この週末に開催されていた CTFZone 2018 Quals にチームで参加していました。 解いた問題について Write-up を記載します。 Validator3000 解き方 添付ファイルの中身は実行形式。 TrIDによると 64bit の Windows で動く様子。 TrID: 72.3% (.EXE) Win64 Exe…
2023-01-10 OALabs Malware Analysis Virtual Machine https://oalabs.openanalysis.net/2018/07/16/oalabs_malware_analysis_virtual_machine/ (2023/01/10:削除されていました。) マルウェア解析用の仮想環境の構築についての解説記事。 VMの入手、OSの…
Half a Billion IoT Devices Vulnerable to DNS Rebinding Attacks 多くの IoT 機器には DNS Rebinding Attacks に関する脆弱性があるよという記事。 記事によると DNS Rebinding Attacks の概要は以下の通り。 Attacker sets up a custom DNS server for a …
Ursnif(gozi)の解析妨害とその回避手法 IIJ が発行しているレポートで Ursnif の解析方法がとても詳しく紹介されている。 Internet Infrastructure Review(IIR)Vol.34 2017年3月15日発行
2021-05-10 oletools 悪質な文書を分析するツール OLEファイルの構造を分析するツール oletools と 解析可能なファイルタイプについて 実際に使った時の結果表示例 参考文献 更新履歴 oletools OLEおよびMS Officeファイルを解析するためのPythonツール 確認…
証拠保全ガイドライン第7版 | デジタル・フォレンジック研究会 https://digitalforensic.jp/wp-content/uploads/2018/07/guideline_7th.pdf 2018年7月20日付で公開されていた。 Google User Content CDN Used for Malware Hosting googleusercontent.com 上…
2023-01-10 Router Crapfest: Malware Author Builds 18,000-Strong Botnet in a Day ルーターを狙った攻撃の記事。短期間に18,000のルータをボットネット化したとのこと。 また、同記事にはこれを実施したのと同一人物と思われる人物(Owari Botnet、Sora B…
Windows 10, Windows Server 2019 to Get Leap Second Support Windowsがうるう秒に対応するという記事。ログにも60秒が記録される?
2023-01-10 動作概要 確認中 #今回は Anti-Analysis を避けてみるところまで。 #(追記)続きは以下の記事に記載しています。 soji256.hatenablog.jp ファイル概要 ファイル名: 2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe MD5 : 5adbfc0f8654bb45…
ZoneID とは ファイルの代替ストリーム(Alternate Data Stream, ADS)として記録される Zone.Identifier の項目のひとつで、 外部から取得したファイルなどに付与され、ファイル起動時に警告を表示する/しないの判断などに利用されている。 Windows XP Ser…
動作概要 ダウンローダー 永続化(サービス登録) ファイル概要 ファイル名: 2018-07-02-Emotet-malware-binary-2-of-2.exe MD5 : 7cfe68b98952bd8a3d7db78ae8bd8fe6 SHA1 : 6772ceb0092afb78fb71dbc6655375be2a73f588 SHA256 : 47280253fad49f9f5ebacb420b3…
ZoomEye - Cyberspace Search Engine Shodan と同じようにポートなどが空いているIPなどを探せるサイト。 https://www.zoomeye.org/ 使い方 「port:12345 country:Japan」で検索した場合の例。 https://www.zoomeye.org/searchResult?q=port%3A12345%20count…
Access を使ったダウンローダについて Access のファイルの一つである拡張子「.accde」を使ったダウンローダについて説明されていました。 ばらまきメールでは Word や Excell にマクロを埋め込み悪用している場合が多くあります。 これらの多くは「コンテン…
2023-01-10 VPNFilter の実害事例報告 ウクライナの下水処理施設にあるネットワーク機器などを感染させたと報告している。 特徴 ステージ1 永続化。再起動してもマルウェアが生き残る。 ステージ2 データ流出、コマンド実行、ファイル収集、およびデバイスの…
FireEye が悪意ある PowerShell だけを検知する仕組みを作ったとのこと Malicious PowerShell Detection via Machine Learning https://www.fireeye.com/blog/threat-research/2018/07/malicious-powershell-detection-via-machine-learning.html シグネチャ…
マルウェア:Hawkeye Keylogger - Reborn v8 Office 365 Advanced Threat Protection(Office 365 ATP)は、4月30日にこのマルウェアを大量に検出した Hawkeye にはサイバー犯罪者が攻撃の監視や制御をするための管理パネルが付属している 検知した業界別比…
2023-01-10 Windows Settings shortcut files (.SettingContent-ms) について 任意のコマンドをZonID無視で実行できると話題になっていた拡張子「.SettingContent-ms」が OLE package のブロックされる拡張子として登録されたそうです。記事ではこれまでの慣…
2023-01-10 HP iLO 4 にAを29文字打ち込むだけで認証をバイパスできる脆弱性があった件 記事を読むのが正確で早いのだけれど curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA" と打ち込むだけで HP iLO に管理者権限でログインできるという記事が掲載さ…
難読化シェル芸 見てるだけで楽しそう。
動作概要 ダウンローダー 永続化(サービス登録) ファイル概要 ファイル名: 2018-07-02-Emotet-malware-binary-1-of-2.exe MD5 : 9295c23c16cb8615e4349830df30cc12 SHA1 : fadaafdcc24654120d7df4062d33793b25f145d9 SHA256 : da4e4afbc50adfaa1b0e3d9288e…
2023-01-10 Manipulating MIME - Five Easy Steps To Bypass Antivirus 添付ファイル部の簡単な加工で以下を実現できるよという記事。 アンチウイルスソフトに検知されない メーラーでは変化前と変わらず添付ファイルを取り出せる 手元の環境では Thunderbir…
2023-01-10 経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた - piyolog なお 添付ファイルのMD5は「4528e7682c6d59d9b091aef6345a990e」です。この記事を書いている時点ではVirustotal上にはアップロードされていません。 との…
動作概要 ダウンローダー MS Office デコイ スクリプト(VBマクロ、Powershell) ファイル概要 ファイル名: 2018-07-02-downloaded-Word-doc-with-macro-for-Emotet.doc MD5 : 4bd9825e984ad215a0afdf87251b63ce SHA1 : 7958fadb2ce795305deb0b82ce3c973406e…
AmazonでXSSが見つかった話。なお対応済。
EDR市場と製品についてまとめた記事。多くはロシアに限らない内容。 Win10上では拡張子が見えなくなり、ZoneID無視&ダブルクリックで起動できてPowershellなどを呼び出せる不思議なショートカット「.SettingContent-ms」についての記事。VirusTotal等にいく…
2023-01-10 サクラエディタが起動時に引っかかるように遅くなっていたので調べてみると、同じ状況を報告している記事がいくつも引っかかった。 どうやら Windows Defender のスキャンが原因らしい。 対処方法 以下の方法でサクラエディタをスキャンの除外対…
