setodaNote

忘れる用のメモ書き

DefCamp CTF Qualification 2018 Write-up

CTF

この週末に開催されていた DefCamp CTF Qualification 2018 にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Memsome (Reverse) 解き方 ブレークポイントした箇所(抜粋) フラグ Broken TV (Misc) 解き方 フラグ Sim…

Trend Micro CTF 2018 Quals Write-up

CTF

この週末に開催されていた Trend Micro CTF 2018 Quals にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Reversing-Other 200 解き方 (参考)ブレークポイントした箇所 フラグ Reversing-Binary 300 解き方 (参考)…

noxCTF 2018 Write-up

CTF

この週末に開催されていた noxCTF 2018 にチームで参加していました。 解いた問題について Write-up を記載します。 Guess The String 解き方 添付ファイルはELF実行形式。 ( Hash ) MD5 : e701e054a1e1f6ab452c6c623b71c6c9 SHA1 : 6e946d07f6cdd6aa987eedf…

ハニーポット:Cowrie の tty ログを再生してみた話

背景 Cowrie が拾ったコマンドのログを確認していたところ、 人がログインして入力していると思われるログでを見つけたので少し調べてみた。 ttyログ と playlog について Cowrie はログインしてきたユーザが打ち込んだコマンドをそのまま再現するためのログ…

Windows 10 における Zone Identifier の挙動:Web ブラウザによって異なる記録内容

背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com (参考)Zone Identifierとは Windows XP SP2のZoneIdとは?:…

Cowrie に dmidecode コマンドを追加した話

背景 Cowrie が拾ったコマンドであまり見覚えのないコマンドがあったのでログを確認していたところ、 対応していないコマンドのようだった。 成功すれば寄ってくれるのではないか、ということでコマンドを追加してみた。 見覚えのないコマンドについて 今回…

検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (2)

前回の振り返り 前回はアンチアナリシスを回避するところまで解析しました。 今回はその続きを解析します。 参考までに以下に前回の解析概要を記載します。 検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (1) - setodaNote 単に検体の exe …

ThreatWar:ハニーポットの検知状況がリアルタイムに更新されているサイト

概要 弊ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Prox…

Vnclowpot のログ解析

背景 定期的に大量アクセスが来る VNC アクセス。 これを検知する Vnclowpot にはイベント件数だけでいうと Cowrie に次ぐ数が記録されている(弊ハニーポット調べ)。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録…

検体解析:Cowrie で捕まえた検体の棚卸し(2018-08-20)

背景 ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。 結果概要 CoinMiner (XMR) Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる ファイル概要 MD5 : 0e8b868…

.SettingContent-ms への対策がされたと聞いて試してみた

背景 2018年7月頃に悪用され得るとして少し話題になった拡張子「.SettingContent-ms」。 すでにいくつか対策がされていたのに加えて、8月14日の WindwosUpdate において トリックが不可能になるようパスの検証が詳細にされるように 対策されたという記事 が…

Shodan のメンバーシップアカウントでできること

Shodan にはフリーのアカウントの他にメンバーシップ(Shodan Membership)というものがある。 フリーのアカウントでログインしている状態で下記にアクセスすると、メンバーシップについての説明を閲覧できる。 Shodan Membership メンバーシップについての…

Mailoney にばらまきメールを誘うには

Mailoney 用にドメインを取得してはみたものの、なかなかばらまきメールが届かない。 どうすれば送ってもらえるのか。。。 ・・・ 「フィッシングサイトにメールアドレスを投げ込めば送ってくれるのでは?」 ということで、探してみたところ、 以下のようなT…

Tor で利用可能な 80 サイト

実際には約 90 サイトが紹介されている。 The Top 80+ Websites Available in the Tor Network « Null Byte :: WonderHowTo 記載されていた検索サイトにアクセスしてみたところ、一つを除いてアクセスできた。 Candle:アクセスできず Grams:アクセス可 Hay…

Slack の Webhook URL の取得手順

ちょっと探したのでメモ。 もっと簡単に表示させられる気もする。 新規作成の場合 Slack のメニューから [その他管理項目]->[App 管理] 表示されたページ右上にある[ビルド]を選択。 さらに表示されたページの左側にある[Incoming webhooks] ページ…

2018-07-28~2018-08-06 記事まとめ

MikroTikルーターが侵害され、ルーターを介して閲覧したページに Coinhive のコードが注入される https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-–-First-we-cryptojack-Brazil,-then-we-take-the-World-/www.trustwa…

