CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…
MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…
FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…
入手先 Ghidra https://ghidra-sre.org/ 意図せずデバッグモードが有効になってしまうバグへの対処 Windows 設定ファイル(support/launch.bat)の140行にある * を 127.0.0.1 に修正 Linux 設定ファイル(support/launch.sh)の150行にある * を 127.0.0.…
背景 アップデートというか、Kali Linux での apt が遅かった。 とりあえず接続先を変えると少しは改善しそうだったので、変更ついでに速度を調べてみた。 対象は Kali Linux の公式サイトに掲載されている 18 のミラーサイト。 目次 背景 目次 速度測定結果…
背景 定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか…
背景 Webから情報収集するのに便利なRSSリーダー。ただ、サイトによってはRSSに対応していなかったり、望む形の情報でなかったりすることもあります。 色んな解決策があると思いますが、ここではRSSフィードを作ってくれるサイトを活用することで、 RSSがな…
この週末に開催されていた DefCamp CTF Qualification 2018 にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Memsome (Reverse) 解き方 ブレークポイントした箇所(抜粋) フラグ Broken TV (Misc) 解き方 フラグ Sim…
この週末に開催されていた Trend Micro CTF 2018 Quals にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Reversing-Other 200 解き方 (参考)ブレークポイントした箇所 フラグ Reversing-Binary 300 解き方 (参考)…
この週末に開催されていた noxCTF 2018 にチームで参加していました。 解いた問題について Write-up を記載します。 Guess The String 解き方 添付ファイルはELF実行形式。 ( Hash ) MD5 : e701e054a1e1f6ab452c6c623b71c6c9 SHA1 : 6e946d07f6cdd6aa987eedf…
背景 Cowrie が拾ったコマンドのログを確認していたところ、 人がログインして入力していると思われるログでを見つけたので少し調べてみた。 ttyログ と playlog について Cowrie はログインしてきたユーザが打ち込んだコマンドをそのまま再現するためのログ…
背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com (参考)Zone Identifierとは Windows XP SP2のZoneIdとは?:…
背景 Cowrie が拾ったコマンドであまり見覚えのないコマンドがあったのでログを確認していたところ、 対応していないコマンドのようだった。 成功すれば寄ってくれるのではないか、ということでコマンドを追加してみた。 見覚えのないコマンドについて 今回…
前回の振り返り 前回はアンチアナリシスを回避するところまで解析しました。 今回はその続きを解析します。 参考までに以下に前回の解析概要を記載します。 検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (1) - setodaNote 単に検体の exe …
概要 弊ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Prox…
背景 定期的に大量アクセスが来る VNC アクセス。 これを検知する Vnclowpot にはイベント件数だけでいうと Cowrie に次ぐ数が記録されている(弊ハニーポット調べ)。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録…
背景 ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。 結果概要 CoinMiner (XMR) Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる ファイル概要 MD5 : 0e8b868…
背景 2018年7月頃に悪用され得るとして少し話題になった拡張子「.SettingContent-ms」。 すでにいくつか対策がされていたのに加えて、8月14日の WindwosUpdate において トリックが不可能になるようパスの検証が詳細にされるように 対策されたという記事 が…
Shodan にはフリーのアカウントの他にメンバーシップ(Shodan Membership)というものがある。 フリーのアカウントでログインしている状態で下記にアクセスすると、メンバーシップについての説明を閲覧できる。 Shodan Membership メンバーシップについての…
Mailoney 用にドメインを取得してはみたものの、なかなかばらまきメールが届かない。 どうすれば送ってもらえるのか。。。 ・・・ 「フィッシングサイトにメールアドレスを投げ込めば送ってくれるのでは?」 ということで、探してみたところ、 以下のようなT…
実際には約 90 サイトが紹介されている。 The Top 80+ Websites Available in the Tor Network « Null Byte :: WonderHowTo 記載されていた検索サイトにアクセスしてみたところ、一つを除いてアクセスできた。 Candle:アクセスできず Grams:アクセス可 Hay…
ちょっと探したのでメモ。 もっと簡単に表示させられる気もする。 新規作成の場合 Slack のメニューから [その他管理項目]->[App 管理] 表示されたページ右上にある[ビルド]を選択。 さらに表示されたページの左側にある[Incoming webhooks] ページ…
MikroTikルーターが侵害され、ルーターを介して閲覧したページに Coinhive のコードが注入される https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-–-First-we-cryptojack-Brazil,-then-we-take-the-World-/www.trustwa…
Check Point の研究者が Master134 と呼ぶ大規模な悪意のあるキャンペーンについての調査レポートを出していた。 私にはちょっと難しかったので、以下を参考に読み解きながらまとめてみた。 www.bleepingcomputer.com research.checkpoint.com 感染経路 0. …
以前から気になっていたハニーポット(T-Pot)を自分でも設置してみた。 とりあえず試行錯誤しながら5日間ほど経過した結果。 ハニーポット(T-Pot) 接続先ポート番号と施行されたパスワード 接続元IPアドレスの国別アクセス数の推移など 世界地図へのマッ…
過去30年間における名の知れた RAT をタイムラインにまとめた記事。 図が印象的。 19 2001 Gh0st / Moudoor 46 2005 Poison Ivy / Darkmoon とかくらいは分かるものの、ほとんど知らないものばかりだった。勉強不足・・・。
以下のサイトで INetSim と BurpSuite を使って HTTPS に対応した形の 解析環境構築方法が紹介されていたので、これを参考にして HTTPS通信も解析できるマルウェア解析環境を作ってみる。 www.freebuf.com 目次 目次 解析環境の概要 REMnux の準備 キーボー…
JSAC 2018 の発表で使われているのを見ていいなと思ったアイコンです。 以下のサイトで配布されています。 セキュリティ関連の資料に使いやすいアイコン画像をCC0としてパブリック・ドメイン提供することにしました。心置き無くご自由にご勝手に使い倒してく…
VisualStudioサブスクリプションの年間契約には Azure の利用権もセットになっています。 これを使わないのはもったいないので、とりあえず小さな VM を立ててみました。 下準備:SSH鍵の作成 今回は Linux の VM 環境を構築します。 その際、アクセスするた…
マルウェアの解析用にテスト用のOSがほしいときがある。 そんなときには「Visual Studio サブスクリプション」や 「Free Virtual Machines from IE8 to MS Edge」が便利。 Visual Studio サブスクリプション(有償) 古いものも含めて各種 Windows のインス…
