vim で細工されたテキストファイルを開いた際に modeline を利用して任意のコード実行がされてしまう脆弱性(CVE-2019-12735)が 2019/06/04 付で公開されています。 影響するプロダクトとして Vim < 8.1.1365 が記載されていましたが、手元も環境で試したと…
最終更新日:2020/01/13 プラン一覧を確認したい/購入したい OSイメージをダウンロードしたい/プロダクトキーを確認したい 購入したサブスクリプションの有効期限を確認したい 購入したサブスクリプションを解約したい サブスクリプション購入時のメールを…
Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…
CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。ここでは Cuckoo 2.0…
iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the forensic researc…
CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…
MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…
FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…
入手先 Ghidra https://ghidra-sre.org/ 意図せずデバッグモードが有効になってしまうバグへの対処 Windows 設定ファイル(support/launch.bat)の140行にある * を 127.0.0.1 に修正 Linux 設定ファイル(support/launch.sh)の150行にある * を 127.0.0.…
背景 アップデートというか、Kali Linux での apt が遅かった。 とりあえず接続先を変えると少しは改善しそうだったので、変更ついでに速度を調べてみた。 対象は Kali Linux の公式サイトに掲載されている 18 のミラーサイト。 目次 背景 目次 速度測定結果…
背景 定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか…
背景 Webから情報収集するのに便利なRSSリーダー。ただ、サイトによってはRSSに対応していなかったり、望む形の情報でなかったりすることもあります。 色んな解決策があると思いますが、ここではRSSフィードを作ってくれるサイトを活用することで、 RSSがな…
この週末に開催されていた DefCamp CTF Qualification 2018 にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Memsome (Reverse) 解き方 ブレークポイントした箇所(抜粋) フラグ Broken TV (Misc) 解き方 フラグ Sim…
この週末に開催されていた Trend Micro CTF 2018 Quals にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Reversing-Other 200 解き方 (参考)ブレークポイントした箇所 フラグ Reversing-Binary 300 解き方 (参考)…
この週末に開催されていた noxCTF 2018 にチームで参加していました。 解いた問題について Write-up を記載します。 Guess The String 解き方 添付ファイルはELF実行形式。 ( Hash ) MD5 : e701e054a1e1f6ab452c6c623b71c6c9 SHA1 : 6e946d07f6cdd6aa987eedf…
背景 Cowrie が拾ったコマンドのログを確認していたところ、 人がログインして入力していると思われるログでを見つけたので少し調べてみた。 ttyログ と playlog について Cowrie はログインしてきたユーザが打ち込んだコマンドをそのまま再現するためのログ…
背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com (参考)Zone Identifierとは Windows XP SP2のZoneIdとは?:…
背景 Cowrie が拾ったコマンドであまり見覚えのないコマンドがあったのでログを確認していたところ、 対応していないコマンドのようだった。 成功すれば寄ってくれるのではないか、ということでコマンドを追加してみた。 見覚えのないコマンドについて 今回…
前回の振り返り 前回はアンチアナリシスを回避するところまで解析しました。 今回はその続きを解析します。 参考までに以下に前回の解析概要を記載します。 検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (1) - setodaNote 単に検体の exe …
概要 弊ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Prox…
背景 定期的に大量アクセスが来る VNC アクセス。 これを検知する Vnclowpot にはイベント件数だけでいうと Cowrie に次ぐ数が記録されている(弊ハニーポット調べ)。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録…
背景 ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。 結果概要 CoinMiner (XMR) Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる ファイル概要 MD5 : 0e8b868…
背景 2018年7月頃に悪用され得るとして少し話題になった拡張子「.SettingContent-ms」。 すでにいくつか対策がされていたのに加えて、8月14日の WindwosUpdate において トリックが不可能になるようパスの検証が詳細にされるように 対策されたという記事 が…
Shodan にはフリーのアカウントの他にメンバーシップ(Shodan Membership)というものがある。 フリーのアカウントでログインしている状態で下記にアクセスすると、メンバーシップについての説明を閲覧できる。 Shodan Membership メンバーシップについての…
Mailoney 用にドメインを取得してはみたものの、なかなかばらまきメールが届かない。 どうすれば送ってもらえるのか。。。 ・・・ 「フィッシングサイトにメールアドレスを投げ込めば送ってくれるのでは?」 ということで、探してみたところ、 以下のようなT…
実際には約 90 サイトが紹介されている。 The Top 80+ Websites Available in the Tor Network « Null Byte :: WonderHowTo 記載されていた検索サイトにアクセスしてみたところ、一つを除いてアクセスできた。 Candle:アクセスできず Grams:アクセス可 Hay…
ちょっと探したのでメモ。 もっと簡単に表示させられる気もする。 新規作成の場合 Slack のメニューから [その他管理項目]->[App 管理] 表示されたページ右上にある[ビルド]を選択。 さらに表示されたページの左側にある[Incoming webhooks] ページ…
MikroTikルーターが侵害され、ルーターを介して閲覧したページに Coinhive のコードが注入される https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-–-First-we-cryptojack-Brazil,-then-we-take-the-World-/www.trustwa…
Check Point の研究者が Master134 と呼ぶ大規模な悪意のあるキャンペーンについての調査レポートを出していた。 私にはちょっと難しかったので、以下を参考に読み解きながらまとめてみた。 www.bleepingcomputer.com research.checkpoint.com 感染経路 0. …
以前から気になっていたハニーポット(T-Pot)を自分でも設置してみた。 とりあえず試行錯誤しながら5日間ほど経過した結果。 ハニーポット(T-Pot) 接続先ポート番号と施行されたパスワード 接続元IPアドレスの国別アクセス数の推移など 世界地図へのマッ…