Master134:広告ネットワークを利用した大規模な悪意あるキャンペーン

Check Point の研究者が Master134 と呼ぶ大規模な悪意のあるキャンペーンについての調査レポートを出していた。 私にはちょっと難しかったので、以下を参考に読み解きながらまとめてみた。 www.bleepingcomputer.com research.checkpoint.com 感染経路 0. …

ハニーポットを Azure に設置してみた

以前から気になっていたハニーポット(T-Pot)を自分でも設置してみた。 とりあえず試行錯誤しながら5日間ほど経過した結果。 ハニーポット(T-Pot) 接続先ポート番号と施行されたパスワード 接続元IPアドレスの国別アクセス数の推移など 世界地図へのマッ…

過去30年における RAT をまとめたタイムライン

過去30年間における名の知れた RAT をタイムラインにまとめた記事。 図が印象的。 19 2001 Gh0st / Moudoor 46 2005 Poison Ivy / Darkmoon とかくらいは分かるものの、ほとんど知らないものばかりだった。勉強不足・・・。

解析環境:HTTPS通信も解析できるマルウェア解析環境の構築

以下のサイトで INetSim と BurpSuite を使って HTTPS に対応した形の 解析環境構築方法が紹介されていたので、これを参考にして HTTPS通信も解析できるマルウェア解析環境を作ってみる。 www.freebuf.com 目次 目次 解析環境の概要 REMnux の準備 キーボー…

セキュリティ資料にお役立ちなアイコン素材

JSAC 2018 の発表で使われているのを見ていいなと思ったアイコンです。 以下のサイトで配布されています。 セキュリティ関連の資料に使いやすいアイコン画像をCC0としてパブリック・ドメイン提供することにしました。心置き無くご自由にご勝手に使い倒してく…

Azure を使ってみる

VisualStudioサブスクリプションの年間契約には Azure の利用権もセットになっています。 これを使わないのはもったいないので、とりあえず小さな VM を立ててみました。 下準備:SSH鍵の作成 今回は Linux の VM 環境を構築します。 その際、アクセスするた…

Visual Studio サブスクリプションと Free Virtual Machines from IE8 to MS Edge

マルウェアの解析用にテスト用のOSがほしいときがある。 そんなときには「Visual Studio サブスクリプション」や 「Free Virtual Machines from IE8 to MS Edge」が便利。 Visual Studio サブスクリプション(有償) 古いものも含めて各種 Windows のインス…

2018-07-27 記事まとめ

Proofpoint の研究者が発見した広範囲の回避技術を備えた新たなRAT:Parasite HTTP わずか 49kb の中に多数の検知回避技術を備えた Parasite HTTP という RAT についての解析レポート。 <概要> ■Features ・No dependencies (Coded in C) ・Small stub siz…

Windowsでncコマンドやcurlコマンドを使えるようにする

Linux を使えばいいものの Windows で nc や curl を使いたいときがたまにあります。 いくつか方法はあると思いますが、ここでは Cygwin を使ってインストールしてみます。 Cygwin まずは以下のサイトから Cygwin をダウンロードします。 ページ左上の「Inst…

2018-07-26 記事まとめ

MozillaがFirefoxからの内蔵フィードリーダーのサポートを削除する Firefox の内蔵フィードサポートとライブブックマークが今年中に削除される予定という記事。 利用者はFirefoxユーザ全体の 0.1% しかいないことや、古いをコードを維持することが困難(最…

2018-07-25 記事まとめ

404エラーページにカモフラージュしたログインページ 昔からあるものでこれ自体は新しいものではないが、頻度が上がってきてるという記事。 403などいくつかバージョンがある。 スクロールバーが無いため気づきにくいが、ページの下部にWebシェルのログイン…

2018-07-24 記事まとめ

CNCERT:我国DDoS攻击资源月度及2018年上半年治理情况分析报告 中国語の記事で中国のDDoS状況を報告している記事。かなりの分量。 英語圏だと「中国」とひとくくりにされるところ「北京市」「河南省」といった粒度で統計を出している。 めずらしいものを見た…

2018-07-23 記事まとめ

Unknown Dev Brings LibreOffice to Windows 10 via the Microsoft Store LibreOffice が Microsoft Store で $2.99 で売られているのが見つかったという記事。 7月7日に「.net」という開発者アカウントでひっそりと公開され、 無料でインストールするか、$2…

CTFZone 2018 Quals Write-up

CTF

この週末に開催されていた CTFZone 2018 Quals にチームで参加していました。 解いた問題について Write-up を記載します。 Validator3000 解き方 添付ファイルの中身は実行形式。 TrIDによると 64bit の Windows で動く様子。 TrID: 72.3% (.EXE) Win64 Exe…