setodaNote

忘れる用のメモ書き for Cybersecurity

2018-07-28~2018-08-06 記事まとめ

MikroTikルーターが侵害され、ルーターを介して閲覧したページに Coinhive のコードが注入される https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-–-First-we-cryptojack-Brazil,-then-we-take-the-World-/www.trustwa…

Master134:広告ネットワークを利用した大規模な悪意あるキャンペーン

Check Point の研究者が Master134 と呼ぶ大規模な悪意のあるキャンペーンについての調査レポートを出していた。 私にはちょっと難しかったので、以下を参考に読み解きながらまとめてみた。 www.bleepingcomputer.com research.checkpoint.com 感染経路 0. …

ハニーポットを Azure に設置してみた

以前から気になっていたハニーポット(T-Pot)を自分でも設置してみた。 とりあえず試行錯誤しながら5日間ほど経過した結果。 ハニーポット(T-Pot) 接続先ポート番号と施行されたパスワード 接続元IPアドレスの国別アクセス数の推移など 世界地図へのマッ…

過去30年における RAT をまとめたタイムライン

過去30年間における名の知れた RAT をタイムラインにまとめた記事。 図が印象的。 19 2001 Gh0st / Moudoor 46 2005 Poison Ivy / Darkmoon とかくらいは分かるものの、ほとんど知らないものばかりだった。。。

解析環境:HTTPS通信も解析できるマルウェア解析環境の構築

INetSim と BurpSuite を使って HTTPS に対応した形の解析環境構築方法が紹介されていたので、これを参考にして HTTPS 通信も解析できるマルウェア解析環境を作ってみる。

セキュリティ資料にお役立ちなアイコン素材

JSAC 2018 の発表で使われているのを見ていいなと思ったアイコンです。 以下のサイトで配布されています。 セキュリティ関連の資料に使いやすいアイコン画像をCC0としてパブリック・ドメイン提供することにしました。心置き無くご自由にご勝手に使い倒してく…

Azure を使ってみる

VisualStudioサブスクリプションの年間契約には Azure の利用権もセットになっています。 これを使わないのはもったいないので、とりあえず小さな VM を立ててみました。 下準備:SSH鍵の作成 今回は Linux の VM 環境を構築します。 その際、アクセスするた…

Visual Studio サブスクリプションと Free Virtual Machines from IE8 to MS Edge

マルウェアの解析用にテスト用のOSがほしいときがある。 そんなときには「Visual Studio サブスクリプション」や 「Free Virtual Machines from IE8 to MS Edge」が便利。 Visual Studio サブスクリプション(有償) 古いものも含めて各種 Windows のインス…

2018-07-27 記事まとめ

Proofpoint の研究者が発見した広範囲の回避技術を備えた新たなRAT:Parasite HTTP わずか 49kb の中に多数の検知回避技術を備えた Parasite HTTP という RAT についての解析レポート。 <概要> ■Features ・No dependencies (Coded in C) ・Small stub siz…

Windowsでncコマンドやcurlコマンドを使えるようにする

Linux を使えばいいものの Windows で nc や curl を使いたいときがたまにあります。 いくつか方法はあると思いますが、ここでは Cygwin を使ってインストールしてみます。 Cygwin まずは以下のサイトから Cygwin をダウンロードします。 ページ左上の「Inst…

2018-07-26 記事まとめ

MozillaがFirefoxからの内蔵フィードリーダーのサポートを削除する Firefox の内蔵フィードサポートとライブブックマークが今年中に削除される予定という記事。 利用者はFirefoxユーザ全体の 0.1% しかいないことや、古いをコードを維持することが困難(最…

2018-07-25 記事まとめ

404エラーページにカモフラージュしたログインページ 昔からあるものでこれ自体は新しいものではないが、頻度が上がってきてるという記事。 403などいくつかバージョンがある。 スクロールバーが無いため気づきにくいが、ページの下部にWebシェルのログイン…

2018-07-24 記事まとめ

CNCERT:我国DDoS攻击资源月度及2018年上半年治理情况分析报告 中国語の記事で中国のDDoS状況を報告している記事。かなりの分量。 英語圏だと「中国」とひとくくりにされるところ「北京市」「河南省」といった粒度で統計を出している。 めずらしいものを見た…

2018-07-23 記事まとめ

Unknown Dev Brings LibreOffice to Windows 10 via the Microsoft Store LibreOffice が Microsoft Store で $2.99 で売られているのが見つかったという記事。 7月7日に「.net」という開発者アカウントでひっそりと公開され、 無料でインストールするか、$2…

CTFZone 2018 Quals Write-up

CTF

この週末に開催されていた CTFZone 2018 Quals にチームで参加していました。 解いた問題について Write-up を記載します。 Validator3000 解き方 添付ファイルの中身は実行形式。 TrIDによると 64bit の Windows で動く様子。 TrID: 72.3% (.EXE) Win64 Exe…

