setodaNote

忘れる用のメモ書き

検体解析

CAPE 環境を構築して Emotet を解析する

CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…

MalConfScan with Cuckoo 環境を構築して Emotet を解析する

MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…

検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (2)

前回の振り返り 前回はアンチアナリシスを回避するところまで解析しました。 今回はその続きを解析します。 参考までに以下に前回の解析概要を記載します。 検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (1) - setodaNote 単に検体の exe …

検体解析:Cowrie で捕まえた検体の棚卸し(2018-08-20)

背景 ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。 結果概要 CoinMiner (XMR) Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる ファイル概要 MD5 : 0e8b868…

検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (1)

動作概要 確認中 #今回は Anti-Analysis を避けてみるところまで。 ファイル概要 ファイル名: 2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe MD5 : 5adbfc0f8654bb458438b3f614ca9e37 SHA1 : 1a99cb666cccb67e4537856e083773576ec29e1d SHA256 : 2527…

検体解析:2018-07-02-Emotet-malware-binary-2-of-2.exe

動作概要 ダウンローダー 永続化(サービス登録) ファイル概要 ファイル名: 2018-07-02-Emotet-malware-binary-2-of-2.exe MD5 : 7cfe68b98952bd8a3d7db78ae8bd8fe6 SHA1 : 6772ceb0092afb78fb71dbc6655375be2a73f588 SHA256 : 47280253fad49f9f5ebacb420b3…

検体解析:2018-07-02-Emotet-malware-binary-1-of-2.exe

動作概要 ダウンローダー 永続化(サービス登録) ファイル概要 ファイル名: 2018-07-02-Emotet-malware-binary-1-of-2.exe MD5 : 9295c23c16cb8615e4349830df30cc12 SHA1 : fadaafdcc24654120d7df4062d33793b25f145d9 SHA256 : da4e4afbc50adfaa1b0e3d9288e…

検体解析:2018-07-02-downloaded-Word-doc-with-macro-for-Emotet.doc

動作概要 ダウンローダー MS Office デコイ スクリプト(VBマクロ、Powershell) ファイル概要 ファイル名: 2018-07-02-downloaded-Word-doc-with-macro-for-Emotet.doc MD5 : 4bd9825e984ad215a0afdf87251b63ce SHA1 : 7958fadb2ce795305deb0b82ce3c973406e…