管理にはPsExec、WMICを使うのも一案。

kitagawa_takuji:Windowsのパスワード関連、色々問題ありすぎて、訳わからん。

まあCookie消せば9割くらいはオッケーですからねえ。

ikepyon:Cookie消しただけってのを立て続けに見るとはorz

ikepyon:正しいログアウトってちゃんと理解されてないことが多いの？

その他に気になったことはこのあたり。

kitagawa_takuji:5割以上の企業が脆弱性診断せずシステム公開――トレンドマイクロの調査で明らかに is702.jp/news/1097/part…

risa_ozaki:「企業経営陣はいまだセキュリティ管理の重要性を認識せず」――カーネギーメロン大学報告書 | セキュリティ・マネジメント | Computerworld http://j.mp/zLMu9Y

ripjyr:東北情報セキュリティ勉強会を3月10日（土曜日）に仙台で開催！今回のテーマはクラウドとセキュリティで、DITの河野さんが講師です bit.ly/tohoku-securit… #thk_its #thksec

MasafumiNegishi:DNS Changerマルウェアに対する ISPの取り組みの例。Comcastでは DNSサーバにアクセスしてきたソースIPアドレスから顧客を割り出して警告メールを送付。こちらのサポートページに誘導している。CCCのやり方に似てますね。xfinity.comcast.net/constantguard/…