解析環境:マルウェア解析用の仮想環境の構築についての解説記事

OALabs Malware Analysis Virtual Machine oalabs.openanalysis.net マルウェア解析用の仮想環境の構築についての解説記事。 VMの入手、OSの入手などなど。 そういえばこういった解説記事はあまりないかも。 解析に利用するツール群も紹介されている。 Check…

2018-07-21 記事まとめ

Half a Billion IoT Devices Vulnerable to DNS Rebinding Attacks 多くの IoT 機器には DNS Rebinding Attacks に関する脆弱性があるよという記事。 記事によると DNS Rebinding Attacks の概要は以下の通り。 Attacker sets up a custom DNS server for a …

解析記事:Ursnif(gozi)の解析妨害とその回避手法

Ursnif(gozi)の解析妨害とその回避手法 IIJ が発行しているレポートで Ursnif の解析方法がとても詳しく紹介されている。 Internet Infrastructure Review(IIR)Vol.34 2017年3月15日発行

oletools - OLEおよびMS Officeファイルを解析するためのPythonツール

oletools OLEおよびMS Officeファイルを解析するためのPythonツール 確認時の最新版:2018-05-30 v0.53 悪質な文書を分析するツール oleid:OLEファイルを分析して、悪質ファイルに含まれる特性を検出する olevba:MS Officeドキュメント(OLEおよびOpenXML…

2018-07-20 記事まとめ

証拠保全ガイドライン第7版 | デジタル・フォレンジック研究会 https://digitalforensic.jp/wp-content/uploads/2018/07/guideline_7th.pdf 2018年7月20日付で公開されていた。 Google User Content CDN Used for Malware Hosting googleusercontent.com 上…

2018年7月17日~2018年7月19日 記事まとめ

Router Crapfest: Malware Author Builds 18,000-Strong Botnet in a Day ルーターを狙った攻撃の記事。短期間に18,000のルータをボットネット化したとのこと。 また、同記事にはこれを実施したのと同一人物と思われる人物(Owari Botnet、Sora Botnet を作…

「Windows、タイムリープしてね?」

Windows 10, Windows Server 2019 to Get Leap Second Support Windowsがうるう秒に対応するという記事。ログにも60秒が記録される?

検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (1)

動作概要 確認中 #今回は Anti-Analysis を避けてみるところまで。 #(追記)続きは以下の記事に記載しています。 soji256.hatenablog.jp ファイル概要 ファイル名: 2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe MD5 : 5adbfc0f8654bb458438b3f614c…

ZoneID を付与する方法など

ZoneID とは ファイルの代替ストリーム(Alternate Data Stream, ADS)として記録される Zone.Identifier の項目のひとつで、 外部から取得したファイルなどに付与され、ファイル起動時に警告を表示する/しないの判断などに利用されている。 Windows XP Ser…

検体解析:2018-07-02-Emotet-malware-binary-2-of-2.exe

動作概要 ダウンローダー 永続化(サービス登録) ファイル概要 ファイル名: 2018-07-02-Emotet-malware-binary-2-of-2.exe MD5 : 7cfe68b98952bd8a3d7db78ae8bd8fe6 SHA1 : 6772ceb0092afb78fb71dbc6655375be2a73f588 SHA256 : 47280253fad49f9f5ebacb420b3…

Shodan的なサイト

ZoomEye - Cyberspace Search Engine Shodan と同じようにポートなどが空いているIPなどを探せるサイト。 https://www.zoomeye.org/ 使い方 「port:12345 country:Japan」で検索した場合の例。 https://www.zoomeye.org/searchResult?q=port%3A12345%20count…

2018/07/14 記事まとめ( .accde を用いたダウンローダ)

Access を使ったダウンローダについて Access のファイルの一つである拡張子「.accde」を使ったダウンローダについて説明されていました。 ばらまきメールでは Word や Excell にマクロを埋め込み悪用している場合が多くあります。 これらの多くは「コンテン…

2018-07-13 記事まとめ

VPNFilter の実害事例報告 ウクライナの下水処理施設にあるネットワーク機器などを感染させたと報告している。 特徴 ステージ1 永続化。再起動してもマルウェアが生き残る。 ステージ2 データ流出、コマンド実行、ファイル収集、およびデバイスの管理。一部…

2018-07-12 記事まとめ

FireEye が悪意ある PowerShell だけを検知する仕組みを作ったとのこと Malicious PowerShell Detection via Machine Learning https://www.fireeye.com/blog/threat-research/2018/07/malicious-powershell-detection-via-machine-learning.html シグネチャ…

2018-07-11 記事まとめ

マルウェア:Hawkeye Keylogger - Reborn v8 Office 365 Advanced Threat Protection(Office 365 ATP)は、4月30日にこのマルウェアを大量に検出した Hawkeye にはサイバー犯罪者が攻撃の監視や制御をするための管理パネルが付属している 検知した業界別比…