2019-11-12 現時点までに調べた内容に基づき記述しているラフ版です。 特に使い方にクセがある Twitter Hunter 周りについてまとめています。 サイバー脅威情報集約システム EXIST を活用する MISP の設定 MISP のフィード設定 EXIST の設定 前提作業 各種AP…

2023-01-10 EXIST は VirusTotal や Shodan、Twitte などの情報を API を通じて取得し、脅威情報（IPアドレスやハッシュ値）の関連情報を横断的に検索することができる「サイバー脅威情報集約システム」です。 MISP と連携可能なので、ここでは EXIST+MISP …

2023-01-10 FLARE VM を使って解析環境を作ったときのメモ。 FLARE VM とは FLARE VM を導入する Microsoft Defender Antivirus を無効化する インストール手順 インストールの完了 インストール直後の FLARE VM 導入されたツール一覧 右クリックメニュー 環…

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット（pcap） Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。ここでは Cuckoo 2.0…

2023-01-10 CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo （より正確には spender-sandbox）をベースに開発されており、多くのマルウェアからペイロードや設定情報…

2023-01-10 MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるとい…

2023-01-10 FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/thr…

INetSim と BurpSuite を使って HTTPS に対応した形の解析環境構築方法が紹介されていたので、これを参考にして HTTPS 通信も解析できるマルウェア解析環境を作ってみる。

2023-01-10 OALabs Malware Analysis Virtual Machine https://oalabs.openanalysis.net/2018/07/16/oalabs_malware_analysis_virtual_machine/ （2023/01/10：削除されていました。） マルウェア解析用の仮想環境の構築についての解説記事。 VMの入手、OSの…