2024.6.5 若干の補足(青部分)
先日、生成AIでマルウェアを作成(生成)し、それを送付して、逮捕されたというニュースが流れていたけど(個人的にはフィルターがかかって不可能だと思ってたんだけど、、、)そんな悪いことにAIを使っちゃいかんと思う。
使うなら、その逆の利用方法について、といってもマルウェア解析じゃ無くて、ログ解析だけど、
僕は、いつもWebのログをチェックしていて、HTTPアクセスで400番以上のエラーが一定の閾値を超えたら、内容を記録しているんだけど、その内容を調べるのも時間と手間がかかって大変なので、そのままにしていることがある😅。
さらに、チェック機能(自動)が不十分で、過検知したものを放置していたりすることがあったりしてる😝。
そりゃまずいってことで、最近は、その対策として、エラー通知のメールがあったら、その本文にログの一部を組み込んで、それをそのままカット&ペーストでChatGPT-4oに解析してもらうことにした。
そのプロンプト(続いてログの内容が2行)と、その結果を紹介したいと思います。以下です。(以下に与えているログはページのスペースの関係で、一部です。実際は、数十行の量のログを与えてます。ただ、与えるログの量が多すぎるとエラーとなります。)
「apache2のログを解析してください。解析した結果が攻撃であれば、その攻撃が成功しているか、失敗しているかを、また、攻撃の結果が成功したか失敗したかによらず、その攻撃に関連するCVEやCVSSスコア、EPSSスコアを教えてください。ログは以下になります。
“POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1” 400 3865 “-” “Custom-AsyncHttpClient”
“POST /cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/sh HTTP/1.1” 400 3865 “-” “Custom-AsyncHttpClient”」
そして、実行してみた例が以下(これもスペースの関係で一部です。)となる。かなり使えてるし、大変勉強になる。(ここでCVEについては単なるディレクトリトラバーサルでは無くて、php関連のものになっていますが、実際のログには、php関連ファイルへのアクセスの痕跡がたくさんありました。)
ChatGPT-4oのログ解析結果
提供されたApacheのログを解析すると、以下のような攻撃パターンが見られます:
- ディレクトリ・トラバーサル攻撃
- 解析:これらのリクエストは、ディレクトリ・トラバーサル攻撃の試みです。
..やそのエンコードバージョンを利用して、サーバーのルートディレクトリにアクセスしようとしています。 - 攻撃結果:ステータスコードが
400であり、リクエストが不正であることを示しているため、この攻撃は失敗しています。 - 関連CVE:CVE-2019-11043などのディレクトリ・トラバーサル攻撃
- CVSSスコア:7.5 (High)
- EPSSスコア:0.97
- 解析:これらのリクエストは、ディレクトリ・トラバーサル攻撃の試みです。