サイバーセキュリティ、特に DFIR や Malware 解析などについての記事について、2019年10月～2019年12月にツイートしたものからまとめています。

2023-01-10 概要 Windows 10 Timeline Forensic Artefacts - CCL Group https://cclgroupltd.com/2018/05/03/windows-10-timeline-forensic-artefacts/ （2020/08/31 追記：削除されていました） 解析まとめ WindowsTimeline | SQLite query & Powershell sc…

2023-01-10 2019年4月～9月のツイートからまとめています。 DFIR関連 侵害有無を簡易に調査する Linux コマンド15選 DNS 通信から悪性な通信を見つける調査観点 AmCache に関する ANSSI の報告書 NTFS Journal Forensics プログラムを実行したからといって、…

2023-01-10 MikroTikルーターが侵害され、ルーターを介して閲覧したページに Coinhive のコードが注入される www.trustwave.com www.bleepingcomputer.com thehackernews.com パッチが適用されていない MikroTik 製のルーターが侵害され、Coinhive などのコ…

Proofpoint の研究者が発見した広範囲の回避技術を備えた新たなRAT：Parasite HTTP わずか 49kb の中に多数の検知回避技術を備えた Parasite HTTP という RAT についての解析レポート。 ＜概要＞ ■Features ・No dependencies (Coded in C) ・Small stub siz…

MozillaがFirefoxからの内蔵フィードリーダーのサポートを削除する Firefox の内蔵フィードサポートとライブブックマークが今年中に削除される予定という記事。 利用者はFirefoxユーザ全体の 0.1％ しかいないことや、古いをコードを維持することが困難（最…

404エラーページにカモフラージュしたログインページ 昔からあるものでこれ自体は新しいものではないが、頻度が上がってきてるという記事。 403などいくつかバージョンがある。 スクロールバーが無いため気づきにくいが、ページの下部にWebシェルのログイン…

CNCERT：我国DDoS攻击资源月度及2018年上半年治理情况分析报告 中国語の記事で中国のDDoS状況を報告している記事。かなりの分量。 英語圏だと「中国」とひとくくりにされるところ「北京市」「河南省」といった粒度で統計を出している。 めずらしいものを見た…

2023-01-10 Unknown Dev Brings LibreOffice to Windows 10 via the Microsoft Store LibreOffice が Microsoft Store で $2.99 で売られているのが見つかったという記事。 7月7日に「.net」という開発者アカウントでひっそりと公開され、 無料でインストー…

Half a Billion IoT Devices Vulnerable to DNS Rebinding Attacks 多くの IoT 機器には DNS Rebinding Attacks に関する脆弱性があるよという記事。 記事によると DNS Rebinding Attacks の概要は以下の通り。 Attacker sets up a custom DNS server for a …

証拠保全ガイドライン第７版 | デジタル・フォレンジック研究会 https://digitalforensic.jp/wp-content/uploads/2018/07/guideline_7th.pdf 2018年7月20日付で公開されていた。 Google User Content CDN Used for Malware Hosting googleusercontent.com 上…

2023-01-10 Router Crapfest: Malware Author Builds 18,000-Strong Botnet in a Day ルーターを狙った攻撃の記事。短期間に18,000のルータをボットネット化したとのこと。 また、同記事にはこれを実施したのと同一人物と思われる人物（Owari Botnet、Sora B…

Access を使ったダウンローダについて Access のファイルの一つである拡張子「.accde」を使ったダウンローダについて説明されていました。 ばらまきメールでは Word や Excell にマクロを埋め込み悪用している場合が多くあります。 これらの多くは「コンテン…

2023-01-10 VPNFilter の実害事例報告 ウクライナの下水処理施設にあるネットワーク機器などを感染させたと報告している。 特徴 ステージ1 永続化。再起動してもマルウェアが生き残る。 ステージ2 データ流出、コマンド実行、ファイル収集、およびデバイスの…

FireEye が悪意ある PowerShell だけを検知する仕組みを作ったとのこと Malicious PowerShell Detection via Machine Learning https://www.fireeye.com/blog/threat-research/2018/07/malicious-powershell-detection-via-machine-learning.html シグネチャ…

マルウェア：Hawkeye Keylogger - Reborn v8 Office 365 Advanced Threat Protection（Office 365 ATP）は、4月30日にこのマルウェアを大量に検出した Hawkeye にはサイバー犯罪者が攻撃の監視や制御をするための管理パネルが付属している 検知した業界別比…

2023-01-10 Windows Settings shortcut files (.SettingContent-ms) について 任意のコマンドをZonID無視で実行できると話題になっていた拡張子「.SettingContent-ms」が OLE package のブロックされる拡張子として登録されたそうです。記事ではこれまでの慣…

2023-01-10 HP iLO 4 にAを29文字打ち込むだけで認証をバイパスできる脆弱性があった件 記事を読むのが正確で早いのだけれど curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA" と打ち込むだけで HP iLO に管理者権限でログインできるという記事が掲載さ…

難読化シェル芸 見てるだけで楽しそう。

2023-01-10 Manipulating MIME - Five Easy Steps To Bypass Antivirus 添付ファイル部の簡単な加工で以下を実現できるよという記事。 アンチウイルスソフトに検知されない メーラーでは変化前と変わらず添付ファイルを取り出せる 手元の環境では Thunderbir…

2023-01-10 経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた - piyolog なお 添付ファイルのMD5は「4528e7682c6d59d9b091aef6345a990e」です。この記事を書いている時点ではVirustotal上にはアップロードされていません。 との…

AmazonでXSSが見つかった話。なお対応済。

EDR市場と製品についてまとめた記事。多くはロシアに限らない内容。 Win10上では拡張子が見えなくなり、ZoneID無視＆ダブルクリックで起動できてPowershellなどを呼び出せる不思議なショートカット「.SettingContent-ms」についての記事。VirusTotal等にいく…